Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 22 September 2017

2017.09.22 - Nyhetsbrev

Joomla oppdaterer åtte år gammel LDAP-svakhet. Iransk hacker-gruppe sikter seg inn mot romfart og oljeindustri. Internasjonalt press tvinger NSA til å trekke seg tilbake fra kryptostandardkamp. Hacker fikk tilgang til flere hundre bedrifter via deres helpdesk-system.

Joomla oppdaterer åtte år gammel LDAP-svakhet

Tirsdag oppdaterte Joomla en kritisk svakhet som har gjemt seg i filbehandlingssystemet i åtte år. Det er ikke kjent om svakheten har blitt offentlig utnyttet før den ble privat rapportert i juli, men en angriper kan ha brukt svakheten til å stjele administrators påloggingsinformasjon. Svakheten ble fikset i versjon 3.8 som ble sluppet denne uken. LDAP er ikke en vanlig innloggingstjeneste for Joomla, men for store selskaper som bruker LDAP, kunne det være et attrakivt mål for angripere.
Referanser
https://threatpost.com/joomla-patches-eight-y[...]

Iransk hacker-gruppe sikter seg inn mot romfart og oljeindustri

En Iransk hacker-gruppe med kodenavn APT33 sikter seg inn mot romfart og oljeindustrien i Saudi Arabia, USA og Sør Korea.
Referanser
https://www.nytimes.com/aponline/2017/09/20/w[...]
https://www.fireeye.com/blog/threat-research/[...]

Internasjonalt press tvinger NSA til å trekke seg tilbake fra kryptostandardkamp

En internasjonal gruppe med krypo-eksperter har tvunget NSA til å trekke tilbake to krypteringsteknikker som NSA ønsket å lansere som internasjonale standarer. Dette skjer etter at andre land mistenker at USA kan ha lagt inn bakdører i standardene.
Referanser
http://mobile.reuters.com/article/amp/idUSKCN[...]

Hacker fikk tilgang til flere hundre bedrifter via deres helpdesk-system

Hacker fikk tilgang til flere hundre bedrifters internkommunikasjon ved å utnytte feil i populære online helpdesksystemer.
Referanser
https://medium.freecodecamp.org/how-i-hacked-[...]

Thursday, 21 September 2017

2017.09.21 - Nyhetsbrev

Store internasjonale firmaer var egentlig mål for CCleaner-malware. U.S. Securities and Exchange Commission har blitt hacket. Cisco slipper sikkerhetsoppdateringer.

Store internasjonale firmaer var egentlig mål for CCleaner-malware

Tidligere denne uken ble det kjent at CCleaner hadde vært infisert av malware i én måned og hadde blitt lastet ned av millioner av brukere. Talos har nå avdekket de egentlige målene for kampanjen. Mer malware ble lastet ned dersom den infiserte versjonen ble installert hos større firmaer som Cisco, Microsoft, Sony, Intel, VMware, Samsung, D-Link, Epson, MSI, Linksys, Singtel. Talos mener at gruppen bak operasjonen var ute etter industrihemmeligheter. De mistenker også Kina for å stå bak.
Referanser
http://blog.talosintelligence.com/2017/09/ccl[...]
https://www.theregister.co.uk/2017/09/21/ccle[...]

U.S. Securities and Exchange Commission har blitt hacket

SEC i USA har oppdaget at de ble hacket i 2016. Innbruddet ble oppdaget først i august i år. Tilgangen ble brukt til å lese finansielt sensitiv informasjon som ikke var offentlig tilgjengelig i en database kalt EDGAR. Angriperne brukte antakeligvis informasjonen til å berike seg gjennom handler i verdipapirer basert på informasjonen de fikk tak i.
Referanser
http://www.reuters.com/article/us-sec-intrusi[...]

Cisco slipper sikkerhetsoppdateringer

Cisco har sluppet oppdateringer for følgende produkter: Unified Customer Voice Portal Operations Console, Email Security Appliance og Small Business Managed Switches.
Anbefaling
Installer patcher.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://tools.cisco.com/security/center/conte[...]

Wednesday, 20 September 2017

2017.09.20 - Nyhetsbrev

Regjeringen har oppnevnt et IKT-sikkerhetsutvalg. WordPress ute med sikkerhetsoppdatering. Apple oppdaterer iOS, Safari og Xcode. To svakheter fikset i Apache Tomcat.

Regjeringen har oppnevnt et IKT-sikkerhetsutvalg

Regjeringen har nedsatt et utvalg som skal se på regelverk og organisering innenfor IKT-sikkerhet. Målsettingen er økt IKT-sikkerhet. Utvalget skal levere sin utredning i desember 2018.
Referanser
https://www.regjeringen.no/no/aktuelt/oppnevn[...]

Apple oppdaterer iOS, Safari og Xcode

I Apples nye operativsystem for iPhone og iPad, iOS 11, følger det med sikkerhetsoppdateringer som patcher 8 svakheter. De mest alvorlige svakhetene ligger i webkit og kan føre til at en mobil blir tatt kontroll over når den laster spesielt utformede nettsider. Oppdateringen vil være tilgjengelig for alle iPhone 5s og senere.

Det har også kommet sikkerhetsoppdateringer til Safari 11, tvOS 11, watchOS 4 og Xcode 9.
Anbefaling
Installer oppdatering.
Referanser
https://threatpost.com/ios-11-update-includes[...]
https://support.apple.com/en-us/HT208112
https://support.apple.com/en-us/HT208116
https://support.apple.com/en-us/HT208103

To svakheter fikset i Apache Tomcat

Apache er ute med sikkerhetsoppdateringer som fikser to svakheter i Apache Tomcat. Den ene svakheten lar en angriper laste opp en JavaScript-fil til serveren. Serveren kan deretter bli bedt om å laste inn filen, slik at den blir kjørt på serveren.
Anbefaling
Installer versjon 7.0.81.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://mail-archives.us.apache.org/mod_mbox/w[...]

WordPress ute med sikkerhetsoppdatering

WordPress publiserte i går en sikkerhets- og vedlikeholdsoppdatering av WordPress. Denne oppdateringen tar for seg flere SQL-injection- og cross-site scripting-svakheter. Oppdateringene er å finne i versjon 4.8.2 og WordPress anbefaler alle å oppdatere snarest.
Anbefaling
Oppdater til siste versjon.
Referanser
https://wordpress.org/news/2017/09/wordpress-[...]

Tuesday, 19 September 2017

2017.09.19 - Nyhetsbrev

Bodø kommune la ut sensitive opplysninger åpent tilgjengelig. Svakheter og skadevare i programvarekjeden er økende.

Bodø kommune la ut sensitive opplysninger åpent tilgjengelig

Sensitive dokumenter fra Bodø kommune har vært tilgjengelig og søkbare via Internet. Dette gjelder blant annet private helseopplysninger. Leverandøren av systemet, Evry, opplyser at det er en kombinasjon av menneskelig svikt hos brukerne og en teknisk svakhet som har forårsaket lekkasjen.
Referanser
https://www.nrk.no/nordland/irenes-private-he[...]

Svakheter og skadevare i programvarekjeden er økende

Med bakgrunn i gårsdagens nyhet om skadevare i CCleaner, har Wired en god artikkel om denne og lignende hendelser. I det siste har man lagt merke til økning av skadevare i programmer fra kjente og betrodde leverandører, som er blitt lagt inn i løpet av programvarekjeden, i det de kaller "angrep i forsyningskjeden".
Referanser
https://www.wired.com/story/ccleaner-malware-[...]

Monday, 18 September 2017

2017.09.18 - Nyhetsbrev

CCleaner har vært infisert av malware. Alvorlige svakheter i VMWare. Malware-infiserte biblioteker i den offisielle Python pakke-samlingen. Google vil ikke lenger motsette seg å utlevere data lagret på servere utenfor USA. Web-annonser bruker CPU til å lage kryptovaluta. Malware i over 50 apper i Google Play. Flere svakheter i Magento.

CCleaner har vært infisert av malware

Versjon 5.33 av det populære verktøyet CCleaner har vært infisert av malware. Dette gjelder den offisielle versjonen som har blitt distribuert av utgiveren Piriform/Avast. Den infiserte versjonen ble lagt ut 15. august og var også korrekt signert. Denne versjonen ble byttet ut med en versjon uten malware 12. september.

En bør vurdere å reinstallere PCer med versjon 5.33. Det kan virke som om det bare er 32-bits utgaven av programmet som har blitt infisert. Utgiveren Piriform vet ikke selv hvordan angriperne har klart å modifisere programpakken til å inkludere malware.
Referanser
http://blog.talosintelligence.com/2017/09/ava[...]
https://www.piriform.com/news/blog/2017/9/18/[...]

Alvorlige svakheter i VMWare

VMWare har fikset flere svakheter i VMware ESXi, vCenter Server, Fusion og Workstation. Den alvorligste svakheten finnes i en SVGA-drive som gjør at et gjeste-OS kan kjøre kode på host-OS. Det anbefales å patche ASAP.
Referanser
https://threatpost.com/vmware-patches-bug-tha[...]
https://www.vmware.com/security/advisories/VM[...]

Malware-infiserte biblioteker i den offisielle Python pakke-samlingen

SK-CSIRT har oppdaget at den offisielle pakkesamlingen til Python har inneholdt flere biblioteker med modifisert kode. Pakkene har navn som ligner på navnene til offisielle biblioteker. Mange har brukt disse bibliotekene mellom juni og september 2017.

Heldigvis er koden som er lagt til relativt ufarlig og samler bare inn informasjon.
Referanser
http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Google vil ikke lenger motsette seg å utlevere data lagret på servere utenfor USA

Amerikanske IT-selskaper som Google og Microsoft har tidligere nektet å utlevere data lagret på servere utenfor USA til amerikanske myndigheter. Det kan det se ut til å være slutt på nå, ifølge Ars Technica.
Referanser
https://www.digi.no/artikler/google-vil-ikke-[...]
https://arstechnica.com/tech-policy/2017/09/f[...]

Web-annonser bruker CPU til å lage kryptovaluta

ESET har avslørt flere annonser som inneholder Javascript-kode som kan bruke PCer til å lage kryptovaluta for bakmennene. Når en bruker får opp en slik annonse, vil PCen begynne å gjøre beregninger for å generere kryptovaluta. Det er ikke mye verdier som skapes, men dersom en får mange tusen PCer til å gjøre dette samtidig, kan det lønne seg.

I de siste dagene har også The Pirate Bay eksperimentert med dette.
Referanser
https://www.welivesecurity.com/2017/09/14/cry[...]
http://itavisen.no/2017/09/16/pirate-bay-bruk[...]

Malware i over 50 apper i Google Play

Checkpoint har oppdaget malware i over 50 apper i Google Play. Disse var lastet ned over 1 million ganger. Malwaren genererte penger ved å sende SMSer til høyt takserte tjenester.
Referanser
https://blog.checkpoint.com/2017/09/14/expens[...]

Flere svakheter i Magento

Magento har fikset flere alvorlige svakheter i versjon 2.1.9 og 2.0.16. Det anbefales å oppdatere.
Anbefaling
Installer patcher.
Referanser
https://magento.com/security/patches/magento-[...]

Friday, 15 September 2017

2017.09.15 - Nyhetsbrev

FireEye skriver om Nord-Koreas interesse i kryptovalutaer.

FireEye skriver om Nord-Koreas interesse i kryptovalutaer

FireEye skriver om Nord-Koreas interesse i kryptovalutaer. De spekulerer i at interessen i anskaffe/stjele slike viruelle valutaer kan være et forsøk på å unngå internasjonale sanksjoner mot regimet.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Thursday, 14 September 2017

2017.09.14 - Nyhetsbrev

Amerikanske myndigheter avinstallerer Kaspersky-programvare. Zerodium tilbyr $1 million for fungerende 0-dagssvakhet i TOR-nettleseren. Ny bakdør funnet i plugin for Wordpress.

Kaspersky software er svartelistet hos amerikanske myndigheter

The Department of Homeland Security har gitt amerikanske myndigheter 90 dager på å av-installere og erstatte programvare fra Kaspersky. Dette på grunn av sterk mistanke til knytning mot russiske myndigheter. Kaspersky benekter enhver tilknytning.
Referanser
http://www.zdnet.com/article/dhs-issues-direc[...]

Zerodium tilbyr $1 million for 0-dagssvakhet i TOR-nettleseren

Firmaet Zerodium, som kjøper og selger 0-dagssvakheter, tilbyr markedet 1 million dollar for en fungerende 0-dagssvakhet i TOR-nettleseren. TOR-nettverket anonymiserer brukerne og er derfor brukt av mange over hele verden.
Referanser
http://www.securityweek.com/zerodium-offers-1[...]

Bakdør funnet i Wordpress plugin med over 200.000 installasjoner

Wordpress-pluginen Display Widgets er fjernet av Wordpress.org etter funn av en bakdør. Det har også tidligere vært problemer med denne.
Anbefaling
Saken skal være handtert av Wordpress.org
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wednesday, 13 September 2017

2017.09.13 - Nyhetsbrev

Kaspersky endrer sitt amerikanske datterselskap for å tilpasse seg amerikanske myndigheter. Wired om ansiktsgjennkjenning på iPhone X. Microsoft fikser 81 svakheter i september. Adobe har oppdatert Flash Player og ColdFusion. BlueBorne - alvorlige svakheter i Bluetooth. Cisco med sikkerhetsoppdateringer for flere produkter.

Kaspersky endrer sitt amerikanske datterselskap for å tilpasse seg amerikanske myndigheter

Kaspersky Lab, et russisk sikkerhetsfirma, gjør endringer i sitt Amerikanske datterselskap for å unngå å bli diskvalifisert mhp. kontrakter hos Amerikanske myndigheter. Kaspersky har i det siste fått oppmerksomhet rundt kontakter med de russiske hemmelige tjenstene.
Referanser
https://www.reuters.com/article/us-usa-kasper[...]

Wired om ansiktsgjennkjenning på iPhone X

Wired.com har en interessant artikkel om FaceID, brukt som påloggingsmekanisme på Iphone X. FaceID erstatter fingeravtrykksleseren, siden skjermen nå dekker hele forsiden av telefonen.

FaceID fungerer ved å projisere 30.000 infrarøde prikker på ansiktet. Dette blir så fotgrafert av et spesielt kamera, og en 3D-modell av ansiktet bygges opp. Apple mener at dette er enda sikrere enn et fingeravtrykk.
Referanser
https://www.wired.com/story/iphone-x-faceid-s[...]

Microsoft fikser 81 svakheter i september

Microsoft patcher 25 kritiske svakheter og 54 "viktige" i månedens oppdatering. Én av svakhetene, CVE-2017-8759, er under aktivt angrep og ligger i .NET-rammeverket. Den blir utnyttet via spesielt utformede RTF-filer gjennom Microsoft Office. FireEye opplyser at svakheten blir brukt til å distribuere den kjente malwaren FinSpy til russisktalende mål.

Microsoft patcher også en mengde andre svakheter i Windows, Internet Explorer, Edge, Exchange, .NET Framework, Office og Hyper-V. Det anbefales å installere oppdateringene så fort som mulig.
Anbefaling
Installer patcher fra Microsoft
Referanser
https://threatpost.com/microsoft-patches-offi[...]
https://www.fireeye.com/blog/threat-research/[...]
https://portal.msrc.microsoft.com/en-us/secur[...]

Adobe har oppdatert Flash Player og ColdFusion

Adobe fikser to kritiske svakheter i Flash Player som kan føre til kompromittering av en sårbar maskin. Fire svakheter i ColdFusion blir også rettet opp i. Det anbefales å oppdatere, eller å fjerne Flash Player dersom den ikke er strengt nødvendig.
Anbefaling
Installer patcher.
Referanser
https://helpx.adobe.com/security/products/fla[...]
https://helpx.adobe.com/security/products/col[...]

BlueBorne - alvorlige svakheter i Bluetooth

Sikkerhetsfirmaet Armis har avdekket åtte svakheter i Bluetooth, som blant annet gjør det mulig å eksekvere kode på enheten uten at bruker må foreta seg noe. Bare at eneheten er på og har aktivert bluetooth er nok. Selv om enheten allerede er tilkoblet en annen enhet, er den fortsatt sårbar. En annen variant gjør det mulig å avlytte nettverkstrafikk til og fra sårbare enheter.

Microsoft patchet Windows i juli, uten at de oppga detaljer rundt svakheten. Google leverte patcher til leverandører av Android-telefoner i juli. Versjoner av iOS før versjon 10 er også sårbare. Linux patch ventes snarest.

Linux er mest sårbar, siden ASLR-sikkerhet ikke er benyttet i denne delen av operativsystemet. På Android var det mulig å omgå denne sikkerhetsmekanismen.

Armis har sluppet en app for Android som kan brukes for å sjekke om enheter er sårbare. Detaljer rundt sårbarhetene og angrepskode er foreløpig ikke tilgjengelig. Sårbarhetene kan muligens utnyttes til å lage en orm som sprer seg automatisk fra enhet til enhet via Bluetooth.
Anbefaling
Installert patch hvis mulig.
Referanser
http://go.armis.com/hubfs/BlueBorne%20Technic[...]
https://arstechnica.com/information-technolog[...]
https://play.google.com/store/apps/details?id[...]

Cisco med sikkerhetsoppdateringer for flere produkter

Cisco retter svakheter i flere produkter som benytter Apache Struts. Svakhetene kan gi en angriper tilgang til berørte enheter.
Anbefaling
Oppdater berørte systemer.
Referanser
https://tools.cisco.com/security/center/conte[...]

Monday, 11 September 2017

2017.09.11 - Nyhetsbrev

Equifax kan ha blitt hacket via Apache Struts. En rekke svakheter i D-Link routere har blitt offentliggjort.

Equifax kan ha blitt hacket via Apache Struts

Nettstedet Quartz melder at Equifax-innbruddet ble gjort ved hjelp av en svakhet i Apache Struts. Først meldte de at en svakhet offentliggjort sist uke ble brukt, men nå melder de at det kan ha vært en svakhet patchet i mars.

Utviklerne av Apache Struts har uansett publisert en kunngjøring der de forsvarer sin utviklingsmetodikk og patche-rutiner.
Referanser
https://qz.com/1073221/the-hackers-who-broke-[...]
https://blogs.apache.org/foundation/entry/apa[...]

En rekke svakheter i D-Link routere har blitt offentliggjort

En sikkerhetsforsker har offentliggjort 10 svakheter i routeren D-Link 850L. Flere av svakhetene kan også gjelde andre routere fra D-Link. Det er flere svakheter i selve routeren og også i protokollen for deling av filer kalt MyDlink. Patcher er enda ikke tilgjengelig for svakhetene.
Anbefaling
Vent på patch og installer
Referanser
http://www.zdnet.com/article/10-d-link-zero-d[...]
http://pierrekim.github.io/blog/2017-09-08-dl[...]

Friday, 8 September 2017

2017.09.08 - Nyhetsbrev

Equifax-innbrudd kan ha eksponert info om 143 millioner amerikanere.

Equifax-innbrudd kan ha eksponert info om 143 millioner amerikanere

Datainnbrudd hos kredittovervåkingselsskapet Equifax kan ha eksponert personnummer og andre sensitive data om 143 millioner amerikanere.
Referanser
http://www.independent.co.uk/news/business/ne[...]
https://motherboard.vice.com/en_us/article/a3[...]

Thursday, 7 September 2017

2017.09.07 - Nyhetsbrev

Google har gitt ut Chrome versjon 61. Russland har kjøpt politisk reklame på Facebook.

Google har gitt ut Chrome versjon 61

Google har gitt ut versjon 61 av sin nettleser Chrome. Denne versjonen utbedrer 22 sikkerhetssvakheter. Nytt er også at web-applikasjoner nå kan få tilgang til USB-enheter direkte.
Referanser
https://chromereleases.googleblog.com/2017/09[...]
https://developers.google.com/web/updates/201[...]

Russland har kjøpt politisk reklame på Facebook

Washington Post avslører at et russisk firma, som er knyttet til propaganda fra Kremlin, har kjøpt politisk reklame fra Facebook i forb. med det amerikanske valget. Reklame for over $100.000 skal ha blitt kjøpt.

Politisk reklame på Facebook blir mer og mer populært siden den kan leveres målrettet til bestemte velgergrupper basert på etnisitet, alder, kjønn, bosted, interesser osv.
Referanser
https://www.washingtonpost.com/politics/faceb[...]

Wednesday, 6 September 2017

2017.09.06 - Nyhetsbrev

Symantec: Hackere hadde tilgang til å skru av flere kraftverk. Kritisk svakhet i Apache Struts. Google er ute med Android sikkerhetsbulletin for september.

Symantec: Hackere hadde tilgang til å skru av flere kraftverk

Symantec har sluppet informasjon om en ny gruppe angrep utført av en gruppe de kaller "Dragonfly 2.0". Angrepene har vært rettet mot kraftforsyningen i flere land i Europa og USA. Den siste bølgen av angrep begynte i 2015 og har økt i intensitet i 2017. Kampanjen har mange likheter med tidligere lignende kampanjer, og Russland mistenkes å stå bak.

Angriperne bruker både phishing, vannhulsangrep og dokumenter med malware for å komme seg på innsiden av nettverk. I flere tilfeller i USA skal angriperne ha hatt tilgang til styringssystemer for kraftforsyningen.
Referanser
https://www.symantec.com/connect/blogs/dragon[...]
https://www.wired.com/story/hackers-gain-swit[...]

Kritisk svakhet i Apache Struts

Det har blitt oppdaget en kritisk svakhet i Apache Struts i alle versjoner tilbake til 2008. Alle web-applikasjoner som bruker REST-plugin er sårbare. Svakheten gjør at en ekstern angriper kan kjøre valgfri kode på en sårbar tjener. Det anbefales å patche ASAP.
Anbefaling
Installer patch så fort som mulig.
Referanser
https://threatpost.com/patch-released-for-cri[...]
https://lgtm.com/blog/apache_struts_CVE-2017-[...]

Android sikkerhetsbulletin for september 2017

Google har sluppet sin månedlige sikkerhetsoppdatering for Android-mobiler.

De mest kritiske svakhetene er, som vanlig, i media-rammeverket. Her er det 10 svakheter med klassifisering "Critical" som blir fikset. Flere av svakhetene her kan la en angriper ta kontroll over mobilen ved å sende en spesielt uformet fil til en sårbar enhet. Det er også en mengde andre svakheter i andre deler av operativsystemet.

Det er ikke meldt om at noen av svakhetene som blir patchet blir aktivt utnyttet i angrep.
Anbefaling
Oppdatere enhetene.
Referanser
https://source.android.com/security/bulletin/[...]

Monday, 4 September 2017

2017.09.04 - Nyhetsbrev

Bug i Instagram eksponerte kontaktinfo til flere millioner brukere. Passord og kontrakter ligger åpent på oversettingsside.

Bug i Instagram eksponerte kontaktinfo til flere millioner brukere

En bug i Instagram eksponerte kontaktinfo til flere millioner brukere. Noen timer etter det ble avslørt opprettet angriperne en søkbar database, Doxagram, hvor brukere kunne søke etter kontaktinfo til ofrene for $10 per søk.

Instagram har nå tettet hullet som gjorde det mulig å hente ut informasjonen. Det er usikkert nøyaktig hvor mange som er rammet.
Referanser
https://www.theverge.com/2017/9/1/16244304/in[...]
https://arstechnica.com/information-technolog[...]

Passord og kontrakter ligger åpent på oversettingsside

Sensitiv informasjon som har blitt oversatt på nettsiden translate.com har vært offentlig tilgjengelig, også for indeksering av Google. Det er dermed mulig å søke seg fram til informasjonen og få opp en kopi av den originale siden gjennom Google.

Tekna har utført Google-søk knyttet til nettsiden og funnet blant annet passord, oppsigelser, kontrakter, kodeinformasjon, outsourcingplaner og nedbemanningsplaner.
Referanser
https://www.digi.no/artikler/sensitive-dokume[...]
https://www.nrk.no/norge/slar-alarm-om-overse[...]

Friday, 1 September 2017

2017.09.01 - Nyhetsbrev

Alle kommuner må utføre manuell telling av stemmer. Ny oppdatering til Asterisk fikser kritisk svakhet.

Alle kommuner må utføre manuell telling av stemmer

NRK melder at kommunalministeren, Jan Tore Sanner har bestemt at alle kommuner må utføre manuell stemming. Avgjørelsen kom samme dag som NRK meldte at sensitive datafiler som brukes til å identifisere brukere (sertifikater) lå åpnet på Internett.

Alle kommuner må utføre tellingen to ganger, hvor minst en av disse må være manuell.
Referanser
https://www.nrk.no/norge/krever-manuell-stemm[...]

Oppdatering til Asterisk

Det meldes tre svakheter i IP-telefoni-applikasjonen Asterisk. En av svakhetene er en kritisk feil i RTP stacken til applikasjonen. Denne kan føre til at en angriper kan få tak i all informasjon som blir sendt til en spesifikk adressen, ved at trafikken blir sendt både til den orignale mottakeren og angriperen.

Denne svakheten gjelder Asterisk Open Source 11.x, 13.x, 14.x og Certified Asterisk 11.6 og 13.3. Oppdatering til denne og de to andre svakhetene er tilgjengelig.
Anbefaling
Installer oppdatering.
Referanser
https://www.theregister.co.uk/2017/09/01/aste[...]

Thursday, 31 August 2017

2017.08.31 - Nyhetsbrev

Gjennomgang av nye sikkerhetstiltak i Android 8.0 Oreo.

Gjennomgang av nye sikkerhetstiltak i Android 8.0 Oreo

Computerworld har en artikkel der de går igjennom nye sikkerhetstiltak i Android 8.0 Oreo. Denne nye versjonen av Android ble sluppet 21. august, i første omgang kun for Googles egne mobiler.
Referanser
https://www.computerworld.com/article/3220446[...]

Wednesday, 30 August 2017

2017.08.30 - Nyhetsbrev

Dump av over 700 millioner epostadresser. NSM har publisert grunnprinsipper for IKT-sikkerhet. Forskere får utstedet falske sertifikater ved hjelp av BGP hijacking. Tyrkia har arrestert 5 i forbindelse med hacking mot nyhetsbyrå i Qatar.

Dump av over 700 millioner epostadresser

Troy Hunt har fått tilgang til en datadump av 711 millioner epostadresser. Adressene er samlet inn av en såkalt spambot og blir brukt til å sende ut spam-mail. Det skal også finnes noe annen informasjon for noen av adressene i datasettet - som passord og SMTP-server. Alle passordene fantes allerede i databasen til Troy Hunt. IP-adressen til boten er lokalisert i Nederland og det jobbes med lokale myndigheter for å få tatt den ned.
Referanser
https://www.troyhunt.com/inside-the-massive-7[...]
https://benkowlab.blogspot.no/2017/08/from-on[...]

NSM har publisert grunnprinsipper for IKT-sikkerhet

NSM (Nasjonal Sikkerhetsmyndighet) legger i dag frem «Grunnprinsipper for IKT-sikkerhet», som definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser.
Referanser
https://nsm.stat.no/publikasjoner/rad-og-anbe[...]

Forskere får utstedet falske sertifikater ved hjelp av BGP hijacking

Forskere ved Princeton University har demonstrert i praksis hvordan de kan få utstedt SSL-sertifikater til domener de ikke kontrollere. Dette gjøres ved hjelp av BGP-hijacking i det sertifikatutstederen sjekker domenet. Kun et lite subnett i domenet hijackes, så det er vanskelig å oppdage angrepet.

For å forhindre slike angrep, foreslår forskerne at eierskapet til domenet sjekkes fra flere steder på Internet. Det blir da vanskeligere å gjennomføre BGP-hijackingen, og den blir også enklere å oppdage. Sertifikatutstederen Lets Encrypt har nå innført denne typen sjekk.
Referanser
https://www.cs.princeton.edu/~jrex/papers/hot[...]
https://community.letsencrypt.org/t/validatin[...]

Tyrkia har arrestert 5 i forbindelse med hacking mot nyhetsbyrå i Qatar

I mai ble Qatars statlige nyhetsbyrå QNA hacket og falske nyheter ble lagt ut. Disse nyhetene bidro til den diplomatiske krisen mellom Qatar og flere av nabolandene. Tyrkia har nå arrestert 5 personer de mistenker for å stå bak hacket.
Referanser
http://www.reuters.com/article/us-gulf-qatar-[...]

Tuesday, 29 August 2017

2017.08.29 - Nyhetsbrev

Kundedata lekket fra det svenske hosting-firmaet Loopia. DDoS-funksjonalitet oppdaget i Android-apper.

Kundedata lekket fra det svenske hosting-firmaet Loopia

Det svenske hosting-firmaet Loopia har blitt kompromittert og hele kundedatabasen er lekket. Firmaet ble utsatt for et hacker-angrep den 22. august. Person- og kontaktopplysninger, samt krypterte (hashede) passord har lekket. Loopia har siden endret alle kunders kundenummer og tilhørende passord.
Referanser
https://www.theregister.co.uk/2017/08/29/loop[...]
https://support.loopia.se/wiki/utskick/

DDoS-funksjonalitet oppdaget i Android-apper

Et Distributed Denial of Service-botnett (DDoS) bestående av flere hundre tusen Android-telefoner er nylig oppdaget av sikkerhetsforskere. Botnettet – som har fått navnet «WireX» – skal ha blitt brukt som pressmiddel for å tilrøve seg penger fra ulike domeneeiere verden over. Android-telefonene har blitt infisert gjennom rundt 300 apper som har blitt distribuert via Google Play-markedet.
Referanser
https://www.digi.no/artikler/ble-overrasket-d[...]
https://arstechnica.com/information-technolog[...]

Monday, 28 August 2017

2017.08.28 - Nyhetsbrev

Bloggeren Roy Solberg avdekket feil i Digipost. Valg-stemmene blir talt opp av datamaskiner tilkoblet internett. Cyberkriminalitet relatert til kryptovaluta har kostet flere millioner.

Bloggeren Roy Solberg avdekket feil i Digipost

Bloggeren Roy Solberg har oppdaget en informasjonslekkasje i Digipost. Et API-kall som ikke stilte krav til autentisering kunne brukes til å hente ut data om andre brukere. Blant dataene var bruksmønster, navn og IP-adresse. Digipost fikset problemet i løpet av kort tid og ga en mindre belønning for tipset.
Referanser
http://blog.roysolberg.com/2017/08/digipost-leak

Cyberkriminalitet relatert til kryptovaluta har kostet flere millioner

Totalt har cyberkriminlatitet relatert til kryptovalutaen Ethereum kostet $225 millioner så langt i år. Mer enn 30 000 personer har blitt ofre for Ethereum-relatert cyberkriminalitet, som i gjennomsnitt har mistet $7,500 hver.
Referanser
https://www.bloomberg.com/news/articles/2017-[...]

Valg-stemmene blir talt opp av datamaskiner tilkoblet internett

En rekke kommuner har innført maskinell opptelling av stemmene i norske valg, hvor systemene er tilkoblet internett. Systemene består av vanlige Windows-datamaskiner som er tilkoblet en dokumentskanner. Dette systemet er igjen koblet til en database-server i samme lokale som maskinene som utfører tellingen. Etter tellingen er utført, sendes det krypterte resultatet inn til valgdatasystemet. Valgloven stiller krav til at stemmene telles minst to ganger, men det er ingen krav til manuell telling. Det betyr at kontrolltellingene også kan bli gjort av tellemaskiner. Flere IT-eksperter er skeptiske til løsningen.
Referanser
https://www.nrk.no/norge/teller-opp-stemmer-i[...]

Friday, 25 August 2017

2017.08.25 - Nyhetsbrev

ZERODIUM tilbyr opptil 1/2 milion dollar for svakheter i Signal og WhatsApp.

ZERODIUM tilbyr opptil 1/2 milion dollar for svakheter i Signal og WhatsApp

ZERODIUM, en gruppe som spesialiserer seg på kjøp og salg av 0-dags svakheter, har sagt at de tilbyr opptil 1/2 milion dollar for svakheter i de populære krypterte meldingsapplikasjonene Signal og WhatsApp.
Referanser
http://mashable.com/2017/08/23/whatsapp-signa[...]

Thursday, 24 August 2017

2017.08.24 - Nyhetsbrev

Kaspersky Lab publiserer spam og phishing rapport for Q2.

Kaspersky Lab med spam og phishing rapport for Q2.

Kaspersky Lab har gitt ut rapporten "Spam and phishing in Q2 2017", der man bl.a kan lese at kriminelle forsøkte å sko seg på WannaCry-utbruddet tidligere i år.
Referanser
https://securelist.com/spam-and-phishing-in-q[...]
https://www.kaspersky.com/about/press-release[...]

Wednesday, 23 August 2017

2017.08.23 - Nyhetsbrev

Mer enn 500 apper trukket fra Google Play etter funn av bakdør.

Mer enn 500 apper trukket fra Google Play etter funn av bakdør

Dette skriver Lookout Security Intelligence i et blogginnlegg. Svakheten ligger i en SDK (Software Development Kit) kalt lgexin som ser ut til å ha vært populær blant flere apputviklere. Det som gjør denne saken litt spesiell er at bakdøren ikke er en funksjonalitet som appuviklerne selv har lagt til, men at den er en del av SDKen som de bruker i utviklingen av appen. I dette tilfellet var den en type SDK som skal gjøre det enklere for utviklerne å vise reklame.

Sårbarheten ligger i SDKen sitt plugin rammeverk og gjør at klienten (mobiltelefonen) kjører ondsinnet kode basert på responser den får fra det eksterne REST APIet den kontakter. Koden som lastes ned er under ekstern kontroll og kan endres av de som styrer APIet. Hva koden kan gjøre er selvsagt begrenset av sikkerhetsinntillingene i android for den aktuelle appen. I det mest alvorlige tilfellet skal Lookout Security Intelligence ha funnet en plugin som henter ut telefonlogger.

Apper som inneholder den sårbare SDKen skal ha vært alt fra spill til vær og internett radio apper. Noen av dem hadde opp mot 100 millioner nedlastninger.
Referanser
https://blog.lookout.com/igexin-malicious-sdk

Tuesday, 22 August 2017

2017.08.22 - Nyhetsbrev

Valutaplattformen Enigma hacket. Kritiske svakheter er fikset i Thunderbird 52.3.

Valutaplattformen Enigma hacket

Hackere har svindlet investorer i valuttaplattformen Enigma. Dette ble gjort ved at hackere kompromitterte Enigmas websider, e-post servere og Slack channel, for så offentliggjøre meldinger om forhåndssalg hvor deres egen digitale lommebok var mottaker av pengene. De mottok flere millioner kroner før svindelen ble oppdaget. Angriperne kom seg inn siden én av de ansatte gjenbrukte gamle passord og ikke brukte to-faktor-autentisering.
Referanser
http://www.theregister.co.uk/2017/08/21/enigm[...]

Kritiske svakheter er fikset i Thunderbird 52.3

Mozilla har gitt ut en ny oppdatering til Thunderbird, som fikser en rekke svakheter, blant annet 2 kritiske (CVE-2017-7800, CVE-2017-7801). Svakhetene kan føre til potensielt utnyttbar krasj.
Anbefaling
Det anbefales å oppdatere til nyeste versjon, Thunderbird 52.3.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 21 August 2017

2017.08.21 - Nyhetsbrev

Kritiske svakheter i Foxit PDF Reader

Kritiske svakheter i Foxit PDF Reader

Sikkerhetsforskere har avdekket to kritiske svakheter (CVE-2017-10951 og CVE-2017-10952) i Foxit Reader. Dersom en spesiallaget fil ikke åpnes i Safe Mode, vil den kunne kjøre vilkårlig kode på offerets maskin. Det er ikke utgitt fikser for svakhetene.
Anbefaling
Det anbefales at man dobbeltsjekker at man har aktivert Safe Mode og at man er forsiktig med å åpne vedlegg man får på epost.
Referanser
http://thehackernews.com/2017/08/two-critical[...]

Friday, 18 August 2017

2017.08.18 - Nyhetsbrev

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle. Ny variant av Locky-løsepengevirus omgår antivirus.

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle

I slutten av juli og begynnelsen av august ble utviklerkontoer tilknyttet 8 populære Chrome-utvidelser overtatt av kriminelle. Kontoene ble brukt til å distribuere manipulerte versjoner av utvidelsene. Over 4.7 millioner brukere kan være berørt.

Kontoene ble stjålet ved at angriperne brukte phishing-eposter for å få tilgang. Det ble lagt inn kode i utvidelsene som byttet ut legitim reklame på nettsteder med annen reklame, for det meste pornografiske nettsteder. I teorien kan de også ha hentet inn innloggingsdetaljer fra sluttbrukere.

De kompromitterte utvidelsene er:

Web Developer - 1,044,016 brukere
Chrometana - 597,577 brukere
Infinity New Tab - 476,803 brukere
CopyFish - 37,397 brukere
Web Paint - 53,930 brukere
Social Fixer - 182,083 brukere
TouchVPN - 1,031,690 brukere
Betternet VPN - 1,334,517 brukere
Referanser
http://securityaffairs.co/wordpress/62090/hac[...]

Ny variant av Locky-løsepengevirus omgår antivirus

Fra 9. til 11. august, havnet løsepengeviruset kalt IKARUSdilapidated i titusenvis av innbokser ifølge Comodo Threat Intelligence Lab. Innholdet er en fil med navn "E 2017-08-09 (580).vbs" hvor 580 og ".vbs" kan endre seg fra mail til mail. Hvis filen lastes ned og kjøres, laster denne ned et dokument. Når brukeren åpner dokumentet, ser det ut til å være fylt med tilfeldige tegn, og det inkluderer teksten "Enable macro if data encoding is incorrect". Dersom brukeren slår på makroer, lagres og kjøres en eksekverbar fil som laster ned det virkelige løsepengeviruset.

Etter at en klient er infisert, blir brukeren bedt om laste ned TOR-nettleseren for å besøke en betalingsside. Løsepengesummen er fra 0.5 til 1 Bitcoin (ca 16980 til 33960 NOK).
Referanser
https://threatpost.com/locky-ransomware-varia[...]

Thursday, 17 August 2017

2017.08.17 - Nyhetsbrev

Norsk mobilapp muliggjorde uthenting av fødselsnummer. Flere alvorlige svakheter i Drupal Core. Cisco fikser svakheter i flere produkter.

Norsk mobilapp muliggjorde uthenting av fødselsnummer

Appen "Trygg Reise" fra Tryg forsikring hadde manglende autentisering mot et bakenforliggende system. Ved hjelp av en proxy, var det mulig å få hentet ut informasjon om bileiere ved å slå opp på skilt-nummer. Info som kunne hentes ut var navn, adresse, forsikringer og fødselsnummer.
Referanser
https://www.digi.no/artikler/norsk-mobilapp-a[...]

Flere alvorlige svakheter i Drupal Core

Det har blitt sluppet en ny versjon av publiseringssystemet Drupal som utbedrer tre svakheter. En av svakhetene har blitt rangert som "kritisk".
Anbefaling
Oppdater til Drupal v8.3.7.
Referanser
https://www.drupal.org/SA-CORE-2017-004

Cisco fikser svakheter i flere produkter

Cisco fikser svakheter i produktene "Application Policy Infrastructure Controller" og "Virtual Network Function Element Manager".
Anbefaling
dfg
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 16 August 2017

2017.08.16 - Nyhetsbrev

Telenor utgir rapporten "Digital Sikkerhet 2017".

Bakdør funnet i flere produkter fra NetSarang.

Det omfattende utpressingsangrepet "NotPetya" i juni kan komme til å koste Maersk Line opptil to milliarder kroner.

Bakdør funnet i flere NetSarang produkter.

KasperskyLabs oppdaget tidligere i juni en bakdør lagt inn i server-håndteringssystemer fra NetSarang. Bakdøren ble oppdaget etter mistenkelige DNS-spørringer fra servere som brukte NetSarang produkter. Bakdøren er fjernet i nyeste oppdateringer.
Referanser
https://securelist.com/shadowpad-in-corporate[...]

Telenor utgir rapporten "Digital Sikkerhet 2017"

En ny rapport fra Telenor Norge kaster lys over risikoer og utfordringer Norge står overfor når avanserte trusselaktører utnytter cyberspace.
Referanser
http://www.mynewsdesk.com/no/telenor/pressrel[...]
https://www.telenor.no/om/digital-sikkerhet/
http://

Utpressingsangrepet "NotPetya" kan koste Maersk Line opptil to milliarder kroner.

Shippingfirmaet Maersk Line skriver i deres kvartalsrapport for Q2 at utpressingsangrepet "NotPetya", som rammet dem i slutten av juni, kan koste selskapet så mye som 200-300 millioner dollar.
Referanser
https://www.digi.no/artikler/dataangrepet-kan[...]
http://investor.maersk.com/releasedetail.cfm?[...]

Tuesday, 15 August 2017

2017.08.15 - Nyhetsbrev

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering. Svakhet fra patche-tirsdag i Windows har orme-potensiale.

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering

Siste ukes oppdatering fikset en svakhet som aksepterte blanke passord. Det anbefales å oppgradere.
Referanser
http://www.securityweek.com/password-flaws-pa[...]

Svakhet fra patche-tirsdag i Windows har orme-potensiale

CVE-2017-8620, fikset i august-oppdateringen fra Microsoft, har potensiale til kunne benyttes til spredning av ormer. Svakheten gir angriper muligheten til å oppgradere rettigheter og fra eksternt ståsted angripe og kjøre kode. Alle Windows versjoner er påvirket svakheten utnyttes via SMB. Vi anbefaler å oppgradere.
Referanser
https://threatpost.com/windows-search-bug-wor[...]

Monday, 14 August 2017

2017.08.14 - Nyhetsbrev

Sikkerhetsoppdateringer til Symantec Messaging Gateway. Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip. Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten.

Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten

Den russisktalende hackergruppen APT28 skal, i følge forskere, ha lurt gjester ved hoteller i Europa og Midtøsten til å laste ned skjemaer som likner på hotellenes egne skjemaer. Disse filene installerer skadevaren Gamefish som igjen sprer seg videre over nettet ved hjelp av svakheten i SMB-protokollen brukt i NSA sitt EternalBlue-verktøy. Målet for angrepene skal ha vært forretningsfolk og politikere. Det anbefales på et generelt grunnlag at man unngår å bruke offentlige, åpne nettverk.
Referanser
https://threatpost.com/apt28-using-eternalblu[...]

Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.
Referanser
https://www.digi.no/artikler/falske-gps-signa[...]
https://www.newscientist.com/article/2143499-[...]

Sikkerhetsoppdateringer til Symantec Messaging Gateway

Symantec har oppdaget og fikset to sikkerhetshull i Symantec Messaging Gateway. Den ene feilen er klassifisert som alvorlig og gjør det mulig for en angriper å kjøre uautorisert kode eksternt. I verste fall kan dette føre til at en angriper får tilgang til maskinen.
Anbefaling
Oppdater Symantec Messaging Gateway 10.6.3-267
Referanser
https://www.symantec.com/security_response/se[...]

Friday, 11 August 2017

2017.08.11 - Nyhetsbrev

Sårbarheter i Juniper Networks Junos OS

Sårbarheter i Junipers JunOS

Det er oppdaget sårbarheter (CVE-2017-2347 / CVE2016-3074) i operativsystemet tilhørende Juniper Networks routere som kjører Junos OS. Sårbarhetene åpner for heap-overflow og tjenestenekt.

Juniper har sluppet oppdateringer som tetter svakhetene.
Anbefaling
Oppdater berørte systemet.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Thursday, 10 August 2017

2017.08.10 - Nyhetsbrev

Data fra Carbon Blacks EDR-tjeneste hentet ut via Virus Total sitt 3-parts API.

Carbon Black anklaget for å ha lekket kundedata

Sensitiv bedriftsdata fra kunder beskyttet av Carbon Black Endpoint Detection and Response (EDR)-løsning har blitt funnet på Virus Total i følge Direct Defense. Lekkasjen har blitt knyttet til en API-nøkkel som Direct Defence sier tilhører Carbon Black Cb Response. Selv om EDR-løsningen endrer navn på filene ved hjelp av hashing, blir filene fremdeles lagret hos Virus Total. Ved å abonnere på data fra Virus Total, kan en laste ned tidligere opplastede filer. Det er på denne måten DirectDefence fant filene lastet opp fra Carbon Black.

Carbon Blacks CTO Michael Viscuso kom på banen etter avsløringene. Han opplyser at Carbon Black ikke laster opp filer til Virus Total i standard konfigurasjon. Dette er funksjonalitet som kan slås på for brukere som ønsker dette. Dersom brukeren prøver å slå på funksjonen, advares det også mot at tredjeparter kan få tak i filene som lastes opp. Mange andre sikkerhetsverktøy laster også opp ukjente filer til Virus Total og andre sikkerhetsjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.carbonblack.com/2017/08/09/direct[...]
https://blog.savagesec.com/words-have-meaning[...]

Wednesday, 9 August 2017

2017.08.09 - Nyhetsbrev

Denne månedens sikkerhetsoppdateringer er ute. Det er en mengde sikkerhetsoppdateringer for Android, Windows-produkter, Firefox, Adobe-produkter og SAP.

Firefox versjon 55 med flere kritiske oppdateringer

Firefox 55 er sluppet med 30 sikkerhetsoppdateringer. Av disse er 5 kategorisert som kritiske. De kritiske oppdateringene omhandler flere forskjellig svakheter, blant annet en svakhet (CVE-2017-7798) i developer-tools som kan tillate eksekvering av kode ved hjelp av en ondsinnet webside.

WebSockets er også berørt (CVE-2017-7800), der en use-after-free svakhet kan oppstå om objektet som opprettholder tilkoblingen blir frigjort før frakoblingsprosedyren er ferdig. Dette kan føre til en kræsj som kan utnyttes.

En annen use-after-free svakhet kan også oppstå om brukeren endrer størrelsen på et vindu når siden inneholder et marquee-element. Dette kan skje fordi det oppdaterte style-objektet blir frigjort mens det er i bruk.
Anbefaling
Oppdater berørte systemer
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google patchet 10 kritiske svakheter i Android

Google patchet 10 kritiske sårbarheter i sine månedlige sikkerhetsoppdatering for Android. I alt ble det rettet 49 svakheter. Mange av svakhetene er knyttet til Android sitt mediarammeverk, som består av blant annet MediaServer, AudioServer og CameraServer. Oppdateringen fikset også en rekke sårbarheter knyttet til Android sine Kernel komponenter, og chipset produsert av MediaTek, Broadcom og Qualcomm.
Anbefaling
Installer oppdatering.
Referanser
https://threatpost.com/google-patches-10-crit[...]

25 kritiske svakheter i denne månedens oppdateringer fra Microsoft

Microsoft har sluppet 48 sikkerhetsoppdateringer for August. Dette inkluderer oppdateringer for Windows, Internet Explorer (IE), Edge, Linux subsystem, Kernel, SharePoint, SQL-Server og Hyper-V. Av 48 oppdateringer er 25 listet som kritiske.

En feil i SMB (CVE-2017-8620) gir en angriper mulighet til å eksekvere kode på en ekstern host gjennom en ondsinnet SMB-spørring. Denne regnes av mange som denne månedenes viktigste oppdatering.

I Hyper-V er det oppdaget en svakhet (CVE-2017-8664) som muliggjør ekstern kodeeksekvering. Svakheten er et resultat av manglende validering av input sendt av autentiserte brukere på et gjesteoperativsystem. Dette kan gi en angriper tilgang til den underliggende hypervisoren.

Microsofts egen JavaScript-motor Chakra, som er integrert i blant annet Microsoft Edge, har en svakhet (CVE-2017-8641) som lar en angriper eksekvere kode eksternt. Dette gjøres ved hjelp av tilpassede websider eller filer. Svakheten ligger i håndtering av JavaScript sin eval-funksjon, der manglende validering fører til en buffer-overflow. Dette gir mulighet for å eksekvere programkode i konteksten til applikasjonen.

Ekstern kodeeksekvering (CVE-2017-8635) er mulig i Microsoft Edge og Internet Explorer 10-11 ved å utnytte måten JavaScript-motoren håndterer objekter i minnet. Svakheten utnyttes ved hjelp av en spesielt tilpasset nettside, og kan gi en angriper full kontroll over systemet.

En annen ekstern rettighetseskalerings (CVE-2017-8653) er oppdaget i Microsoft Internet Explorer. Svakheten krever at bruker besøker en spesiallaget side som utnytter måten Internet Explorer håndterer HTML-dokumenter. Angriper kan potensielt få tilgang til minne, og videre eksekvere kode under konteksten til brukeren.

En ekstern kodeeksekvering-svakhet (CVE-2017-0250) finnes også i Microsoft Windows. Svakheten lar en angriper eksekvere kode når bruker besøker en spesiallaget webside. Den spesifikke svakheten eksisterer i Microsoft Jet Engine Libray og er et resultat av manglende validering av input. Svakheten gir angriper tilgang på nivå med bruker.

I Windows PDF Library er det oppdaget en svakhet (CVE-2017-0293) som tillater ekstern kodeeksekvering. Svakheten utnytter manglende validering i prosesseringen av JPEG2000 bildefiler. En angriper oppnår tilgang på nivå med prosessen selv.

I Microsoft RDP eksisterer det en DOS-svakhet (CVE-2017-8673) som lar en angriper sende en spesielt utformet spørring som fører til at tjenesten blir utilgjengelig.
Anbefaling
Oppdater berørte systemer.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://www.zerodayinitiative.com/blog/2017/8[...]

Denne månedens oppdateringer fra Adobe

Denne måneden har Adobe gitt ut to kritiske oppdateringer for Adobe Flash, Adobe Digital Edition, Adobe Reader samt en viktig oppdatering for Adobe Experience Manager.

For Adobe Flash er oppdateringen ganske liten, mens for Adobe Reader er oppdateringen større ettersom den omhandler 43 kritiske og 24 viktige sikkerhetshull. De fleste er relatert til korrupt minne, som gir en angriper muligheten til å eksekvere ondsinnet kode. Utnyttelse krever at bruker åpner en spesiallaget fil.

For Adobe Digital Edition er det to kritiske og syv viktige sikkerhetshull som fikses. Disse omhandler informasjonsavsløring på grunn av lekkede minneadresser.

For Experience Manager er det tre forskjellige problemer som fikses.
Anbefaling
Installer oppdatering.
Referanser
https://www.zerodayinitiative.com/blog/2017/8[...]
https://helpx.adobe.com/security/products/exp[...]

SAP fikser 19 sikkerhetshull i sine produkter

SAP ga denne uken ut en oppdatering for sine produkter for å fikse totalt 19 sikkerhetshull. De fleste sikkerhetshullene som er fikset denne måneden er relatert til cross-site-scripting.
Anbefaling
Installer oppdatering.
Referanser
http://www.securityweek.com/sap-resolves-19-v[...]
https://blogs.sap.com/2017/08/08/sap-security[...]

Tuesday, 8 August 2017

2017.08.08 - Nyhetsbrev

HBO utsatt for pengeutpressing etter datainnbrudd.

HBO utsatt for pengeutpressing etter datainnbrudd

Mediaselskapet HBO har blitt utsatt for et datainnbrudd. Hackerne påstår at de har stjålet 1.5TB med data over lengre tid. Som bevis har de sluppet diverse interne data, som manuskript til TV-serier, interne eposter, finansdata, kontrakter osv. De krever nå en ukjent pengesum for ikke å offentliggjøre mer informasjon.
Referanser
https://www.wired.com/story/hbo-hack-ransom-note/

Monday, 7 August 2017

2017.08.07 - Nyhetsbrev

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows. Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner. Nytt virus på Facebook.

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows

Microsoft vil vente med å rette opp kjent sårbarhet i nettverksprotokollen SMB (Server Message Block). Sårbarheten, som har fått navnet SMBLoris, gjør det mulig for en angriper å utføre tjenestenektangrep (DoS) mot maskiner med SMB-støtte, uten å være en autorisert bruker. To ulike team hos Microsoft skal ha vurdert sårbarheten, og konkludert med at den ikke er alvorlig nok til å bli rettet opp i en sikkerhetsoppdatering. Microsoft opplyser om at sårbarheten vil bli fikset i en fremtidig utgave av Windows. Sårbarheten ble varslet 2. juni tidligere i år, og eksisterer i alle nyere versjoner av Windows.
Referanser
https://www.digi.no/artikler/microsoft-vil-ve[...]

Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner

Keld Norman, som jobber som sikkerhetskonsulent hos danske Dubex, har laget en IMSI-catcher som kan fange opp såkalte IMSI-nummer. IMSI-nummer er en unik identifikator for en bruker tilknyttet mobilnettet. Dette gjør at man kan registrere hvilke SIM-kort, og dermed mobiltelefoner, som er koblet opp til nærmeste mobilbasestasjon på et gitt tidspunkt. Ved hjelp av dette kan IMSI-catcheren brukes til å avsløre en persons lokasjon på det bestemte tidspunktet. Å kunne fange opp IMSI-nummer er i seg selv ikke noe nytt, men forskjellen ligger i at det har blitt betydelig billigere og enklere å lage sin egen IMSI-catcher. IMSI-catcheren egner seg best på steder hvor det ikke er så mange brukere, men dersom man klarer å prosessere alle dataene kan det i teorien også brukes i storbyer.
Referanser
https://www.digi.no/artikler/sikkerhetsforske[...]

Nytt virus på Facebook

Det har blitt observert et nytt virus på Facebook som oppretter og sender meldinger til brukerens venner. Meldingene inneholder en emoji og en link til en ekstern side, hvor brukeren blir spurt om å legge til en Chrome extension. Dette tilleggsprogrammet henter så informasjon fra Facebook-profilen. I tillegg fjerner den lenken for å bytte passord, slik at det skal være vanskeligere for infiserte brukere å bytte passord. Viruset begynte å spre seg før helgen, og har blitt betydelig mer synlig i løpet av de siste dagene. Infiserte brukere anbefales å avinstallere dette tilleggsprogrammet, og skifte passord på via følgende link: https://www.facebook.com/settings?tab=security
Referanser
http://www.nettavisen.no/na24/propaganda/viru[...]
https://www.datahjelperne.no/facebook-messeng[...]