Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday 27 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.27

Chrome 126-oppdatering retter minnesikkerhetsfeil. Polyfill supply chain angrep knyttet til over 100 tusen nettsteder.

Chrome 126-oppdatering retter minnesikkerhetsfeil

Google har utgitt en sikkerhetsoppdatering for Chrome som løser fire alvorlige minnefeil, kjent som bruk-etter-frigjøringsproblemer. Disse feilene påvirker Dawn og Swiftshader-komponentene i nettleseren, og er tildelt CVE-2024-6290 til CVE-2024-6293. Tre av feilene ble rapportert av forskeren 'wgslfuzz', og den fjerde av Cassidy Kim. Google belønnet forskerne med henholdsvis $10 000 og $4 000.

Den nyeste Chrome-versjonen rulles ut som 126.0.6478.126 for Linux, 126.0.6478.126/127 for Windows og macOS, og 126.0.6478.122 for Android.

"Use-after-free" problemer oppstår når frigjort minne fortsatt brukes, noe som kan utnyttes til å kjøre vilkårlig kode eller forårsake denial of service(DoS). Google har arbeidet med å redusere slike problemer, blant annet ved å innføre det minnesikre programmeringsspråket Rust.

Anbefaling:

Brukere anbefales å oppdatere umiddelbart, selv om ingen av feilene er kjent for å være utnyttet i det fri.

Polyfill supply chain angrep knyttet til over 100 tusen nettsteder

Sikkerhetsforskere advarer om et supply chain angrep som påvirker over 100 000 nettsteder som bruker domenet "cdn.polyfill.io".

Domenet, tidligere brukt for å legge til JavaScript-polyfills, ble overtatt av det kinesiske selskapet Funnull i februar 2024, noe som vekket bekymringer om mulige angrep.

Sansec og C/side bekreftet nylig at cdn.polyfill.io setter inn ondsinnet kode på nettsteder, og omdirigerer brukere til sportsbetting- og voksen-nettsteder. Koden unngår oppdagelse ved å målrette spesifikke enheter og skjule sin tilstedeværelse. Brukere advares om potensielle fremtidige angrep som formjacking, clickjacking og datatyveri.

Google advarte annonsører om problemene og blokkerer Google Ads for berørte nettsteder. Alternativer til polyfill.io, som tilbys av selskaper som Cloudflare, anbefales. Den opprinnelige polyfill-forfatteren, Andrew Betts, advarte om at den nye eieren ikke burde stoles på, ettersom moderne nettlesere nå har nødvendig funksjonalitet innebygd.

Posted by tsoc at 12:15 0 comments

Wednesday 26 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.26

Kritiske sårbarheter i Avaya IP Office.

Kritiske sårbarheter i Avaya IP Office

Avaya har utgitt en kritisk sikkerhetsoppdatering (ASA-2024-001) 11. juni 2024, som adresserer sårbarhetene CVE-2024-4196 og CVE-2024-4197 i Avaya IP Office versjoner før 11.1.3.1. Disse sårbarhetene kan gi angripere full kontroll over enheter da de muliggjør ekstern eksekvering av kode. Sårbarhetene har CVSS-score på henholdsvis 10 (KRITISK) og 9.9 (KRITISK).

Anbefaling:

Brukere anbefales å oppdatere til versjon 11.1.3.1 snarest, hvor disse sårbarhetene er fikset. Enheter bør tas av nett fram til de kan oppdateres da det er sannsynlig at angripere vil utnytte disse sårbarhetene. Videre anbefales det å sjekke logger for mistenkelig aktivitet på sårbare enheter, da denne sårbarheten har vært offentlig en stund. Webgrensesnitt som dette bør på generell basis ikke eksponeres på nett, men om det er strengt nødvendig av driftshensyn bør tilgang begrenses med IP-hvitelister og/eller geoblokkering.

Posted by tsoc at 12:05 0 comments

Tuesday 25 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.25

Fire vietnamesiske hackere tilknyttet FIN9-gruppen er tiltalt i USA.

Fire vietnamesiske hackere tilknyttet FIN9-gruppen er tiltalt i USA.

Fire vietnamesiske hackere tilknyttet FIN9-gruppen er tiltalt i USA for å ha utført datainnbrudd som førte til tap på over 71 millioner dollar for amerikanske selskaper. Hackerne brukte phishing-kampanjer og kompromitterte forsyningskjeder for å stjele personlig informasjon, gavekort, informasjon om fond og kredittkortopplysninger.

Alle de fire tiltalte er anklaget med én tiltale for sammensvergelse for å begå svindel, utpressing og beslektet aktivitet i forbindelse med datamaskiner; én tiltale om sammensvergelse for å begå bedrageri; og to tiltalepunkter for skade på en beskyttet datamaskin. Dersom de blir funnet skyldige på alle punkter, risikerer de opptil 45 års fengsel. To av dem er ytterligere tiltalt for sammensvergelse for å begå hvitvasking da de solgte stjålet gavekortinformasjon under falskt navn på et kryptovalutamarked.

Posted by tsoc at 12:23 0 comments

Monday 24 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.24

Det har vært en rolig helg.

Posted by tsoc at 11:14 0 comments

Friday 21 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.21

Atlassian oppdaterer Confluence, Crucible og Jira.

Atlassian oppdaterer Confluence, Crucible og Jira

Atlassian ga denne uken ut oppdateringer for å fikse ni sårbarheter i Confluence, Crucible og Jira. Alle svakhetene har fått viktighet "høy". Den mest alvorlige svakheten kan gi en ikke-autentisert angriper muligheten til å hente ut data fra Confluence Data Center og Server, gjennom en svakhet i Spring-rammeverket. Det er så langt ikke meldt om at svakhetene utnyttes i aktive angrep.

Posted by tsoc at 12:45 0 comments

Thursday 20 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.20

Google fikser svakher i Chrome versjon 126.

Google fikser svakher i Chrome versjon 126

Google ga ut versjon 126 av Chrome på tirsdag. Den nye versjonen fikser seks svakheter, fire har fått viktighet "høy". Den mest alvorlige svakheten (CVE-2024-6100) ble først demonstrert på sikkerhetskonferansen TyphoonPWN 2024 i Seoul. Denne ga sikkerhetsforskeren som stod bak oppdagelsen $20.000 i belønning fra Google. Det er så langt ikke meldt om at noen av svakhetene utnyttes i aktive angrep.

Posted by tsoc at 13:09 0 comments

Wednesday 19 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.19

Kritiske svakheter i VMware vCenter Server. Mandiant om spionasje-aktøren UNC3886.

Kritiske svakheter i VMware vCenter Server

VMware har sluppet oppdateringer til vCenter Server som retter svakheter med CVSS-score fra 7.8 til 9.8. Flere av svakhetene kan utnyttes til å ta kontroll over en sårbar server, dersom angriper har nettverkstilgang til enheten. Det er også flere svakheter som kan gi utvidet lokal tilgang til systemet. Sårbare systemer er:

  • VMware vCenter Server 8

  • VMware vCenter Server 7

  • Cloud Foundation 5.x

  • Cloud Foundation 4.x

Vi anbefaler å patche så fort som mulig!

Mandiant om spionasje-aktøren UNC3886

Mandiant har publisert en ny bloggpost om aktøren UNC3886, som de mener at driver med spionasje-relaterte aktiviteter for Kina. Aktøren har rettet angrepene sine mot større strategiske organisasjoner over hele verden, spesielt innenfor myndigheter, telecom, teknologi, luftfart og forsvar.

Aktøren har vært aktiv siden minst 2022 og har blant annet utnyttet svakheter i utstyr fra Fortinet og VMware. I denne bloggposten opplyses det om bruk av offentlig tilgjengelige rootkits, C2-servere gjennom kjente tredjeparts-tjenester, SSH-bakdører og eksfiltrering av data gjennom TACACS+ med spesial-laget skadevare. Rapporter inneholder oversikt over teknikker og prosedyrer brukt av aktøren.

Posted by tsoc at 13:46 0 comments

Tuesday 18 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.18

Kritisk sårbarhet i flere routere fra Asus.

Kritisk sårbarhet i flere routere fra Asus

HelseCERT melder at Asus den 14. juni slapp oppdateringer som lukker flere sårbarheter i deres rutere. Den mest alvorlige sårbarheten lar en angriper omgå autentiseringen og ta kontroll over enheten via administrasjonsgrensesnittet.

Vellykket utnyttelse gjør det mulig for angripere å omgå autentisering. Utnyttelse forutsetter at angriper kan nå administrasjongrensesnittet via nettverk.

Sårbarheten har fått en CVSS score på 9.8 (Kritisk).

Følgende produkter er sårbare:

- XT8(ZenWiFi AX XT8)
- XT8_V2 (ZenWiFi AX XT8 V2)
- RT-AX88U
- RT-AX58U
- RT-AX57
- RT-AC86U
- RT-AC68U

Utnyttelse lar angriper endre innstillinger og eventuellt hente ut informasjon. HelseCERT kjenner ikke til at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten utnyttes aktivt.

Anbefaling:

HelseCERT anbefaler at sårbare enheter oppdateres så snart som mulig. Dette med bakgrunn i sårbarhetens kritikalitet og at de anser det som meget sannsynlig at sårbarheten utnyttes av angripere innen kort tid. Slike sårbarheter er tidligere bygd inn i botnettverk som automatisk sprer seg til nye sårbare enheter. Videre anbefaler de: - Administrasjonsgrensesnitt ikke publiseres på nett - Sørg for å bytte ut fabrikkpassord - Om mulig, skru på multifaktorautentisering

Sårbarheter:

Posted by tsoc at 11:54 0 comments

Monday 17 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.17

Banktrojaneren Vultur oppdaget i Norge. Lederen for Scattered Spider skal være arrestert. Windows-maskiner kan hackes via WiFi.

Banktrojaneren Vultur oppdaget i Norge

Banktrojaneren kjent under navnet Vultur blir nå spredt i Norge. Denne trojaneren gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, og laste opp og ned filer. Dette gir trusseloperatørene full kontroll over infiserte enheter.

Det hele starter med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Denne meldingen ble sendt ut til flere tusen i Norge i løpet av forrige fredag. Offeret blir bedt om å ta kontakt via telefon, for å unngå ekstra kostnader. Når offeret ringer nummeret, møtes de av en person som snakker godt svensk. Svindleren vil tilsynelatende gjøre alt for å hjelpe og sender en ny SMS med en lenke til den vedkommende påstår en sikkerhetsprogramvare, men som i realiteten er en modifisert versjon av McAfee Security-appen. Offeret blir så veiledet til å installere trojaneren, på tross av flere sikkerhetsadvarsler fra mobilen.

Lederen for Scattered Spider skal være arrestert

Spansk politi arresterte forrige uke et medlem av den finansielt motiverte hackergruppen Scattered Spider/UNC3944. Grupperingen mistenkes blant annet for å stå bak angrep mot Twilio, LastPass, DoorDash, Mailchimp, samt 130 andre firmaer i løpet av de siste to årene. Mannen er 22 år, fra Storbritannia og ønskes nå utlevert av FBI. Han skal stå bak flere SIM-swap angrep, altså utstedelse av nye SIM-kort for å ta over mobil-abonnementet til offeret, gjerne for å lese SMS-meldinger brukt for to-faktor autentisering.

Windows-maskiner kan hackes via WiFi

Én av svakhetene som ble patchet i forrige ukes Windows patche-tirsdag lå i WiFi-driveren. Denne svakheten har fått en CVSS-karakter på 8.8 av 10 og rammer alle versjoner av Windows. En angriper kan bruke svakheten til å ta kontroll over en sårbar maskin dersom han er innenfor WiFi-rekkevidde. Så langt er det ikke meldt om at noen har utnyttet dette i aktive angrep. Vi anbefaler å installere forrige ukes oppdateringer så fort som mulig!

Sårbarheter:

Posted by tsoc at 13:38 0 comments

Friday 14 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.14

Telenor etablerer nytt cybersikkerhetsselskap med nordiske ambisjoner. Google: Trussalktøren UNC3944 går mot SaaS-tjenester.

Telenor etablerer nytt cybersikkerhetsselskap med nordiske ambisjoner

Norsk næringsliv og offentlige virksomheter blir stadig utsatt for flere og mer alvorlige cyberangrep. 1 av 5 bedriftsledere sier at de har erfart cyberangrep det siste året, ifølge en spørreundersøkelse utført av Norstat. Det tilsvarer hele 130.000 norske bedrifter. Nå oppretter Telenor et nytt cybersikkerhetsselskap for å møte etterspørselen.

Google: Trussalktøren UNC3944 går mot SaaS-tjenester

Google har nye detaljer rundt den finaniselt motiverte trussalektøren UNC3944, også kjent som Oktapus, Octo Tempest, Scattered Spider osv. Etter å ha fått initielt fotfeste i et bedrift, beveger de seg nå ofte over i tilknyttede SaaS (Software as a Service)-tjenester. Data fra disse tjenestene blir eksfiltrert mot andre skytjenester som aktøren kontrollerer.

Initiell tilgang til firmaer blir gjerne oppnådd gjennom å kontakte bedriftens helpdesk. Aktøren gir seg ut for å være en ansatt med gode interne tilganger som har mistet mobilen sin, og dermed må innrulleres i systemene på nytt. Aktøren har på forhånd gjort klar mye relevant personlig informasjon personen de gir seg ut for, i tilfelle det kommer sikkerhetspørsmål fra helpdesk.

Vi anbefaler å lese mer om taktikkene og teknikkene til aktøren i bloggposten fra Google.

Posted by tsoc at 14:46 0 comments

Thursday 13 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.13

Kritisk sårbarhet i JetBrains-produkter. Kritiske sikkerhetsoppdateringer for Chrome 126 og Firefox 127. Google advarer om aktivt utnyttet Pixel-sårbarhet.

Kritisk sårbarhet i JetBrains-produkter

Programmeringsverktøy fra JetBrains, inkludert populære IntelliJ IDEA og PyCharm, er berørt av en kritisk sårbarhet i GitHub-integrasjonen som kan gi uvedkommende tilgang til offerets GitHub-konto. Oppdatering er ute og bør installeres så fort som mulig.

Utnyttelse forutsetter at den innebygde støtten for GitHub er brukt til å lese en pull request som inneholder ondsinnet kode. Et tenkt scenario er at en angriper lager en ondsinnet pull request til et offentlig repo som leses av en person med JetBrains' GitHub-plugin. Dette vil lekke alle offerets tokens som er brukt med samme plugin og gi tilgang til offerets GitHub-konto.

Alle utgaver fra og med versjon 2023.1 av følgende produkter er sårbare:

- Aqua
- CLion
- DataGrip
- DataSpell
- GoLand
- IntelliJ IDEA
- MPS
- PhpStorm
- PyCharm
- Rider
- RubyMine
- RustRover
- WebStorm

Sårbare utviklingsmiljø (IDE-er) og plugin burde oppdateres så fort som mulig. Videre anbefaler JetBrains å fornye alle tokens, både OAuth og Personal Access Token, som er brukt med GitHub pull request i de berørte programmene.

Sårbarheter:

Kritiske sikkerhetsoppdateringer for Chrome 126 og Firefox 127

Google og Mozilla har sluppet sikkerhetsoppdateringer for Chrome 126 og Firefox 127. Chrome 126 fikser 21 sårbarheter, inkludert en høyrisiko minnesikkerhetsfeil der Google har utbetalt over $160,000 i bug bounty-belønninger. Firefox 127 løser 15 sårbarheter, inkludert fire alvorlige problemer med minnesikkerhet. Brukere oppfordres til å oppdatere sine nettlesere umiddelbart for å beskytte seg mot potensielle utnyttelser.

Google advarer om aktivt utnyttet Pixel-sårbarhet

Google har oppdaget en kritisk nulldagssårbarhet i Google Pixel-enheter som aktivt utnyttes. Sårbarheten, CVE-2024-32896, tillater privilegieeskalering og har allerede blitt aktivt utnyttet i angrep. Google anbefaler alle brukere å oppdatere sine enheter umiddelbart for å beskytte seg mot potensielle trusler. Totalt ble 50 sikkerhetshull lukket i denne oppdateringen, hvorav flere er høyrisiko sårbarheter.

Sårbarheter:

Posted by tsoc at 12:57 0 comments

Wednesday 12 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.12

Microsoft patche-tirsdag for juni.

Microsoft patche-tirsdag for juni

Microsoft har denne måneden fikset 51 svakheter, blant annet 18 som kan føre til kjøring av kode via nettverket og én kjent nulldags-svakhet. Den mest alvorlige svakheten er en kritisk svakhet i Microsoft Message Queuing (MSMQ), som det også har blitt patchet flere tidligere måneder. Dersom en server må ha denne tjenesten slått på, bør port 1801/TCP beskyttes godt.

Det har også blitt fikset flere svakheter i Microsoft Office, som gjør det mulig å kjøre kode fra et spesielt utformet dokument, inkludert bare ved å se på en epost i Outlook sin forhåndsvisning.

Posted by tsoc at 12:07 0 comments

Tuesday 11 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.11

Trusselaktøren UNC5537 truer Snowflake-kunder. Kritisk sårbarhet i Veeam Recovery Orchestrator. Svakheter i Netgear WNR614 tillater enhetsovertakelse.

Trusselaktøren UNC5537 truer Snowflake-kunder

Vi har tidligere skrevet om at flere av kundene til skyselskapet Snowflake har vært utsatt for innbrudd i sine kontoer. Dette har mest sannsynlig skjedd etter at kundene har vært rammet av phishing eller informasjons-stjelere. Snowflake har ikke hatt krav om MFA i sin innloggingsløsning.

Google melder nå at den økonomisk motiverte trusselaktøren UNC5537 har stått bak flere av innbruddene. Aktøren har brutt seg inn i firma-kontoer, lastet ned store mengder interne data og presser deretter firmaene for penger, for ikke å offentliggjøre den interne informasjonen, som ofte blir avertert på diverse undergrunns-sider for salg. Vi anbefaler ikke-phishbar MFA på alle sensitive tjenester (sertifikater, hardware-baserte sikkerhetsnøkler, passkeys osv.)

Kritisk sårbarhet i Veeam Recovery Orchestrator

Det er oppdaget én kritisk sårbarhet i Veeam Recovery Orchestrator. Såbarheten gjør det mulig for en angriper å få tilgang til systemets web-grensesnitt med administrative rettigheter, dersom han kjenner et brukernavn med tilhørende riktig rolle. Det er allerede sluppet oppdateringer fra leverandøren.

Sårbarheter:

Svakheter i Netgear WNR614 tillater enhetsovertakelse

I den populære hjemme-ruteren Netgear WNR614 N300, har det blitt oppdaget seks svakheter. Disse er blant annet autentiserings-omgåelse, svak passordpolicy, lagring av passord i klartekst og Wi-Fi Protected Setup (WPS) PIN-eksponering. Foreløpig er det ikke gitt ut noen patcher fra leverandøren.

Posted by tsoc at 12:48 0 comments

Monday 10 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.10

Microsoft gjør endringer i kontroversiell AI-funksjon.

Microsoft gjør endringer i kontroversiell AI-funksjon

Forrige uke kom nyheten om en kommende Windows-funksjon kalt "Recall". Denne tar tar bilde av alt på skjermen med få sekunders mellomrom og lagrer bildene lokalt, noe mange mente kunne føre til lekkasje av interne bedriftsdata, passord, QR-koder osv. På fredag opplyste Microsoft at de vil endre standardinnstillingen for funksjonen fra på til av. Brukerne må dermed ta et bevisst valg for å ta den i bruk.

Posted by tsoc at 12:39 0 comments

Friday 7 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.07

Kritisk svakhet i PHP CGI for Windows. Situasjonsrapport fra Telenor SOC - mai 2024.

Kritisk svakhet i PHP CGI

Sikkerhetsselskapet Devcore har oppdaget en kritisk svakhet i PHP CGI på Windows. Så langt er det bare bekreftet at installasjoner med språkpakkene "Traditional Chinese", "Simplified Chinese" og "Japanese" er sårbare, men det er usikkerhet om svakheten også kan utnyttes med andre språk.

Svakheten lar uautentiserte brukere injisere kommandoer som serveren kjører på operativsystemet. Brukere anbefales å oppgradere til versjon 8.3.8, 8.2.20 eller 8.1.29. Bloggposten inneholder også en oppskrift på en foreløpig mitigering av svakheten, dersom en ikke har mulighet til å oppgradere umiddelbart.

Det finnes allerede utnyttelseskode tilgjengelig for svakheten.

Sårbarheter:

Situasjonsrapport fra Telenor SOC - mai 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for mai 2024. Denne måneden skriver vi blant annet om framveksten av proxy-nettverk (ORBs) som gjør deteksjon og attribusjon basert på IP-adresser vanskeligere, samt forsøk på sosial manipulering av en HR-avdeling.

Posted by tsoc at 13:05 0 comments

Thursday 6 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.06

Cisco patcher svakheter i Webex etter lekkasjer fra møter. FBI har fått tilgang til 700 krypteringsnøkler fra LockBit ransomware.

Cisco patcher svakheter i Webex etter lekkasjer fra møter

Cisco har oppdatert sitt Webex konferansesystem etter at det har blitt avdekket svakheter. Disse kunne føre til at informasjon om møtene kunne plukkes opp av uvedkommende, og det ble dermed enklere å få tilgang til møtene.

Ved å prøve seg fram med å endre møtenummer i en lenke, kunne en få opp informasjon om hensikt med møtet, deltagere, tidspunkt osv. Personlige møterom er også ofte ikke beskyttet av passord.

FBI har fått tilgang til 700 krypteringsnøkler fra LockBit

FBI har de siste måneden fått tilgang til mye av ransomware-gruppen LockBits infrastruktur. I forbindelse med aksjonen har de nå fått tilgang til over 7000 krypteringsnøkler til forskjellige ofre for ransomware. Organisasjoner som har fått kryptert sine systemer av LockBit oppfordres til å ta kontakt med FBI for å se om de har en nøkkel for dekryptering tilgjengelig.

Posted by tsoc at 12:21 0 comments

Wednesday 5 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.05

Sikkerhetsforskere bekymret for kommende "Recall"-funksjon i Windows. 37 svakheter patchet i månedens oppdatering for Android. Mange TikTok-kontoer hacket etter kritisk svakhet.

Sikkerhetsforskere bekymret for kommende "Recall"-funksjon i Windows

Nye PCer, med en innbygget AI-brikke, vil få støtte for en kommende Windows-funksjon kalt "Recall". Denne tar tar bilde av alt på skjermen med få sekunders mellomrom og lagrer bildene lokalt. Det blir også kjørt tekstgjenkjenning på bildene, og dataene lagres i en lokal database. Uvedkommende som får tilgang til PCen, eller informasjons-stjelende skadevare, kan dermed få tilgang til alt brukeren har sett på PCen. Dette kan inkludere passord, kryptonøkler og QR-koder. Jobb-relatert informasjon sett på gjennom nettleseren, f.eks. dokumenter og epost, kan også bli lagret på ansattes private PCer.

37 svakheter patchet i månedens oppdatering for Android

Blant de 37 patchede svakhetene er det flere som har blitt kategorisert med "høy" viktighet i rammeverk- og system-komponentene. Flere av disse kan brukes av vanlige apper til å oppnå utivdet tilgang til systemet. Det er ikke meldt om at noen av svakhetene utnyttes i angrep.

Mange TikTok-kontoer hacket etter kritisk svakhet

Det siste døgnet har mange store TikTok-kontoer blitt hacket etter en kritisk svakhet i funksjonen for direktemeldinger. For å ta over kontoen holder det at en bruker av kontoen som blir angrepet åpner en spesielt utformet direktemelding. Blant ofrene er f.eks. CNN og Sony.

TikTok opplyser nå at de har stoppet angrepene og hjelper de som er rammet med å få tilbake kontroll over kontoene sine.

Posted by tsoc at 10:45 0 comments

Tuesday 4 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.04

361 millioner kompromitterte kontoer lagt til i tjenesten "Have I Been Pwned".

361 millioner kompromitterte kontoer lagt til i tjenesten "Have I Been Pwned"

Sist uke mottok Troy Hunt, grunnleggeren av tjenesten "Have I Been Pwned", millioner av kompromitterte epost-adresser. Disse har nå blitt lagt til tjenesten og berørte brukere har blitt varslet.

Han fikk dataene av sikkerhetsforskere som har samlet dem inn på en rekke Telegram-kanaler, der de ble delt åpent. Mange av de kompromitterte kontoene virker å være samlet inn ved hjelp av informasjons-stjeler skadevare (information stealers). Dette er skadevare som både privat- og business-brukere blir lurt til å installere på sine PCer. Programvaren samler inn alt av påloggingsinformasjon som brukernavn, passord, informasjonskapsler osv. fra en PC og sender dette til bakmennene. Denne typen skadevare har vært involvert i flere profilerte datainnbrudd i det siste.

Posted by tsoc at 12:58 0 comments

Monday 3 June 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.06.03

Ticketmaster bekrefter datainnbrudd - flere selskaper rammet.

Ticketmaster bekrefter datainnbrudd - flere selskaper rammet

Hackergruppen "Shiny Hunters" har denne uken lagt ut for salg interne data fra Ticketmaster, som de påstår å ha kompromittert. Disse dataene inkluderer informasjon om 560 millioner brukere, inkludert navn, adresse, e-post, telefonnummer, kjøpte billetter og noe kredittkortinformasjon. Ticketmaster har nå bekreftet dette massive datainnbruddet, etter at de stjålne dataene ble lagt ut for salg for 500.000 USD. Dette følger vår tidligere rapportering fra 31. mai, hvor vi nevnte hackergruppens påstand om å ha kompromittert Ticketmasters systemer. Ticketmaster jobber nå med å håndtere situasjonen og beskytte sine brukere.

Innbruddet mot Ticketmaster knyttes mot skytjenesten "Snowflake". Det skal være flere ofre, blant annet banken Santander. Snowflake tilbakeviser påstandene om at de har hatt et sikkerhetsbrudd og viser heller til dårlig sikkerhet hos sine kunder. Én av teoriene er at Snowflake har blitt kompromittert gjennom skadevare som henter ut påloggingsinformasjon osv. fra PCer (info-stealers).

Posted by tsoc at 12:33 0 comments
Subscribe to: Posts (Atom)
 
>