Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 17 August 2017

2017.08.17 - Nyhetsbrev

Norsk mobilapp muliggjorde uthenting av fødselsnummer. Flere alvorlige svakheter i Drupal Core. Cisco fikser svakheter i flere produkter.

Norsk mobilapp muliggjorde uthenting av fødselsnummer

Appen "Trygg Reise" fra Tryg forsikring hadde manglende autentisering mot et bakenforliggende system. Ved hjelp av en proxy, var det mulig å få hentet ut informasjon om bileiere ved å slå opp på skilt-nummer. Info som kunne hentes ut var navn, adresse, forsikringer og fødselsnummer.
Referanser
https://www.digi.no/artikler/norsk-mobilapp-a[...]

Flere alvorlige svakheter i Drupal Core

Det har blitt sluppet en ny versjon av publiseringssystemet Drupal som utbedrer tre svakheter. En av svakhetene har blitt rangert som "kritisk".
Anbefaling
Oppdater til Drupal v8.3.7.
Referanser
https://www.drupal.org/SA-CORE-2017-004

Cisco fikser svakheter i flere produkter

Cisco fikser svakheter i produktene "Application Policy Infrastructure Controller" og "Virtual Network Function Element Manager".
Anbefaling
dfg
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 16 August 2017

2017.08.16 - Nyhetsbrev

Telenor utgir rapporten "Digital Sikkerhet 2017".

Bakdør funnet i flere produkter fra NetSarang.

Det omfattende utpressingsangrepet "NotPetya" i juni kan komme til å koste Maersk Line opptil to milliarder kroner.

Bakdør funnet i flere NetSarang produkter.

KasperskyLabs oppdaget tidligere i juni en bakdør lagt inn i server-håndteringssystemer fra NetSarang. Bakdøren ble oppdaget etter mistenkelige DNS-spørringer fra servere som brukte NetSarang produkter. Bakdøren er fjernet i nyeste oppdateringer.
Referanser
https://securelist.com/shadowpad-in-corporate[...]

Telenor utgir rapporten "Digital Sikkerhet 2017"

En ny rapport fra Telenor Norge kaster lys over risikoer og utfordringer Norge står overfor når avanserte trusselaktører utnytter cyberspace.
Referanser
http://www.mynewsdesk.com/no/telenor/pressrel[...]
https://www.telenor.no/om/digital-sikkerhet/
http://

Utpressingsangrepet "NotPetya" kan koste Maersk Line opptil to milliarder kroner.

Shippingfirmaet Maersk Line skriver i deres kvartalsrapport for Q2 at utpressingsangrepet "NotPetya", som rammet dem i slutten av juni, kan koste selskapet så mye som 200-300 millioner dollar.
Referanser
https://www.digi.no/artikler/dataangrepet-kan[...]
http://investor.maersk.com/releasedetail.cfm?[...]

Tuesday, 15 August 2017

2017.08.15 - Nyhetsbrev

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering. Svakhet fra patche-tirsdag i Windows har orme-potensiale.

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering

Siste ukes oppdatering fikset en svakhet som aksepterte blanke passord. Det anbefales å oppgradere.
Referanser
http://www.securityweek.com/password-flaws-pa[...]

Svakhet fra patche-tirsdag i Windows har orme-potensiale

CVE-2017-8620, fikset i august-oppdateringen fra Microsoft, har potensiale til kunne benyttes til spredning av ormer. Svakheten gir angriper muligheten til å oppgradere rettigheter og fra eksternt ståsted angripe og kjøre kode. Alle Windows versjoner er påvirket svakheten utnyttes via SMB. Vi anbefaler å oppgradere.
Referanser
https://threatpost.com/windows-search-bug-wor[...]

Monday, 14 August 2017

2017.08.14 - Nyhetsbrev

Sikkerhetsoppdateringer til Symantec Messaging Gateway. Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip. Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten.

Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten

Den russisktalende hackergruppen APT28 skal, i følge forskere, ha lurt gjester ved hoteller i Europa og Midtøsten til å laste ned skjemaer som likner på hotellenes egne skjemaer. Disse filene installerer skadevaren Gamefish som igjen sprer seg videre over nettet ved hjelp av svakheten i SMB-protokollen brukt i NSA sitt EternalBlue-verktøy. Målet for angrepene skal ha vært forretningsfolk og politikere. Det anbefales på et generelt grunnlag at man unngår å bruke offentlige, åpne nettverk.
Referanser
https://threatpost.com/apt28-using-eternalblu[...]

Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.
Referanser
https://www.digi.no/artikler/falske-gps-signa[...]
https://www.newscientist.com/article/2143499-[...]

Sikkerhetsoppdateringer til Symantec Messaging Gateway

Symantec har oppdaget og fikset to sikkerhetshull i Symantec Messaging Gateway. Den ene feilen er klassifisert som alvorlig og gjør det mulig for en angriper å kjøre uautorisert kode eksternt. I verste fall kan dette føre til at en angriper får tilgang til maskinen.
Anbefaling
Oppdater Symantec Messaging Gateway 10.6.3-267
Referanser
https://www.symantec.com/security_response/se[...]

Friday, 11 August 2017

2017.08.11 - Nyhetsbrev

Sårbarheter i Juniper Networks Junos OS

Sårbarheter i Junipers JunOS

Det er oppdaget sårbarheter (CVE-2017-2347 / CVE2016-3074) i operativsystemet tilhørende Juniper Networks routere som kjører Junos OS. Sårbarhetene åpner for heap-overflow og tjenestenekt.

Juniper har sluppet oppdateringer som tetter svakhetene.
Anbefaling
Oppdater berørte systemet.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Thursday, 10 August 2017

2017.08.10 - Nyhetsbrev

Data fra Carbon Blacks EDR-tjeneste hentet ut via Virus Total sitt 3-parts API.

Carbon Black anklaget for å ha lekket kundedata

Sensitiv bedriftsdata fra kunder beskyttet av Carbon Black Endpoint Detection and Response (EDR)-løsning har blitt funnet på Virus Total i følge Direct Defense. Lekkasjen har blitt knyttet til en API-nøkkel som Direct Defence sier tilhører Carbon Black Cb Response. Selv om EDR-løsningen endrer navn på filene ved hjelp av hashing, blir filene fremdeles lagret hos Virus Total. Ved å abonnere på data fra Virus Total, kan en laste ned tidligere opplastede filer. Det er på denne måten DirectDefence fant filene lastet opp fra Carbon Black.

Carbon Blacks CTO Michael Viscuso kom på banen etter avsløringene. Han opplyser at Carbon Black ikke laster opp filer til Virus Total i standard konfigurasjon. Dette er funksjonalitet som kan slås på for brukere som ønsker dette. Dersom brukeren prøver å slå på funksjonen, advares det også mot at tredjeparter kan få tak i filene som lastes opp. Mange andre sikkerhetsverktøy laster også opp ukjente filer til Virus Total og andre sikkerhetsjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.carbonblack.com/2017/08/09/direct[...]
https://blog.savagesec.com/words-have-meaning[...]

Wednesday, 9 August 2017

2017.08.09 - Nyhetsbrev

Denne månedens sikkerhetsoppdateringer er ute. Det er en mengde sikkerhetsoppdateringer for Android, Windows-produkter, Firefox, Adobe-produkter og SAP.

Firefox versjon 55 med flere kritiske oppdateringer

Firefox 55 er sluppet med 30 sikkerhetsoppdateringer. Av disse er 5 kategorisert som kritiske. De kritiske oppdateringene omhandler flere forskjellig svakheter, blant annet en svakhet (CVE-2017-7798) i developer-tools som kan tillate eksekvering av kode ved hjelp av en ondsinnet webside.

WebSockets er også berørt (CVE-2017-7800), der en use-after-free svakhet kan oppstå om objektet som opprettholder tilkoblingen blir frigjort før frakoblingsprosedyren er ferdig. Dette kan føre til en kræsj som kan utnyttes.

En annen use-after-free svakhet kan også oppstå om brukeren endrer størrelsen på et vindu når siden inneholder et marquee-element. Dette kan skje fordi det oppdaterte style-objektet blir frigjort mens det er i bruk.
Anbefaling
Oppdater berørte systemer
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google patchet 10 kritiske svakheter i Android

Google patchet 10 kritiske sårbarheter i sine månedlige sikkerhetsoppdatering for Android. I alt ble det rettet 49 svakheter. Mange av svakhetene er knyttet til Android sitt mediarammeverk, som består av blant annet MediaServer, AudioServer og CameraServer. Oppdateringen fikset også en rekke sårbarheter knyttet til Android sine Kernel komponenter, og chipset produsert av MediaTek, Broadcom og Qualcomm.
Anbefaling
Installer oppdatering.
Referanser
https://threatpost.com/google-patches-10-crit[...]

25 kritiske svakheter i denne månedens oppdateringer fra Microsoft

Microsoft har sluppet 48 sikkerhetsoppdateringer for August. Dette inkluderer oppdateringer for Windows, Internet Explorer (IE), Edge, Linux subsystem, Kernel, SharePoint, SQL-Server og Hyper-V. Av 48 oppdateringer er 25 listet som kritiske.

En feil i SMB (CVE-2017-8620) gir en angriper mulighet til å eksekvere kode på en ekstern host gjennom en ondsinnet SMB-spørring. Denne regnes av mange som denne månedenes viktigste oppdatering.

I Hyper-V er det oppdaget en svakhet (CVE-2017-8664) som muliggjør ekstern kodeeksekvering. Svakheten er et resultat av manglende validering av input sendt av autentiserte brukere på et gjesteoperativsystem. Dette kan gi en angriper tilgang til den underliggende hypervisoren.

Microsofts egen JavaScript-motor Chakra, som er integrert i blant annet Microsoft Edge, har en svakhet (CVE-2017-8641) som lar en angriper eksekvere kode eksternt. Dette gjøres ved hjelp av tilpassede websider eller filer. Svakheten ligger i håndtering av JavaScript sin eval-funksjon, der manglende validering fører til en buffer-overflow. Dette gir mulighet for å eksekvere programkode i konteksten til applikasjonen.

Ekstern kodeeksekvering (CVE-2017-8635) er mulig i Microsoft Edge og Internet Explorer 10-11 ved å utnytte måten JavaScript-motoren håndterer objekter i minnet. Svakheten utnyttes ved hjelp av en spesielt tilpasset nettside, og kan gi en angriper full kontroll over systemet.

En annen ekstern rettighetseskalerings (CVE-2017-8653) er oppdaget i Microsoft Internet Explorer. Svakheten krever at bruker besøker en spesiallaget side som utnytter måten Internet Explorer håndterer HTML-dokumenter. Angriper kan potensielt få tilgang til minne, og videre eksekvere kode under konteksten til brukeren.

En ekstern kodeeksekvering-svakhet (CVE-2017-0250) finnes også i Microsoft Windows. Svakheten lar en angriper eksekvere kode når bruker besøker en spesiallaget webside. Den spesifikke svakheten eksisterer i Microsoft Jet Engine Libray og er et resultat av manglende validering av input. Svakheten gir angriper tilgang på nivå med bruker.

I Windows PDF Library er det oppdaget en svakhet (CVE-2017-0293) som tillater ekstern kodeeksekvering. Svakheten utnytter manglende validering i prosesseringen av JPEG2000 bildefiler. En angriper oppnår tilgang på nivå med prosessen selv.

I Microsoft RDP eksisterer det en DOS-svakhet (CVE-2017-8673) som lar en angriper sende en spesielt utformet spørring som fører til at tjenesten blir utilgjengelig.
Anbefaling
Oppdater berørte systemer.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://www.zerodayinitiative.com/blog/2017/8[...]

Denne månedens oppdateringer fra Adobe

Denne måneden har Adobe gitt ut to kritiske oppdateringer for Adobe Flash, Adobe Digital Edition, Adobe Reader samt en viktig oppdatering for Adobe Experience Manager.

For Adobe Flash er oppdateringen ganske liten, mens for Adobe Reader er oppdateringen større ettersom den omhandler 43 kritiske og 24 viktige sikkerhetshull. De fleste er relatert til korrupt minne, som gir en angriper muligheten til å eksekvere ondsinnet kode. Utnyttelse krever at bruker åpner en spesiallaget fil.

For Adobe Digital Edition er det to kritiske og syv viktige sikkerhetshull som fikses. Disse omhandler informasjonsavsløring på grunn av lekkede minneadresser.

For Experience Manager er det tre forskjellige problemer som fikses.
Anbefaling
Installer oppdatering.
Referanser
https://www.zerodayinitiative.com/blog/2017/8[...]
https://helpx.adobe.com/security/products/exp[...]

SAP fikser 19 sikkerhetshull i sine produkter

SAP ga denne uken ut en oppdatering for sine produkter for å fikse totalt 19 sikkerhetshull. De fleste sikkerhetshullene som er fikset denne måneden er relatert til cross-site-scripting.
Anbefaling
Installer oppdatering.
Referanser
http://www.securityweek.com/sap-resolves-19-v[...]
https://blogs.sap.com/2017/08/08/sap-security[...]

Tuesday, 8 August 2017

2017.08.08 - Nyhetsbrev

HBO utsatt for pengeutpressing etter datainnbrudd.

HBO utsatt for pengeutpressing etter datainnbrudd

Mediaselskapet HBO har blitt utsatt for et datainnbrudd. Hackerne påstår at de har stjålet 1.5TB med data over lengre tid. Som bevis har de sluppet diverse interne data, som manuskript til TV-serier, interne eposter, finansdata, kontrakter osv. De krever nå en ukjent pengesum for ikke å offentliggjøre mer informasjon.
Referanser
https://www.wired.com/story/hbo-hack-ransom-note/

Monday, 7 August 2017

2017.08.07 - Nyhetsbrev

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows. Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner. Nytt virus på Facebook.

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows

Microsoft vil vente med å rette opp kjent sårbarhet i nettverksprotokollen SMB (Server Message Block). Sårbarheten, som har fått navnet SMBLoris, gjør det mulig for en angriper å utføre tjenestenektangrep (DoS) mot maskiner med SMB-støtte, uten å være en autorisert bruker. To ulike team hos Microsoft skal ha vurdert sårbarheten, og konkludert med at den ikke er alvorlig nok til å bli rettet opp i en sikkerhetsoppdatering. Microsoft opplyser om at sårbarheten vil bli fikset i en fremtidig utgave av Windows. Sårbarheten ble varslet 2. juni tidligere i år, og eksisterer i alle nyere versjoner av Windows.
Referanser
https://www.digi.no/artikler/microsoft-vil-ve[...]

Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner

Keld Norman, som jobber som sikkerhetskonsulent hos danske Dubex, har laget en IMSI-catcher som kan fange opp såkalte IMSI-nummer. IMSI-nummer er en unik identifikator for en bruker tilknyttet mobilnettet. Dette gjør at man kan registrere hvilke SIM-kort, og dermed mobiltelefoner, som er koblet opp til nærmeste mobilbasestasjon på et gitt tidspunkt. Ved hjelp av dette kan IMSI-catcheren brukes til å avsløre en persons lokasjon på det bestemte tidspunktet. Å kunne fange opp IMSI-nummer er i seg selv ikke noe nytt, men forskjellen ligger i at det har blitt betydelig billigere og enklere å lage sin egen IMSI-catcher. IMSI-catcheren egner seg best på steder hvor det ikke er så mange brukere, men dersom man klarer å prosessere alle dataene kan det i teorien også brukes i storbyer.
Referanser
https://www.digi.no/artikler/sikkerhetsforske[...]

Nytt virus på Facebook

Det har blitt observert et nytt virus på Facebook som oppretter og sender meldinger til brukerens venner. Meldingene inneholder en emoji og en link til en ekstern side, hvor brukeren blir spurt om å legge til en Chrome extension. Dette tilleggsprogrammet henter så informasjon fra Facebook-profilen. I tillegg fjerner den lenken for å bytte passord, slik at det skal være vanskeligere for infiserte brukere å bytte passord. Viruset begynte å spre seg før helgen, og har blitt betydelig mer synlig i løpet av de siste dagene. Infiserte brukere anbefales å avinstallere dette tilleggsprogrammet, og skifte passord på via følgende link: https://www.facebook.com/settings?tab=security
Referanser
http://www.nettavisen.no/na24/propaganda/viru[...]
https://www.datahjelperne.no/facebook-messeng[...]

Friday, 4 August 2017

2017.08.04 - Nyhetsbrev

306 millioner passord tilgjengelig for nedlastning. Mannen som stoppet WannaCry arrest i USA. Nettleserutvidelsen Web Developer kompromittert. Bitcoins fra WannaCry-angrepet blir konvertert til Monero.

306 millioner passord tilgjengelig for nedlastning

Sikkerhetsforsker Troy Hunt har gjort tilgjengelig 306 millioner passord som ved tidligere hackerangrep har blitt kompromittert. Hunt anbefaler utviklere å lage systemer som nekter nye brukere å opprette kontoer med passord fra listen. Det er ikke de originale passordene som ligger i listen, men en SHA-1 basert hash av dem.
Referanser
https://www.troyhunt.com/introducing-306-mill[...]
https://www.digi.no/artikler/er-ditt-passord-[...]

Mannen som stoppet WannaCry arrest i USA

Sikkerhetsforsker Marcus Hutchins, også kjent under aliaset MalwareTech, ble onsdag arrestert av FBI på en flyplass i Las Vegas. Hutchins er kjent for å være mannen som stoppet WannaCry-viruset tidligere i år. Nå er han siktet for å ha utviklet og solgt skadevaren Kronos, som tidligere har rammet finanssektoren. Mange har trodd at Kronos stammet fra Russland, men dette trekkes nå i tvil.
Referanser
https://www.theregister.co.uk/2017/08/03/wann[...]
https://threatpost.com/wannacry-hero-arrested[...]
https://www.nytimes.com/2017/08/03/technology[...]

Nettleserutvidelsen Web Developer kompromittert

Chrome-versjonen av nettleserutvidelsen Web Developer ble kompromittert av hackere etter at utvikleren selv gikk på et phishing-angrep. Angriperne lastet opp en modifisert versjon av utvidelsen som injiserte reklame i brukerens nettleser. Det har vært en trend i det siste at populære nettleser-tillegg har blitt kompromittert. Slike utvidelser har ofte rettigheter til å avlytte trafikk og tastetrykk i nettleseren.
Referanser
https://www.tripwire.com/state-of-security/fe[...]

Bitcoins fra WannaCry-angrepet blir konvertert til Monero

Bitcoins verdt 108.000 pund har blitt hentet ut fra de tre Bitcoin-lommebøkene assosiert med WannaCry-angrepet. Firmaet Elliptic opplyser at de har blitt konvertert til kryptovalutaen Monero, der det er vanskeligere å spore transaksjoner.
Referanser
https://www.theguardian.com/technology/2017/a[...]

Thursday, 3 August 2017

2017.08.03 - Nyhetsbrev

Kryptowire advarer mot lavkostnadstelefoner.

Produsenter av lavkostnadstelefoner selger personlig informasjon

Kryptowire mener flere modeller fra telefonprodusentene BLU og Cubot sine Android-telefoner sender store mengder sensitiv informasjon til servere i Kina. Produsenter av lavkostnadstelefoner selger ofte personlig informasjon innhetet fra telefonene for å senke kostnadene, og det er derfor bekymringer for sikkerheten på slike telefoner. Telefonene det er snakk om skal normalt ikke være til salgs i Norge.
Referanser
https://arstechnica.com/information-technolog[...]

Tuesday, 1 August 2017

2017.08.01 - Nyhetsbrev

Ansatt hos FireEye/Mandiant hacket, ny banktrojaner for Android og flere svakheter i produkter fra Trend Micro.

Ansatt hos FireEye/Mandiant hacket

Sikkerhetsanalytikeren Adi Perez, en ansatt i selskapet Mandiant, skal ha blitt utsatt for et hackerangrep. Angriperne hevder de har hatt tilgang til Perez sin datamaskin i over et år. Ved hjelp av nettstedet pastebin.org har angriperne lekket interne dokumenter fra Mandiant, samt innhold fra Perez sin epost-konto og sosiale nettverk. Angriperne advarer andre sikkerhetsanalytikere om at de personlig vil være mål i framtiden, og ikke bare firmaene de jobber for.
Referanser
https://thenextweb.com/insider/2017/07/31/hac[...]
https://pastebin.com/6HugrWH4
http://money.cnn.com/2017/07/31/technology/ma[...]

Ny banktrojaner for Android benytter seg av accessibility services

Securelist skriver om en ny trojaner for Android som benytter seg av accessibility services for å ta bilder av skjermen og logge tastetrykk.
Referanser
https://securelist.com/a-new-era-in-mobile-ba[...]

Flere svakheter i produkter fra Trend Micro

Zero Day Initiative har publisert informasjon om svakheter i følgende produkter fra Trend Micro: Interscan Messaging Security Proxy, Deep Discovery Email Inpector og Control Manager. Trend Micro har sluppet patcher for berørte produkter.
Anbefaling
Installer oppdatering
Referanser
http://www.zerodayinitiative.com/advisories/p[...]