Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 23 December 2022

2022.12.23 - Nyhetsbrev

LastPass sitt passord-hvelv kopiert ut av hackere. Hackere krever løsepenger av norsk entreprenørselskap etter ransomware-angrep.

LastPass sitt passord-hvelv kopiert ut av hackere

Passordlagringstjenesten LastPass har i det siste vært rammet av to datainnbrudd. De opplyser nå at inntrengerne har kopiert ut data om kundene.

Av ukrypterte data er både epost-adresser og hvilke tjenester kundene har lagret passord til. Dette kan brukes til å lage personlig utformede phishing-angrep for å lure fra brukerne passordene sine.

Brukernes passord er heldigvis kryptert med den enkelte brukers "hovedpassord". Dersom dette passord er unikt og langt (minst 12 tegn), skal risikoen for at dataene kan dekrypteres være liten. Vi vil uansett anbefale å bytte passord på ekstra viktige tjenester som epost-konto, Apple ID, Google, BankID osv. Bytt også hoved-passord dersom dette ikke er unikt, eller ikke har tilstrekkelig antall tegn.
Referanser
https://www.tek.no/nyheter/nyhet/i/EQJxQj/las[...]
https://blog.lastpass.com/2022/12/notice-of-r[...]

Hackere krever løsepenger av norsk entreprenørselskap etter ransomware-angrep

Stangeland Maskin har nylig vært utsatt for et ransoware-angrep. Hackere krever millioner av kroner i løsepenger, ifølge Aftenbladet. Leverandører av selskapet har blitt varslet og det har så langt ikke gått ut over anleggsarbeidet. Selskapet har hyret inn eksperter på datasikkerhet for å få kontroll på situasjonen. Politiet er også informert.
Referanser
https://www.nrk.no/rogaland/hackere-krever-lo[...]

Wednesday 21 December 2022

2022.12.21 - Nyhetsbrev

Russisk-støttede hackere angrep stort oljeraffineri i et NATO-land. Kildekoden til Okta kompromittert gjennom hacket GitHub-bruker. Ny exploit forbigår ProxyNotShell-mitigeringer.

Russisk-støttede hackere angrep stort oljeraffineri i et NATO-land

I slutten av august i år gjennomførte en av de større russisk-støttede hacker-gruppene (Gamaredon/Primitive Bear/Shuckworm) et målrettet angrep mot et stort olje-raffineri i en NATO-nasjon. Angrepet var ikke vellykket, men tyder på en større russisk aggresjon når det gjelder informasjonsinnhenting mot den globale energi-sektoren. Palo Altos Unit 42 trusselforskere har brukt de siste 10 månedene på å samle og kartlegge hacker-gruppens forsøk, og poengterer at de fleste angreps-forsøkene blir gjennomført via e-poster som sikter seg inn mot spesifikke brukere.
Referanser
https://arstechnica.com/information-technolog[...]
https://unit42.paloaltonetworks.com/trident-ursa/

Kildekoden til Okta kompromittert gjennom hacket GitHub-bruker

Tidligere denne måneden fikk ondsinnede aktører tilgang til Oktas Github-konto. Dette medførte at aktøren kopierte kildekode relatert til Okta Workforce Identity Cloud (WIC), men skal ikke ha påvirket deres Auth0 (Customer Identity Cloud)-tjeneste.

Okta meddeler at angriperen ikke hadde tilgang til kundedata eller Oktas tjenester og at de har kontaktet relevante myndigheter. De er heller ikke avhengig av at kildekoden skal være konfidensiell for å beskytte sine tjenester. Det dermed ikke er nødvendig for kunder å foreta seg noe.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ny exploit forbigår ProxyNotShell-mitigeringer

CrowdStrike har nylig funnet ny sårbarhet som gjør det mulig for angripere å fjern-eksekvere kode via Outlook Web Access (OWA). De har også delt eksempelkode (PoC) for sårbarheten, samt sammenlignet den med tidligere lignende sårbarheter. Sårbarheten har fått navnet OWASSRF og har blitt aktivt utnyttet i løsepengeangrep for initiell tilgang til systemer. Under disse angrepene har man sett at aktøren vanligvis beholder tilgang til systemet ved hjelp av legitime AnyDesk- og Plink-installasjoner.

Sårbarhetene går under CVE-2022-41080 og CVE-2022-41082. Disse ble patchet 8. november av Microsoft. Ikke all gamle versjoner av Exchange kan oppgraderes. OWA-funksjonen bør slås av på disse installasjonene inntil de er oppgradert.
Referanser
https://www.crowdstrike.com/blog/owassrf-expl[...]

Tuesday 20 December 2022

2022.12.20 - Nyhetsbrev

Microsoft fant svakhet i OS X som lot malware unngå lokal sikkerhetssjekk.

Microsoft fant svakhet i OS X som lot malware unngå lokal sikkerhetssjekk

Microsoft har funnet en svakhet i macOS som lot angripere unngå sikkerhets-sjekker utført av det innebygde macOS-verktøyet Gatekeeper. Svakheten gjorde det mulig å lure potensielle ofre til å laste ned usignert malware fra nettet og få dette kjørt uten at Gatekeeper reagerte. Svakheten ble fikset i oktober. Microsoft har skrevet en lengre blogg-post om hvordan Gatekeeper fungerer og hvordan svakheten ble utnyttet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.microsoft.com/en-us/security/blog[...]

Monday 19 December 2022

2022.12.19 - Nyhetsbrev

Samba utgir sikkerhetsoppdateringer som fikser fire kritiske sårbarheter. Rec Silicon rammet av hackerangrep.

Samba utgir sikkerhetsoppdateringer som fikser fire kritiske sårbarheter

Samba implementerer Windows fildeling og utskrifter for Linux og MacOS. Blant de fire sårbarhetene ble to omtalt i Microsoft sin patche-tirsdag i november. Sårbarhetene gjorde det mulig for en angriper å tilegne seg administratorrettigheter.

De fire sårbarhetene går under CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 og CVE-2022-45141.
Referanser
https://thehackernews.com/2022/12/samba-issue[...]

Rec Silicon rammet av hackerangrep

Rec Silicon melder at de er blitt rammet av et løsepengevirus, som satte selskapets servere ute av drift en periode. Alle systemene er nå oppe igjen, men angriperne klarte dessverre å kopiere ut data fra bedriften før de ble stoppet. Disse stjålne dataene skal delvis ha blitt lagt ut offentlig.
Referanser
https://www.digi.no/artikler/rec-silicon-ramm[...]
https://newsweb.oslobors.no/message/578514

Friday 16 December 2022

2022.12.16 - Nyhetsbrev

Facebook: Firmaer som gjør datainnbrudd og overvåking mot betaling øker globalt. Justisdepartementet i USA har tatt ned DDoS-tjenester.

Facebook: Firmaer som gjør datainnbrudd og overvåking mot betaling øker globalt

Facebook har gitt ut en ny rapport der de ser på påvirkningsoperasjoner og hacking som har foregått delvis ved bruk av deres plattform. Firmaer som selger tjenester for datainnbrudd og overvåking er i stadig vekst. Ofte er det journalister, aktivister og regimekritikere som er målene. Firmaene bruker gjerne Facebook til å levere linker til phishing eller overvåkingsprogramvare til ofrene.

Rapporten tar spesielt for seg aktivitetene til det indiske firmaet CyberRoot. Firmaet har hatt mål over hele verden tilhørende flere sektorer. Alle kontoer tilhørende firmaet, samt alle kjente domener, er nå sperret fra Facebooks tjenester.
Referanser
https://therecord.media/spyware-and-surveilla[...]

Justisdepartementet i USA har tatt ned DDoS-tjenester

Det amerikanske justisdepartementet melder at de har arrestert seks personer for å ha drevet flere nettsteder som har tilbydd DDoS-angrep mot betaling. FBI har også beslaglagt 48 Internet-domener der tjenestene har blitt solgt.

Denne typen tjenester ("booter"-tjenester) brukes ofte av utpressere. De velger seg ut ofre, utfører DDoS-angrep mot dem og forlanger løsepenger for å avslutte angrepene.
Referanser
https://www.justice.gov/usao-cdca/pr/federal-[...]

Thursday 15 December 2022

2022.12.15 - Nyhetsbrev

Qakbot sniker seg inn via HTML-vedlegg som oppretter .ZIP-filer.

Qakbot sniker seg inn via HTML-vedlegg som oppretter .ZIP-filer

Skadevaren Quakbot blir nå spredt gjennom HTML-vedlegg i eposter. Når offeret åpner vedlegget, dekoder browseren en SVG-fil (vektor-grafikk objekt) som brukes til å bygge opp en .zip-fil lokalt på maskinen. Etter at ZIP-filer er bygget opp, blir brukeren bedt om å lagre filen. Dersom brukeren så blir lurt til å åpne filen, vil en .ISO-fil bli pakket ut. Dersom denne åpnes vil Quakbot bli installert. Quakbot vil deretter sanke inn informasjon fra den rammede maskinen og installere mer malware, som f.eks. ransomware eller bakdører.
Referanser
https://thehackernews.com/2022/12/hacking-usi[...]
https://blog.talosintelligence.com/html-smugg[...]

Wednesday 14 December 2022

2022.12.14 - Nyhetsbrev

Både Microsoft, Citrix og Apple har gitt ut oppdateringer mot svakheter som allerede utnyttes i aktive angrep. VMWare og Mozilla oppdaterer også flere produkter. Drivere signert av Microsoft brukt i ransomware-angrep. Sikkerhetsfloke i Amazon ECR (Elastic Container Registry).

Drivere signert av Microsoft brukt i ransomware-angrep

Hardware-utviklere har tilgang til å signere driverne sine gjennom en Microsoft-tjeneste kalt Microsoft Windows Hardware Developer Program. Microsoft har nå slette en rekke av disse kontoene, etter at de har blitt brukt til å signere malware som senere ble brukt i ransomware-angrep.
Referanser
https://www.bleepingcomputer.com/news/microso[...]
https://www.mandiant.com/resources/blog/hunti[...]

Sikkerhetsfloke i Amazon ECR (Elastic Container Registry)

Amazon ECR (Elastic Container Registry) Public Gallery, som tilbyr ferdiglagede container-varianter i AWS, tillot trussel aktører å redigere, modifisere eller slette eksisterende container-filer tilhørende andre AWS-brukere. Amazon ECR er et offentlige arkiv for container-filer for Nginx, EKS Distro, Amazon Linux osv. En sikkerhetsanalytiker i selskapet Lighspin oppdaget sårbarheten og informerte AWS 15. november. Det tok mindre enn 24 timer før AWS kom ut med en oppdatering som fikset problemet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Microsoft fikser 74 sårbarheter, én utnyttes allerede

Microsoft publiserte på tirsdag fikser for 74 sårbarheter. Syv av dem er definert som kritiske. Én svakhet i Windows SmartScreen utnyttes allerede i aktive angrep for å omgå ekstra beskyttelse mot filer nedlastet fra nettet (Mark og the Web).

En av de andre kritiske svakhetene muliggjør ekstern kjøring av kode (RCE) fra .Net rammeverket (CVE-2022-41089, CVSS 8.8). Det var også to mindre kritiske sårbarheter som kan utnyttes fra eksternt ståsted (RCE) som påvirket Microsoft SharePoint Server og Powershell.
Referanser
https://isc.sans.edu/diary/Microsoft+December[...]
https://msrc.microsoft.com/update-guide/en-US[...]

Apple oppdaterer iOS og MacOS, én svakhet utnyttes allerede

Apple har sluppet oppdateringer for iOS/iPadOS, MacOS, TVOS og WatchOS som fikser 39 sårbarheter. Denne oppdateringen gjør det også mulig å slå på krypterte backups i iCloud.

Apple ga også ut en en oppdatering for iOS (versjon 16.1.2) for to uker siden som fikset en sårbarhet i WebKit som lar en angriper eksekvere kode. Hva som ble patchet i denne oppdateringen ble først kjent i går. Google sin trussel-analyse gruppe nevner at WebKit sårbarheter ofte er assosiert med at personen besøker en ondsinnet nettside. WebKit sårbarheten kombineres ofte sammen med andre sårbarheter for å bryte gjennom flere sikkerhetslag på telefonen.
Referanser
https://isc.sans.edu/diary/Apple+Updates+Ever[...]
https://support.apple.com/en-us/HT213530
https://techcrunch.com/2022/12/13/apple-zero-[...]

Mozilla utgir sikkerhets oppdateringer for Thunderbird og Firefox

Mozilla har utgitt nye sikkerhets-oppdateringer for å motvirke sårbarheter i Thunderbird, Firefox ESR og Firefox. CISA anbefaler brukere til å lese over oppdateringene og patche der nødvendig. Denne gangen er det ingen svakheter kategorisert som kritiske, men flere med høy viktighet.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

VMware oppdaterer VMware ESXi, Workstation, Fusion og VMware vRealize Network Insight

VMware har utgitt nye sikkerhets-oppdateringer for å utbedre flere sårbarheter i flere av deres produkter. Én av sårbarhetene gjør det mulig å bryte ut av det virtuelle miljøet og kjøre kode på host-systemet. En annen svakhet gjør det mulig å kjøre kode på VMware vRealize Network Insight med nettverkstilgang uten å logge inn.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Sårbarhet i Citrix ADC og Citrix Gateway utnyttes allerede i angrep

Citrix publiserte i går opplysninger om CVE-2022-27518 som tar for seg en sårbarheter i Citrix ADC og Citrix Gateway som kan forårsake uautentisert ekstern kjøring av vilkårlig kode. Svakhetene blir allerede utnyttet i målrettede angrep. Vi anbefaler å patche så fort som mulig og sjekke eksponerte installasjoner for kompromittering.

NSA advarte også i går om at den kinesiske aktøren APT5 utnytter nylige svakheter i Citrix ADC. Se lenke til PDF.
Anbefaling
Oppdater Citrix ADC og Citrix Gateway til den relevante versjonen så fort som mulig
Referanser
https://support.citrix.com/article/CTX474995/[...]
https://www.citrix.com/blogs/2022/12/13/criti[...]
https://media.defense.gov/2022/Dec/13/2003131[...]

Tuesday 13 December 2022

2022.12.13 - Nyhetsbrev

Kritisk sårbarhet i FortiOS SSL-VPN.

Kritisk sårbarhet i FortiOS SSL-VPN

Nasjonalt Cybersikkerhetssenter (NCSC) har sendt ut varsel om en kritisk sårbarhet (CVE-2022-42475) i FortiOS SSL-VPN [1]. Sårbarheten har fått CVSS-score 9.3 og gjør det mulig for en ekstern, uautentisert angriper å kjøre vilkårlig kode på systemet via spesielt utformede forespørsler.

Fortinet er kjent med aktiv utnyttelse av sårbarheten. NCSC anbefaler derfor systemeiere å oppdatere berørte versjoner av FortiOS til nyeste versjon så snart det lar seg gjøre. I tillegg bør man utføre Fortinets anbefalte undersøkelser for å avdekke hvorvidt man kan ha blitt utsatt for utnyttelse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.fortiguard.com/psirt/FG-IR-22-398

Monday 12 December 2022

2022.12.12 - Nyhetsbrev

Flere SektorCERTer i Norge advarer mot spredning av ormen Raspberry Robin via USB-enheter.

Det advares mot spredning av USB-ormen Raspberry Robin i Norge

Flere norske SektorCERT-organisasjoner advarer mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Vi har hatt flere saker om ormen, blant annet en oppdatering fra Microsoft i slutten av oktober som vi inkluderer på nytt i denne saken. Ormen har flere måter å spre seg på. Etter at den får tilgang på innsiden av et nettverk, blir tilgangen typisk videresolgt til bruk for industri-spionasje, ransomware osv.

Etter at brukeren setter inn USB lagringsenheten i en PC, blir vedkommende lurt til å trykke på en .LNK-fil. Windows Installer blir deretter brukt til å hente ned en .DLL-fil med skadevare som så infiserer PCen.

HelseCERT anbefaler følgende tiltak:

- Begrensnig av hvilke minnepinner som kan benyttes ved hjelp av Group Policy
- Blokkere tilgang til nylig opprettede domener. Dette kan for eksempel gjøres i en del brannmurer av nyere type.
- Vurdere å innføre applikasjonshvitelisting på DLL-filer ved hjelp av AppLocker.
- Vurder overvåking av nettverkstrafikk generert av Windows Installer/msiexec.
Referanser
https://www.microsoft.com/en-us/security/blog[...]
https://redcanary.com/blog/raspberry-robin/

Friday 9 December 2022

2022.12.09 - Nyhetsbrev

Automatiserte dark-web markedsplasser selger bedrifters epost-kontoer for $2. Ransomware-grupper finner stadig på nye utpressingsmetoder mot ofre.

Automatiserte dark-web markedsplasser selger bedrifters epost-kontoer

Bedrifters stjålne e-post-kontoer blir solgt på markedsplasser for cyberkriminelle for så lite som 2 USD. Det israelske cyber-etterretningsselskapet KELA rapporterer at minst 225.000 e-post-kontoer er til salgs på slike markedsplasser.

Disse kontoene blir som regel stjålet ved hjelp av cracking (av stjålne passord-filer), gjetting av passord mot eksponerte tjenester (credential stuffing) og phishing. De som kjøper disse kontoene bruker de gjerne til å utføre angrep som business email compromise (BEC), sosial manipulering målrettede phishing-angrep og som en inngangsport til dypere nettverksinfiltrering.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ransomware grupper finner stadig nye utpressingsmetoder mot ofre

Sikkerhetsfirmaet Hold Security melder at ransomwaregrupper i mange tilfeller har problemer med å få betalt. De benytter seg derfor av nye utpressingsmetoder. Ransomware-gruppen Venus har for eksempel truet med å endre e-poster tilhørende høyt profilerte ledere, for å få det til å se ut som om de planlegger innsidehandel. Gruppen truer videre med å publisere disse e-postene dersom det ikke betales en sum løsepenger.

Videre melder Hold Security om en annen gruppe kalt CLOP, som også har uført ransomware-angrep mot helsesektoren i USA. Denne grupperingen har begynt å sende infiserte filer utformet til å se ut som ultralyd-bilder eller andre medisinske dokumenter. Deretter skaffer de helseforsikring og betalingsbevis for å booke en konsultasjonstime, i håp om at helsepersonell vil gå igjennom de infiserte filene før timen og dermed infisere systemene sine.
Referanser
https://krebsonsecurity.com/2022/12/new-ranso[...]

Thursday 8 December 2022

2022.12.08 - Nyhetsbrev

Apple vil tillate kryptering av iCloud sikkerhetskopier.

Apple vil tillate kryptering av iCloud sikkerhetskopier

Apple har meldt at de nå vil tilby kryptering av Bilder, chat-logger og andre sensitive bruker-data i iCloud. Den nye sikkerhetsfunksjonen vil bli tilgjengelig for software-testere umiddelbart, mens Kunder i USA vil få mulighet i løpet av året. Resterende land vil få tilgang til tjenesten i løpet av neste år.

Det er forventet at det vil komme protester fra myndigheter i forskjellige land sammen med potensielle lovforslag for å stoppe sikkerhetstiltaket. Fram til nå har mange lands myndigheter kunnet få tilgang til ukryptert backup av Apple-enheter ved hjelp av krav om utlevering av data, noe som nå vil bli umulig.
Referanser
https://www.washingtonpost.com/technology/202[...]
https://www.apple.com/newsroom/2022/12/apple-[...]

Wednesday 7 December 2022

2022.12.07 - Nyhetsbrev

Android-oppdatering fikser fire kritiske sårbarheter. Skyleverandøren Rackspace bekrefter at nedetid skyldes ransomware angrep. Palo Alto publiserer en trusselprofil av ransomware-gruppen Vice Society. Oppsummering av nyhetsbildet innen datasikkerhet for november 2022.

Android-oppdatering fikser fire kritiske sårbarheter

Google har sluppet desember-oppdateringen for Android. Fire kritiske sårbarheter blir utbedret, inkludert en sårbarhet som kan utnyttes via Bluetooth uten noen spesielle rettigheter. Totalt er det 81 svakheter som blir utbedret.
Referanser
https://source.android.com/docs/security/bull[...]
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for november 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for november 2022. Denne måneden er hovedsakene Microsofts "Digital Defense Report" for 2022 og togstansen i Danmark som skyldtes et cyber-angrep.
Referanser
https://telenorsoc.blogspot.com/2022/12/oppsu[...]

Skyleverandøren Rackspace bekrefter at nedetid skyldes ransomware angrep

Rackspace skriver selv at de ble oppmerksomme på mistenkelig aktivitet 2. desember og isolerte deres Hosted Exchange-tjeneste for å unngå spredning av angrepet. De melder videre at de undersøker hendelsen sammen med et sikkerhetsfirma, men at de er i en tidlig fase og ikke kan si noe om hvilken data som kan være påvirket. Kunder som benytter epost-tjenesten til firmaet har fortsatt ikke tilgang til tjenesten. Det er ukjent når tjenesten kommer opp igjen, men kundene kan få kopier av mailboksene sine.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Palo Alto publiserer en trusselprofil av ransomware-gruppen Vice Society

Vice Society er en ransomware-gruppe som har vært involvert i ransomware-angrep særlig mot utdanningssektoren dette året. De skiller seg fra andre grupper som f.eks LockBit ved at de ikke bruker "ransomware som en tjeneste"-modellen (RaaS) men heller bruker avledede versjoner (forks) av allerede eksisterende ransomware-familier, som er solgt på markedsplasser på det mørke nettet.
Referanser
https://unit42.paloaltonetworks.com/vice-soci[...]

Tuesday 6 December 2022

2022.12.06 - Nyhetsbrev

Crowdstrike ser på økonomisk motiverte angrep mot telekom-selskaper. Kinesisk APT bruker Ukraina-krigen som lokkemat for initiell tilgang.

Crowdstrike ser på økonomisk motiverte angrep mot telekom-selskaper

Crowdstrike har sett på en angrepskampanje fra en økonomisk motivert angriper som retter seg mot telekom-selskaper og outsourcing-selskaper. Målet er å få tilgang til abonnements-tjenester og å bytte ut eiere av SIM-kort og dermed få tilgang til bankkontoer. Initiell tilgang oppnås ved hjelp av social engineering. Ofrene blir også lurt til å installere diverse programmer for fjerntilgang.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.crowdstrike.com/blog/analysis-of-[...]

Kinesisk APT bruker Ukraina-krigen som lokkemat for initiell tilgang

BlackBerry har gitt ut en rapport om den kinesiske aktøren Mustang Panda. Aktøren har tatt i bruk en fil kalt “Political Guidance for the new EU approach towards Russia.rar” som lokkemat for å oppnå initiell tilgang hos potensielle ofre. I tillegg til et dokument inneholder også filen en PlugX-trojaner for fjerntilgang. Kampanjen har rettet seg både mot private selskaper og offentlige myndigheter i flere land. Rapporten inneholder mer detaljer, inkludert nettverksinfrastrukturen som aktøren bruker og IoCer.
Referanser
https://blogs.blackberry.com/en/2022/12/musta[...]

Monday 5 December 2022

2022.12.05 - Nyhetsbrev

Hasteoppdatering til Google Chrome fikser nulldagssårbarhet. Flere Android-appsigneringsnøkler har blitt lekket - kan bli brukt til å signere skadevare. Ny publisering fra Microsoft: Ukraina og russiske cyberoperasjoner i vinter.

Hasteoppdatering til Google Chrome fikser nulldagssårbarhet

Google slapp Chrome versjon 108.0.5359.94/.95 for Windows, Mac og Linux-brukere. Denne versjonen fikser en nulldagssårbarhet som allerede blir aktivt utnyttet. Sårbarheten er beskrevet i CVE-2022-4262 og er et resultat av en feil i Chrome V8 JavaScript-dekoderen som gjorde det mulig å lese og skrive til egentlig utilgjengelige minneområder. Dette er årets niende nulldagssårbarhet oppdaget i Google Chrome.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://chromereleases.googleblog.com/2022/12[...]

Flere Android-appsigneringsnøkler har blitt lekket - kan bli brukt til å signere skadevare

Google sin Android-sikkerhetsgruppe har publisert at de har oppdaget lekkede Android-appsigneringsnøkler som blir brukt til å signere apper med skadevare. De lekkede nøklene tilhører blant annet Samsung, LG og Mediatek. Lekkasjene har skjedd over flere år. Dersom en holder seg til apper i Google Play skal ikke lekkasjen utgjøre noe fare, da apper som som er signert med dem ikke vil bli godkjent.
Referanser
https://arstechnica.com/gadgets/2022/12/samsu[...]

Ny publisering fra Microsoft: Ukraina og russiske cyberoperasjoner i vinter

I de siste månedene har trusselaktører tilknyttet det russiske militæret utført angrep mot energi, vann og kritisk nettverksinfrastruktur i Ukraina og landene rundt. Microsoft har også overvåket hvordan russiske aktører har påvirket valg og spredd propaganda, de har utifra dette laget en Russian Propaganda Index ved hjelp av deres AI for Good Lab. De meddeler også hvordan de planlegger å mitigere trusler fra aktører med blant annet informasjons-spredning, overvåkning og etterforsking av angrep.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

Friday 2 December 2022

2022.12.02 - Nyhetsbrev

ConnectWise har fikset svakhet som hjalp svindlere.

ConnectWise har fikset svakhet som hjalp svindlere

ConnectWise som tilbyr remote desktop programvare har sluppet en oppdatering som fikser en farlig svakhet. Svakheten gjør at en angriper kan ta over remote desktop programvaren bare ved at brukeren trykker på en link.
Referanser
https://krebsonsecurity.com/2022/12/connectwi[...]

Thursday 1 December 2022

2022.12.01 - Nyhetsbrev

Datainnbrudd hos LastPass mer alvorlig enn først antatt. Utnyttelse av 0-dags sårbarheter i nettlesere knytes til IT-firma i Spania.

Datainnbrudd hos LastPass mer alvorlig enn først antatt

I et blogginnlegg på deres egen blogg skriver LastPass at de undersøker en sikkerhetshendelse sammen med blant annet Mandiant og relevante myndigheter. LastPass har oppdaget unormal aktivitet hos en tredjeparts skylagringstjeneste, brukt av dem selv og deres partner GoTo.

Datainnbruddet er antageligvis relatert til en hendelse som tok plass i august, der en inntrenger fikk tilgang til interne data. Disse dataene har blitt brukt til å utføre videre innbrudd.

LastPass forsikrer imidlertid kundene sine om at lagrede passord ikke har kommet på avveie, siden passordene er kryptert med brukernes eget "master passord" som LastPass ikke skal ha tilgang til.
Referanser
https://blog.lastpass.com/2022/11/notice-of-r[...]

Utnyttelse av 0-dags sårbarheter i nettlesere knytes til IT-firma i Spania

Google har i det siste fulgt ekstra godt med på firmaer som lever av å selge komersiell spionprogramvare, som israelske NSO-group. I en ny rapport avslører de detaljer rundt et malware-rammeverk kalt "Heliconia" laget av det spanske firmaet Variston IT.

Rammeverket har utnyttet 0-dags sårbarheter i Chrome, Firefox og Microsoft Defender. Google, Microsoft og Mozialla fikset sårbarhetene i 2021 og tidlig 2022. Etter at sårbarhetene har blitt utnyttet har avanserte spionprogramvare blitt installert på de sårbare enhetene.
Referanser
https://arstechnica.com/information-technolog[...]
https://blog.google/threat-analysis-group/new[...]

 
>