2023.09.07 - Nyhetsbrev

Microsoft har konkludert med hvordan de mistet signeringssertifikatet sitt. Android sikkerhetsoppdatering fikser zero-day svakhet. Ny Chrome 116 utbedrer alvorlige sårbarheter. W3LL phishing-kit har kompromittert tusenvis av Microsoft 365-kontoer. Oppsummering av nyhetsbildet innen datasikkerhet for august 2023.

Microsoft har konkludert med hvordan de mistet signeringssertifikatet sitt

Microsoft kunngjorde 11. juli at den Kina-tilknyttede aktøren Storm-0558 hadde fått tilgang til et av deres signerings-sertifikater. Dette hadde blitt brukt for å signere tilgangsnøkler som igjen ble brukt for å få tilgang til epost-kontoene til myndighetspersoner i USA. Microsoft har foretatt en teknisk gjennomgang av hendelsen og har nå en teori om hvordan trusselaktøren fikk tilgang til sertifikatet. En maskin i et beskyttet miljø brukt for signering krasjet i april 2021 og en minnedump ble skrevet til disken. Normalt vil sensitiv informasjon som signeringsnøkler og passord bli slettet fra minnedumpen, men på grunn av en bug ble den private nøkkelen brukt til signering inkludert i filen. Filen ble deretter flyttet til et mer åpent miljø for nærmere analyse, uten at det ble oppdaget at den private nøkkelen var inkludert. På et senere tidspunkt har så trusselaktøren kompromittert en personlig konto tilhørende en Microsoft-ansatt med tilgang til dette miljøet med minnedumpen. Det antas så at trusselaktøren har lastet ned og analysert filen og har funnet den private nøkkelen, som så har blitt brukt til å signere tilgangsnøkler. Siden det er lang tid siden hendelsene har ikke Microsoft loggfiler som kan gi dem full innsikt. De kan derfor ikke garantere at alt er korrekt i beskrivelsen, men dette er den mest sannsynlige bakgrunnen for hendelsen.
Referanser
https://msrc.microsoft.com/blog/2023/09/resul[...]

Android sikkerhetsoppdatering fikser zero-day svakhet

Google kunngjorde på tirsdag at Androids sikkerhetsoppdateringer for september 2023 inneholder retting av 32 sårbarheter, inkludert en som har blitt utnyttet i angrep. Denne sårbarheten, kalt CVE-2023-35674, er beskrevet som en alvorlig sårbarhet som tillater utvidede privilegier i Androids rammeverkskomponent, uten behov for ekstra rettigheter eller brukerinteraksjon.
Referanser
https://www.securityweek.com/android-zero-day[...]

Ny Chrome 116 oppdatering håndterer alvorlige sårbarheter

Google lanserer Chrome 116 som fikser fire alvorlige sårbarheter som ble rapportert av eksterne bidragsytere. Disse sårbarhetene kunne tillate angripere å forårsake tjenesteavbrudd, kjøre vilkårlig kode eller forfalske URL-strengen. Oppdateringen er tilgjengelig for macOS, Linux og Windows, og det er foreløpig ukjent hvor store belønninger de rapporterende bidragsyterne vil motta. Google bekrefter de så langt ikke har observert noen aktive angrep som utnytter disse sårbarhetene.
Referanser
https://www.securityweek.com/chrome-116-updat[...]

W3LL phishing-kit har kompromittert tusenvis av Microsoft 365-kontoer

Trusselaktøren W3LL har utviklet et phishing-kit som kan omgå flerfaktorautentisering og har kompromittert over 8 000 Microsoft 365-kontoer. Dette verktøyet har blitt brukt i over 850 phishing-kampanjer rettet mot mer enn 56 000 kontoer i løpet av ti måneder. W3LL betjener et fellesskap av cyberkriminelle og tilbyr verktøy som dekker hele prosessen for å kompromittere epostkontoer tilhørende bedrifter (BEC). Dette har ført til betydelige økonomiske tap for ofrene og viser hvor sofistikerte angrepene kan være, selv for kriminelle med begrensede tekniske ferdigheter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for august 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for august 2023. Denne måneden skriver vi blant annet om at myndigheter fra flere land har tatt ned Qakbot-nettverket.
Referanser
https://telenorsoc.blogspot.com/2023/09/oppsu[...]