2023.04.28 - Nyhetsbrev

Sårbarheter i produkter fra Zyxel

Sårbarheter i produkter fra Zyxel

JustisCERT har sendt ut varsel om sårbarheter som berører flere brannmur-produkter, VPN-løsninger og aksesspunkt fra Zyxel. Totalt 9 CVE ble publisert 25. april 2023 hvor 1 er kategorisert som kritisk (CVE-2023-28771 med CVSS-score 9.8) og 6 som alvorlig (CVE-2023-22913, CVE-2023-22914, CVE-2023-22915, CVE-2023-22916, CVE-2023-22917 og CVE-2023-27991 med CVSS-Score til og med 8.8). Den kritiske sårbarheten gjør det mulig for en uautentisert angriper å kjøre utvalgte OS-kommandoer på berørte enheter. Zyxel har publisert nødvendige oppdateringer og veiledninger for oppgradering av berørte produkter.
Anbefaling
Installer oppdateringer.
Referanser
https://www.zyxel.com/global/en/support/secur[...]

2023.04.26 - Nyhetsbrev

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter. Tjenesten SLP kan brukes til å forsterke DDoS-angrep 2200 ganger.

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter som kan bli kjedet sammen for å få kjørt angrepskode på selskapets Workstation- og Fusion-hypervisorer. De to feilene er en del av en utnyttelseskjede som ble demonstrert av STAR Labs sikkerhetsforskere for en måned siden ved sikkerhetskonferansen Pwn2Own Vancouver 2023. Sårbarhet nr 1 kjent som CVE-2023-20869 og er en stack-basert buffer overflow sårbarhet i Bluetooth-enhetsdeling som tillater lokale angripere å kjøre kode som VMX-prosessen til den virtuelle maskinen. Sårbarhet nr 2 kjent som CVE-2023-20870 og er en svakhet i funksjonaliteten for å dele vertens Bluetooth-enheter med VMen, som gjør det mulig for ondsinnede aktører å lese privilegert informasjon som finnes i hypervisor-minnet fra en VM. VMware har også delt en midlertidig løsning for administratorer som ikke umiddelbart kan installere patcher for de to feilene på systemene sine. VMware adresserte også to andre sikkerhetsfeil i sine produkter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Tjenesten SLP kan brukes til å forsterke DDoS-angrep 2200 ganger

Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare UDP-tjenester som er tilgjengelig på nettet. Eksempler på tjenester som gjerne blir misbrukt er DNS og NTP. Angriper sender da en liten pakke med, spoofet til å se ut som om den blir sendt fra målet til angrepet, til en sårbar tjeneste. Tjenesten sender så svaret på forespørselen til målet, men svaret er mye større. Angriperen oppnår dermed både å få forsterke angrepet sitt og skjule hvor angrepet kommer fra. Slike angrep kalles gjerne volumetriske, da formålet er å lage nok volum på trafikken til å fylle opp Internett-forbindelsen til offeret. Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men er ikke lenger mye i bruk. Tjenesten var aldri ment å være tilgjengelig utenfor lokalnettet. 35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan det forsterkes hele 2200 ganger. Vi anbefaler alle å sjekke om de eksponerer tjenesten ut på nettet via UDP port 427 for å unngå å bli utnyttet i angrep!
Referanser
https://www.bitsight.com/blog/new-high-severi[...] https://www.netscout.com/blog/asert/slp-refle[...]

2023.04.25 - Nyhetsbrev

Sophos melder at ransomware-bander bruker verktøyet AuKill for å uskadeliggjøre endepunktsagenter. Nytt verktøy for å stjele passord og tilganger: EvilExtractor. Utnyttelseskode for kritisk svakhet i PaperCut har blitt utgitt .

Sophos melder at ransomware-bander bruker verktøyet AuKill

Sophos melder at de i løpet av de siste månedene ved flere tilfeller har sett bruk av verktøyet AuKill for å uskadeliggjøre endepunktsagenter (EDR). Verktøyet benytter seg av en gammel og sårbar driver tidligere brukt av Process Explorer til å laste inn verktøyet i systemet. Driveren er signert av Microsoft. Etter å ha uskadeliggjort sikkerhetsprogramvaren, står angriperne fritt til å installere bakdører eller å kryptere filene på systemet. Dette er et eksempel på et såkalt BYOVD-angrep (bring your own vulnerable driver).
Referanser
https://news.sophos.com/en-us/2023/04/19/auki[...]

Nytt verktøy for å stjele passord og tilganger: EvilExtractor

Ett nytt verktøy for å stjele passord og tilgangsnøkler (cookies) fra PCer kalt EvilExtractor har dukket opp på det mørke nettet. Verktøyet stjeler data fra infiserte systemer og laster det opp via FTP (File Transfer Protocol) til angripernes fil-server. Verktøyet har vært tilgjengelig siden oktober 2022, men har sett et oppsving i bruken i mars i år.
Referanser
https://thehackernews.com/2023/04/new-all-in-[...]

Utnyttelseskode for kritisk svakhet i PaperCut har blitt utgitt

PaperCut er et system for å administrere utskrifter med mange brukere. I mars i år ble det offentliggjort en kritisk svakhet i systemet, som mange enda ikke har installert, 1700 installasjoner av systemet er eksponert direkte ut på nettet og kan være sårbare. Utnyttelseskode for svakheten, som nå er tilgjengelig, lar en angriper kjøre vilkårlig kode på et sårbart system uten å være autentisert.
Anbefaling
Installer oppdatert versjon
Referanser
https://arstechnica.com/information-technolog[...]

2023.04.24 - Nyhetsbrev

Rolle-basert tilgangskontroll i Kubernetes misbrukes til å utvinne kryptovaluta

Rolle-basert tilgangskontroll i Kubernetes misbrukes til å utvinne kryptovaluta

Skysikkerhetsfirmaet Aqua har oppdaget en større kampanje for å utvinne kryptovaluta ved hjelp av Kubernetes-containere. Angriperne misbruker rolle-basert tilgangskontroll til å ta kontroll over et stort antall containere i større clustere. Initiell tilgang oppnås gjennom feilkonfigurerte API-servere. Over 60 clustere skal være rammet.
Referanser
https://securityaffairs.com/145155/breaking-n[...]

2023.04.21 - Nyhetsbrev

3CX var antakelig det første eksempel på dobbelt forsyningskjede-angrep. Capita innrømmer at de har vært utsatt for ransomware. Lazaurs-gruppen sender nå ut Linux-malware til sine ofre. VMware sender ut haste patcher for å dekke kritiske sårbarheter. Kritiske sårbarheter i Cisco-produkter.

3CX var antakelig det første eksempel på dobbelt forsyningskjede-angrep

VoIP-firmaet 3CX ble for noen uker siden rammet av et forsyningskjede-angrep der deres programvare for Windows og macOS fikk injisert en bakdør. Automatiske oppdateringer med denne bakdøren inkludert ble deretter automatisk utsendt til 3CX kunder. Det var nord-koreanske hackere som stod bak angrepet, og målet var å stjele krypto-valuta. Det viser seg nå at det initielle innbruddet hos 3CX skjedde på grunn av et forsyningskjede-angrep. Sikkerhetsselskapet Mandiant melder nå at en PC tilhørende en ansatt i 3CX ble hacket gjennom et forsyningskjede-angrep mot programvaren til Trading Technologies. Dettte angrepet ble gjennomført av den samme nord-koreanske gruppen som kompromitterte 3CX.
Referanser
https://www.wired.com/story/3cx-supply-chain-[...]

Capita innrømmer at de har vært utsatt for ransomware

Outsourcing-selskapet Capita har nå innrømmet at de har vært utsatt for et ransomware-angrep, etter flere ukers spekulasjoner. Russiske operatører fra ransomware-gjengen BlackBasta har hatt tilgang til nettverket siden 22. mars. De fikk initiell tilgang til det interne nettet via en phishing-epost som inneholdt Quakbot-malware. Sikkerhetseksperten Kevn Beaumont har skrevet en oppsummering av saken.
Referanser
https://www.capita.com/news/update-cyber-incident https://doublepulsar.com/russian-hackers-exfi[...]

Lazaurs-gruppen sender nå ut Linux-malware til sine ofre

Nord-koreanske hackere i Lazarus Group sender nå ut en Linux-versjon av sin malware der dette er aktuelt. Gruppen er kjent for å spre malware til ofre som ser etter arbeid innen programvare-utvikling eller krypto-valuta, kjent som "Operation DreamJob".
Referanser
https://www.bleepingcomputer.com/news/securit[...]

VMware sender ut haste patcher for å dekke kritiske sårbarheter

VMWare sendte ut hastepatcher på torsdag for å utbedre kritiske sikkerhetsfeil i VMware Aria Operations for Logs (tidligere vRealize Log Insight) produktlinje og advarte om risikoen for utnyttelse av svakheter, selv før brukeren er autentisert. Advarselen fra VMware dokumenterer to separate sårbarheter - CVE-2023-20864 og CVE-2023-20865. En ikke-autentisert, ondsinnet aktør med nettverkstilgang til VMware Aria Operations for Logs kan være i stand til å kjøre vilkårlig kode som root, opplyste selskapet i dokumentasjonen av sårbarheten. Sårbarheten har en CVSS-alvorlighetsgrad på 9,8 av 10. Den andre sårbarheten beskrives som et kommandoinjeksjonsproblem med en CVSS-score på 7,2/10.
Anbefaling
Sjekk om bedriften bruker systemer med dette produktet.
Referanser
https://www.securityweek.com/vmware-patches-p[...]

Kritiske sårbarheter i Cisco-produkter

JustisCERT varsler om sårbarheter som berører flere av Cisco sine produkter. Totalt 12 CVE ble publisert 19.04.2023 hvor 2 er kategorisert som kritisk (CVE-2023-20036 med CVSS-Score 9.9 og CVE-2023-20154 med CVSS-Score 9.1) og 2 som alvorlig (CVE-2023-20046 med CVSS-Score 8.8 og CVE-2023-20125 med CVSS-Score 8.6). De kritiske og alvorlige sårbarhetene berører Cisco Industrial Network Director (IND), Cisco Modeling Labs (dersom denne er konfigurert med LDAP-autentisering), Cisco StarOS (dersom denne benytter nøkkelbasert SSH-autentisering) og Cisco BroadWorks Network Server.
Anbefaling
Installer oppdateringene for respektive produkter
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

2023.04.20 - Nyhetsbrev

Google patcher enda en aktivt utnyttet sårbarhet i Chrome.

Google patcher en aktivt utnyttet sårbarhet i Chrome

Versjon 112.0.5615.137 av Google Chrome fikser totalt åtte sårbarheter, inkludert null-dags-sårbarheten CVE-2023-2136 som har blitt brukt i angrep tidligere i år. Denne sårbarheten utnyttet en integer overflow sårbarhet i 2D-grafikkbiblioteket Skia. Sårbarheten gjør det mulig å eksekvere vilkårlig kode. Vi anbefaler å oppdatere Chrome ved å avslutte programmet og starte det igjen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.04.19 - Nyhetsbrev

NSO-group har brukt tre zero-click svakheter mot iOS i 2022. Mandiant har gitt ut sin årlige rapport M-Trends. Kritisk sårbarhet i VM2 kan føre til ekstern kode-eksekvering ved hjelp av sandkasseflukt. Kvartalsvise sikkerhetsoppdateringer fra Oracle - April 2023.

NSO-group har brukt tre zero-click svakheter mot iOS i 2022

CitizenLab har gitt ut en ny rapport som tar for seg tre forskjellige zero-click exploit-kjeder brukt mot iOS av NSO-group i 2022. Svakhetene har blant annet blitt brukt mot menneskerettighetsforkjempere og journalister. Både iOS 15 og iOS 16 har vært rammet. Dette dreier seg altså om svakheter som det ikke fantes patcher for på det tidspunktet de ble brukt og som infiserte brukerne uten at de trykket på linker e.l.
Referanser
https://citizenlab.ca/2023/04/nso-groups-pega[...]

Mandiant har gitt ut sin rapport M-Trends

Sikkerhetsselskapet Mandiant, som nå er eid av Google, har gitt ut 2023-utgaven av sin sikkerhetsrapport M-Trends. SecurityWeek har skrevet en oppsummering av rapporten der de blant annet nevner krigen i Ukraina, spionasje fra Kina og Iran, samt tyveri av kryptovaluta fra Nord-Korea.
Referanser
https://www.securityweek.com/mandiant-2023-m-[...] https://www.mandiant.com/m-trends

Kritisk sårbarhet i VM2 kan føre til ekstern kode-eksekvering ved hjelp av sandkasseflukt

En sårbarhet er funnet i VM2, et spesialisert sandkasseverktøy basert på JavaScript. Programvaren er brukt i mange ulike verktøy for å teste usikret kode i et eget, isolert miljø. I løpet av de siste to ukene har flere sårbarheter blitt funnet, blant annet CVE-2023-29017, CVE-2023-29199 og CVE-2023-30547. Den nyeste sårbarheten (CVE-2023-30547) har en CVSS score på 9.8 (kritisk) og tillater en angriper å oppnå ekstern kode-eksekvering ved å manipulere handleException() ved hjelp av en selvlaget proxy-handler. Sårbarheten ble funnet av sikkerhetsanalytiker Seung Hyun Lee og et proof-of-concept (PoC) av sårbarheten kan sees på GitHub i vedlagt lenker.
Anbefaling
Sjekk om bedriften bruker systemer med dette biblioteket.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://gist.github.com/leesh3288/381b230b049[...]

Kvartalsvise sikkerhetsoppdateringer fra Oracle - April 2023

JustisCERT melder at Oracle den 18.04.2023 publiserte sine kvartalsvise sikkerhetsoppdateringer. Det er totalt 433 nye sårbarheter som rettes, flere er kategorisert som kritiske. 298 av sårbarhetene kan utnyttes uten autentisering. Høyeste CVSS-score er 9.9.
Anbefaling
JustisCERT anbefaler systemeiere å undersøke om de har sårbare Oracle-produkter og sørge for at disse blir oppdatert.
Referanser
https://www.oracle.com/security-alerts/cpuapr[...]

2023.04.18 - Nyhetsbrev

Googles Cybersecurity Action Team har gitt ut rapporten Threat Horizons. Den russiske gruppen bak SolarWinds-angrepet med nye angrep. Storbritannias største outsourcing-selskap kan være rammet av ransomware.

Googles Cybersecurity Action Team har gitt ut rapporten Threat Horizons

Google har gitt ut en rapport som tar seg sikkerhetshendelser og risiko knyttet til deres skytjenester. De skriver blant annet om en kinesisk aktør (APT41/Winnti) som bruker Google Cloud både for å levere skadevare, kommando- og kontroll-tjenester og eksfiltrasjon av data. Google skriver at den vanligste måten å ta kontroll over både bedriftsnettverk og skytjenester er ved hjelp av lekkede eller stjålne innloggingsdetaljer.
Referanser
https://services.google.com/fh/files/blogs/gc[...]

Den russiske gruppen bak SolarWinds-angrepet med nye angrep

Den polske etterretningstjenesten og CERT-teamet har gitt ut en advarsel om ny aktivitet fra grupperingen som stod bak forsyningskjede-angrepet mot SolarWinds, kjent som Nobelium/APT29. Målene for operasjonen er utenriksdepartementer, diplomater fra NATO-land og andre land i Europa/Afrika. Angrepene begynner i alle tilfeller med nøye utformede phishing-eposter. Kampanjen skal fortsatt være pågående og polske myndigheter har analysert verktøyene som har vært brukt, samt delt en liste med IoCer.
Referanser
https://www.darkreading.com/vulnerabilities-t[...] https://www.gov.pl/web/baza-wiedzy/espionage-[...]

Storbritannias største outsourcing-selskap kan være rammet av ransomware

I rundt fjorten dager har det gått rykter om at Capita, Storbritannias største outsourcing-selskap, kan være rammet av ransomware. Capita annonserte rundt to uker siden at selskapet hadde IT-problemer som førte til at ansatte ikke fikk logget inn på kontoene sine. Ransomware-gruppen Black Basta påsto like etter at de stod bak et angrep mot bedriften, og har siden også lagt ut det de påstår er interne data fra bedriften. Capita meldte i går at de fortsatt ikke har avklart om de har blitt utsatt for et ransomware-angrep eller ikke.
Referanser
https://therecord.media/capita-investigates-a[...]

2023.04.17 - Nyhetsbrev

Google har utgitt nød-oppdatering for Chrome som fikser årets først nulldagssårbarhet.

Google har utgitt nød-oppdatering for Chrome som fikser årets først nulldagssårbarhet

Google har sluppet en haste-oppdatering til Google Chrome som fikser svakheten som har fått betegnelsen CVE-2023-2033. Feilen ligger i JavaScript-motoren V8 og skyldes en "type confusion"-svakhet, altså at interne data blir aksessert på feil måte. Google har selv oppdaget svakheten, men har ikke sluppet videre detaljer rundt den, bortsett fra at angrepskode allerede er offentlig tilgjengelig. Den nye versjonen er allerede tilgjengelig for noen brukere, og vi oppfordrer til å oppdatere så fort som mulig!
Referanser
https://chromereleases.googleblog.com/2023/04[...]

2023.04.14 - Nyhetsbrev

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2023. Svakheter utbedres i Mozilla Firefox og Thunderbird. Oppdatering for flere produkter fra Juniper.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for mars 2023. Denne måneden skriver vi blant annet om manglende konfigurering av tilgangskontroll i Azure og NSMs vurderinger av TikTok og Telegram.
Referanser
https://telenorsoc.blogspot.com/2023/04/oppsu[...]

Svakheter i Mozilla Firefox og Thunderbird

JustisCERT melder om svakheter i produkter fra Mozilla. Den 11.04.2023 publiserte Mozilla oppdateringer som retter 22 CVE i Firefox 112 (11 er kategorisert som alvorlig), 13 CVE i Firefox ESR 102.10 (8 er kategorisert som alvorlig) og 15 CVE i Thunderbird 102.10 (9 er kategorisert som alvorlig). Vi anbefaler patching.
Referanser
https://www.mozilla.org/en-US/security/advisories/

Oppdatering for flere produkter fra Juniper

NkomCSIRT melder at Juniper har publisert 39 bulletiner vedrørende sårbarheter i Junos OS og Secure Analytics, samt informasjon om tilhørende oppdateringer. To sårbarheter kategoriseres som kritiske og ti kategoriseres som alvorlige. EkomCERT er kjent med aktiv utnyttelse av sårbarheten med ArticleID JSA70613 (CVE 2022-42889): "JSA Series: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults".
Referanser
https://supportportal.juniper.net/s/global-se[...]

2023.04.13 - Nyhetsbrev

DDoS-angrep gjør et skifte til VPS-infrastruktur. Microsoft og CitizenLab ser på overvåkings-firmaet QuaDreams, som leverer en plattform brukt for å bryte seg inn i og overvåke mobiltelefoner.

DDoS-angrep gjør et skifte til VPS-infrastruktur

Tidligere har DDoS-angrep ofte blitt generert av IoT-baserte botnet. I følge Cloudflare har det skjedd et skifte i angrepsmåte i første kvartal av 2023 hvor virtuelle privat servere har blitt mer brukt til å utføre DDoS angrep. Angriperne får tilgang til serverne ved hjelp av svakheter eller lekket innloggingsinformasjon. Ved bruk av denne angrepsmetoden har det blitt registrert en økning med opp til 5000 ganger sterkere angrep, i forhold til IoT-baserte angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://blog.cloudflare.com/ddos-threat-repor[...]

Microsoft og CitizenLab ser på overvåkings-firmaet QuaDreams

QuaDreams er et firma som leverer overvåkingsprogramvare for mobiltelefoner. Firmaet konkurrerer med firmaer som israelske NSO. Denne typen firmaer leverer typisk programvaren sin til myndigheter i forskjellige land. CitizenLab og Microsoft har sett nærmere på firmaet og deres programvare plattform kalt "Reign", som inkluderer utnyttelseskode og overvåkingsprogramvare for Android og iOS-mobiler. Microsoft har dokumentert at Reign, og spesielt malwaren "KingsPawn", har blitt brukt til å kompromittere og overvåke iPhones tilhørende journalister og personer innvolvert i politikk i flere land. Det er også tegn på at Android-mobiler er rammet.
Referanser
https://citizenlab.ca/2023/04/spyware-vendor-[...] https://www.microsoft.com/en-us/security/blog[...]

2023.04.12 - Nyhetsbrev

Microsoft, Fortinet, Adobe og SAP har sluppet oppdateringer i forbindelse med denne månedens patche-tirsdag. Mest alvorlig er svakhet som gir eskalering av rettigheter i Windows som allerede blir brukt i angrep samt alvorlig svakhet i Adobe Acrobat. Microsoft Azure-brukere anbefales å deaktivere delte nøkler for Azure Storage.

Microsoft Azure-brukere anbefales å deaktivere delte nøkler for Azure Storage

Når en oppretter lagrings-kontoer i Microsoft Azure blir nøklene til kontoen som standard satt opp til å være delt, selv om Microsoft selv anbefaler å gjøre det motsatte. Dersom nøklene kommer på avveie, kan uvedkommende uten problemer få tilgang til de lagrede dataene i kontoen. For å unngå denne risikoen bør brukere slå av autentisering via delte nøkler og heller bruke Azure Active Directory.
Referanser
https://www.theregister.com/2023/04/11/orca_a[...] https://orca.security/resources/blog/azure-sh[...]

Adobe oppfordrer til patching av Adobe Acrobat & Reader

Tirsdag publiserte Adobe en sikkerhetsoppdatering som utbedrer 56 svakheter i flere av produktene deres. Ifølge Adobe kan utnyttelse av sikkerhetshullene resultere i kjøring av vilkårlig kode, rettighetseskalering, omgåelse av sikkerhetsfunksjoner, og minnelekkasje for både Windows- og MacOS-brukere.
Referanser
https://www.securityweek.com/adobe-plugs-gapi[...]

Fortinet oppdaterer flere av sine produkter

JustisCERT varsler om sårbarheter i flere produkter fra Fortinet. Totalt 21 CVEer ble publisert 11.04.2023, hvor én er kategorisert som kritisk (CVE-2022-41331 med CVSS-score 9.3) og 9 som alvorlig (CVSS-score til og med 8.3). Den kritiske sårbarheten berører produktet FortiPresence.
Referanser
https://www.fortiguard.com/psirt?date=04-2023

SAP fikser svakheter i sine produkter

SAP har sluppet oppdateringer i forbindelse med patche-tirsdag. De har utgitt 19 nye oppdateringer og oppdatert 5 som allerede har vært utgitt. To av oppdateringene har en CVSS-score på 10.0, altså høyeste alvorlighetsgrad.
Referanser
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Microsoft publiserer sin månedlige sikkerhetsoppdatering

Microsoft publiserte sin månedlige sikkerhetsoppdatering som fikser 114 sårbarheter. Av disse er syv kritiske, og én er allerede i bruk av trusselaktører ifølge Microsoft. Sårbarheten gir utvidede rettigheter og ligger i driver for felles loggfilsystem for Windows (CVE-2023-28252). Svakheten har blitt brukt i ransomware-angrep. Blant andre kritiske sårbarheter er ekstern kodekjøring i Microsoft Message Queuing (MSMQ). Sårbarheten går under CVE-2023-21554. For å utnytte sikkerhetsproblemet må angriper sende en spesiallaget MSMQ-pakke til en MSMQ-server på port 1801. Dette resulterer i ekstern kjøring av kode på serversiden. Sårbareten har en CVSS score på 9.8. Denne komponenten skal heldigvis normalt ikke være påslått på en vanlig Windows-installasjon.
Referanser
https://isc.sans.edu/diary/Microsoft+April+20[...] https://www.bleepingcomputer.com/news/securit[...] https://msrc.microsoft.com/update-guide/relea[...]

2023.04.11 - Nyhetsbrev

Google fikser svakhet i Android som blir aktivt utnyttet. Versjon 112 av Chrome utbedrer 16 svakheter. Politi har tatt ned Genesis Market og arrestert rundt 120 personer. Cisco utgir sikkerhetsadvarsler som påvirker flere av deres produkter. Apple fikser nulldagssårbarheter brukt for å eksekvere vilkårlig kode på et drøss av Apple produkter.

Politi har tatt ned Genesis Market og arrestert rundt 120 personer

Genesis Market ble tatt ned av FBI tirsdag i påskeuken. Markedsplassen har vært kjent for storstilt omsetning av stjålne brukernavn, passord og innloggings-sesjonsnøkler (cookies). I etterkant av aksjonen rapporterer FBI at rundt 120 personer har blitt arrestert i forskjellige land. Innloggingsdetaljene fra markedsplassen har vært brukt både for å plante ransomware, stjele intern informasjon og tyveri fra enkeltpersoner. Etter aksjonen har FBI delt en liste over alle kompromitterte brukere med tjenesten "Have I been Pwned", slik at berørte brukere kan få beskjed.
Referanser
https://therecord.media/genesis-market-arrest[...] https://www.troyhunt.com/seized-genesis-marke[...]

Apple fikser nulldagssårbarheter brukt for å eksekvere vilkårlig kode på et drøss av Apple produkter

Apple har sluppet en nødoppdatering for å fikse to nye nulldagssårbarheter som har blitt utnyttet i angrep for å kompromittere iPhones, Macs og iPads. De to sårbarhetene (CVE-2023-28206 og CVE-2023-28205) tillater angripere å eksekvere vilkårlig kode med kjerneprivilegier ved bruk av ondsinnede apper og nøye utformede nettsider. Apple har også sluppet oppdateringer for eldre utstyr som ikke har siste versjon av operativsystemet. Det er enda ikke kjent hvem som står bak nulldagssårbarhetene, men det har blitt rapportert at det er Clément Lecigne fra Google sin Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty International sin Security Lab som har avdekket at de blir brukt i målrettede angrep.
Anbefaling
Apple anbefaler at brukere installerer oppdateringer så snart som mulig for å beskytte seg mot potensiell angrep. Apple sin omfattende liste av påvirkede enheter er som følger: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3rd generasjon og nyere, iPad 5th generasjon og nyere, iPad mini 5th generasjon og nyere, og Macs som kjører macOS Ventura.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...] https://support.apple.com/en-us/HT201222

Google fikser svakhet i Android som blir aktivt utnyttet

Google har publisert sin månedlige sikkerhetsoppdatering for Android. 65 svakheter blir utbedret, inkludert én i Arm Mali GPU-driveren (CVE-2022-38181) som benyttes aktivt i angrep.
Anbefaling
Vi anbefaler å patche så fort oppdatering er tilgjengelig fra de respektive mobil-produsentene.
Referanser
https://www.malwarebytes.com/blog/news/2023/0[...]

Versjon 112 av Chrome utbedrer 16 svakheter

Google har gitt ut versjon 112 av deres nettleser Chrome for Windows, Mac og Linux. Denne utbedrer 16 svakheter. Denne gangen er det ingen kritiske svakheter eller rapporter om nye svakheter som benyttes i angrep.
Anbefaling
Oppdater Chrome og andre Chromium-baserte nettlesere så fort som mulig.
Referanser
https://chromereleases.googleblog.com/2023/04[...]

Cisco utgir sikkerhetsadvarsler som påvirker flere av deres produkter

Cisco har utgitt over 30 sikkerhetsadvarsler for sårbarheter som påvirker flere Cisco-produkter. En ekstern trusselaktør kan potensielt utnytte disse sårbarhetene for å ta kontroll over et påvirket system. Den amerikanske "Cybersecurity & infrastructure security agency" (CISA) oppfordrer brukere og administratorer til å gjennomgå de nevnte advarslene og installere nødvendige oppdateringer. For mer info om oppdateringer se Cisco sine egne nettsider.
Anbefaling
Installer oppdatering på utstyr som fortsatt har support.
Referanser
https://www.cisa.gov/news-events/alerts/2023/[...] https://sec.cloudapps.cisco.com/security/cent[...]

2023.04.04 - Nyhetsbrev

Western Digital melder om pågående datainnbrudd. Microsoft skal snart blokkere farlige filer fra OneNote.

Western Digital melder om pågående datainnbrudd

Datalagringsfirmaet Western Digital, også kjent for merkevaren SanDisk, melder om at de oppdaget innbrudd i deres nettverk 26. mars. Firmaet melder at angriperne har fått kopiert ut data. Skylagringstjenesten "My Cloud" har vært nede siden innbruddet ble oppdaget, og mange brukere er fortvilet over ikke å få tak i filene sine.
Referanser
https://therecord.media/western-digital-cyber[...]

Microsoft skal snart blokkere farlige filer fra OneNote

Etter at Microsoft har begynt å blokkere makroer fra å kjøre i Office-dokumenter lastet ned fra nettet, har vedlegg i OneNote blitt en populær måte å distribuere malware på. Mottakeren av dokumentet blir lurt til å åpne de vedlagte filene, og maskinen blir infisert. OneNote har så langt ikke hatt en sperre mot å legge ved eksekverbare filer og scripts, men dette blir det nå en endring på. I april vil Microsoft sperre vedlegg med farlige filtyper for OneNote for Microsoft 365. Sperren vil også bli implementert for andre OneNote-varianter utover året.
Referanser
https://www.securityweek.com/microsoft-onenot[...]