2018.03.28 - Nyhetsbrev

FBI melder om økning av password spraying angrep, Sikkerhetsoppdatering for OpenSSL

Sikkerhetsoppdatering for OpenSSL

Oppdatering for OpenSSL som fikser svakheter i versjon 1.1.0 og 1.0.2.
Referanser
https://www.openssl.org/news/secadv/20180327.txt

FBI melder om økning av password spraying angrep

Ifølge en rapport fra FBI er det vist en økning i bruken av password spraying angrep blant ondsinnede aktører. Angrepet er en form for brute force angrep. Metoden som brukes prøver et passord på en rekke brukere, for så å begynne på nytt med et nytt passord. På denne måten kan det være vanskelig å oppdage angrepet ved sikkerhetsløsninger som blokkerer brukeren etter gjentatte feilslåtte innlogginger innenfor en viss tidsramme.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-086A

2018.03.27 - Nyhetsbrev

Mozilla Firefox svakhet

Svakhet i gamle Mozilla Firefox versjoner

En use-after-free svakhet kan forekomme i Firefox under spesifikke operasjoner. Dette kan resultere i en kræsj som potensielt lar seg utnytte.
Anbefaling
Oppdatere Firefox: - Firefox 59.0.2 - Firefox ESR 52.7.3
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2018.03.26 - Nyhetsbrev

By i Amerika rammet av ransomware angrep.

Atlanta by rammes av ransomware angrep

Torsdag morgen ble Atlanta offer for et ransomware angrep som kneblet flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettsaker. Per fredag jobbet byen blant annet med FBI, Microsoft, og Cisco i forsøk på å adressere angrepet. I følge CBS har byen mottatt krav om 6 bitcoin i bytte mot nøkler som kan dekryptere systemene som er rammet.
Referanser
http://www.cbs46.com/story/37787028/sources-c[...] https://threatpost.com/ransomware-attack-crip[...]

2018.03.22 - Nyhetsbrev

Nasjonal sikkerhetsmyndighet har utgitt risikorapport for 2018, AMD vil komme med fastvareoppdateringer til deres prosessorer, Kaspersky har avslørt anti-terrorist operasjon og Citrix ute med viktige sikkerhetsoppdateringer XenServer.

Nasjonal sikkerhetsmyndighet risikorapport 2018

20.03 publiserte Nasjonal sikkerhetsmyndighet (NSM) rapporten "Risiko 2018", som tar for seg risikotilstanden i Norge i 2018. De slår fast at nye sårbarheter og en negativ utvikling av trusselbildet øker risikoen for å bli rammet av sikkerhetstruende hendelser. I rapporten peker NSM på at etterretningstrusselen mot norske aktører er betydelige. Direktør i NSM, Kjetil Nilsen, sier at Norske virksomheter må få et mer bevisst forhold til truslene de er villige til å akseptere. Han sier også at muligheten for å bli eksponert er tilstede og selv om bedriften er godt sikret kan man bli eksponert om man er sammenknyttet svakt sikrede bedrifter over nett.
Referanser
https://www.nsm.stat.no/aktuelt/risiko-2018/ https://twitter.com/NSM_no/status/97601432910[...]

AMD vil komme med fastvareoppdateringer til deres sårbare prosessorer

Tidligere denne måneden ble det kjent at en rekke prosessorer fra AMD var sårbare, og kunne utnyttes så et angrep fikk full tilgang til et system som kjørte nevnte prosessorer. Nå har AMD verifisert disse 13 sårbarhetene og vil rimelig snart utgi fastvareoppdateringer til de sårbare prosessorene (AMD Ryzen, Ryzen Pro, Ryzen Mobile eller EPYC). AMD mener disse sikkerhetsoppdateringene ikke vil påvirke ytelsen til systemet.
Referanser
http://securityaffairs.co/wordpress/70526/sec[...]

Kaspersky avslørte det som viste seg å være anti-terrorist operasjon

Forholdet mellom Amerikanske myndigheter og det russiske selskapet Kaspersky Labs er trolig ikke forbedret etter at en ny hendelse skal ha dukket opp i deres feide. Kaspersky publiserte 9.Mars at de hadde oppdaget en malware-kampanje de valgte å kalle "Slingshot". Nå viser det seg at det Amerikanske forsvarets samlede spesialenhet skal ha stått bak kampanjen. Malware-kampanjen skal ha vært en del av en anti-terrorist operasjon, og ment for å infisere maskiner brukt av medlemmer i ISIS.
Referanser
https://www.cyberscoop.com/kaspersky-slingsho[...]

Citrix ute med viktige sikkerhetsoppdateringer XenServer

Citrix har utgitt kritiske sikkerhetsoppdateringer for flere sårbarheter i deres XenServer. De mest kritiske sårbarhetene kan utnyttes slik at en administrator av et gjeste-OS kan få verts-OSet til å kræsje, og i enkelte tilfeller få tilganger til verts-OSet.
Anbefaling
Oppdatert til siste versjon. Følg instruksjonene i linken.
Referanser
https://support.citrix.com/article/CTX232655

2018.03.21 - Nyhetsbrev

Ny artikkel som forklarer nærmere om den nylige Facebook-krisen som har fått navnet Cambridge Analytica-skandalen.

Ny artikkel som forklarer nærmere om den nylige Facebook-krisen som har fått navnet Cambridge Analytica-skandalen

Tek.no har publisert en artikkel som forklarer nærmere om den nåværende Facebook-krisen, også kalt Cambridge Analytica-skandalen, hvor firmaet sanket inn personlig brukerinformasjon til omtrent 50 millioner brukere. Informasjonen ble hentet ut på lovlig vis, teknisk sett, og fikk ingen umiddelbare konsekvenser for Cambridge Analytica.
Referanser
https://www.tek.no/artikler/facebook-krisen-f[...]

2018.03.20 - Nyhetsbrev

Datasikkerhetssjef hos Facebook trer av.

Datasikkerhetssjef hos Facebook trer av

Datasikkerhetssjef hos Facebook, Alex Stamos, trer av. Fratredelsen skyldes trolig interne konflikter forankret i hvor mye informasjon Facebook burde offentliggjøre angående misbruk av plattformen deres.
Referanser
https://www.nytimes.com/2018/03/19/technology[...]

2018.03.19 - Nyhetsbrev

50 millioner Facebook-brukere kartlagt for politisk reklame.

50 millioner Facebook-brukere kartlagt for politisk reklame

Firma linket til Trump laget detaljerte velgerprofiler fra 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform.
Referanser
http://nordic.businessinsider.com/cambridge-a[...]

2018.03.16 - Nyhetsbrev

Microsoft har funnet ut infeksjonsvektor bak forrige ukes kryptovalutatrojaner og sluppet ny Security Intelligence Report. Russisk cyber-spionasje rettet mot energi-sektoren i USA. VMware patcher svakhet.

Microsoft har funnet ut infeksjonsvektor bak forrige ukes kryptovalutatrojaner

Sikkerhetsforskere hos Microsoft snakker om kryptovalutatrojaneren som infiserte 400 000 maskiner i forrige uke. Trojaneren ble distribuert gjennom en kompromittert versjon av BitTorrent-klienten Mediaget.
Referanser
https://arstechnica.com/information-technolog[...]

Microsoft har kommet med ny Security Intelligence Report

Microsoft har sluppet det 23. volumet av deres Security Intelligence Report. Rapporten fokuserer på botnet, hacker-metodikker og løsepengevirus. Den bygger på et datagrunnlag Microsoft har samlet siden februar 2017.
Referanser
https://cloudblogs.microsoft.com/microsoftsec[...]

Russisk cyber-spionasje rettet mot energi-sektoren i USA

US-CERT skriver om en analyse av russisk cyber kriminalitet rettet mot energi- og annen kritisk infrastruktur. Analysen er et resultat av et samarbeid mellom Department of Homeland Security (DHS) og Federal Bureau of Investigation (FBI) og inneholder bl.a. kompromiteringsindikatorer (IOCer), taktikker og teknikker som har blitt brukt i kompromitterte nettverk.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-074A

VMware patcher svakhet

VMware har gitt ut en oppdatering som fikser en svakhet ved VMware workstation og Fusion. Svakheten kan forårsake tjenestenekt ved å åpne store mengder VNC sesjoner.
Anbefaling
Oppdater til versjon 14.1.1 (Workstation) eller 10.1.1 (Fusion).
Referanser
https://www.vmware.com/security/advisories/VM[...]

2018.03.15 - Nyhetsbrev

Symantec med bloggpost med oppdatert informasjon rundt trusselaktøren "Inception Framwork".

Symantec om Inception Framework: "Alive and Well, and Hiding Behind Proxies"

Symantec blogger om trusselaktøren Inception Framework og hvordan de holder seg skjult. Symantec har fulg denne grupperingen siden desember 2014 og sett hvordan de med nye verkty har blitt stadig vanskeligere å oppdage.
Referanser
https://www.symantec.com/blogs/threat-intelli[...]

2018.03.14 - Nyhetsbrev

Rapport om kritiske svakheter i moderne AMD prosessor-arkitektur. Microsoft og Adobe patcher en rekke svakheter i månedlig oppdatering. Mozilla fikser 18 svakheter i Firefox. Kritisk sårbarhet oppdaget i Samba. Kina manipulerer publiseringsdato for sårbarheter i offentlig sårbarhetsdatabase. Computerworld ser på nye sikkerhetsmekanismer i Android P.

Rapport: Kritiske svakheter funnet i moderne AMD-prosessorer

Den Israelske organisasjonen CTS hevder å ha oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene skal kunne utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner på vegne av CPU. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering.
Referanser
https://amdflaws.com/ https://arstechnica.com/information-technolog[...] https://twitter.com/cynicalsecurity/status/97[...]

Microsoft med månedlig oppdatering

Microsoft er ute med sine månedlige oppdateringer. Denne gangen 14 i tallet, og det er mer enn 75 svakheter som fikses. Svakhetene, hvorav flere er å anse som kritiske, befinner seg i bl.a i alle supporterte utgaver av Windows OSet, samt i Internet Explorer/Edge, Office, Sharepoint og Exchange Server.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://www.symantec.com/blogs/threat-intelli[...] https://krebsonsecurity.com/2018/03/flash-win[...]

Adobe med månedlig sikkerhetsoppdatering

Adobe er ute med sin månedlige sikkerhetsoppdatering, og tetter denne gangen flere svakheter i Flash Player, Connect og Dreamweaver CC. Flere av svakhetene er å anse som kritiske.
Referanser
https://helpx.adobe.com/security/products/fla[...] https://helpx.adobe.com/security/products/con[...] https://helpx.adobe.com/security/products/dre[...]

Mozilla fikser 18 svakheter i Firefox-oppdatering.

Mozilla gir ut Firefox 59, og tetter med det 18 svakheter, hvorav flere er å anse som alvorlige.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Kritisk sårbarhet i SAMBA

Sårbarhet i samba gjør at ikke-autoriserte brukere kan endre passordet til andre brukere. Feilen ligger i LDAP serveren og er relatert til validering av rettigheter. Det kreves en lokal bruker for å utnytte svakheten.
Referanser
https://www.samba.org/samba/security/CVE-2018[...] https://wiki.samba.org/index.php/CVE-2018-1057

Kina manipulerer publiseringsdato for sårbarheter i offentlig sårbarhetsdatabase.

Interessant blogpost fra Recorded Future der det hevdes at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal iflg. Recorded Future trolig være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene ifbm. målrettede angrep før de offentliggjøres.
Referanser
http://www.theregister.co.uk/2018/03/12/china[...] https://www.recordedfuture.com/chinese-vulner[...]

Gjennomgang av nye sikkerhetsmekansmer i Android P

Computerworld ser på nye sikkerhetsmekanismer som introduseres i operativsystemet Android P fra Google. Blant annet blir det bedre kontroll på tilgang til sensorer som kamera og mikrofon, bedre kryptering av filssytemet og mer anonym bruk av WiFi.
Referanser
https://www.computerworld.com/article/3261464[...]

2018.03.13 - Nyhetsbrev

Bakdør i Cisco-programvare.

Bakdør i Cisco-programvare

Det er funnet en udokumentert, hardkoded konto i Ciscos Prime Collaboration Provisioning-programvare, versjon 11.6. Selv om en angriper må ha tilgang til det lokale nettverket så blir sårbarheten betegnet som kritisk. Den skal være fikset i versjon 12.1 som nå er tilgjengelig.
Referanser
https://www.digi.no/artikler/hardkodet-bakdor[...]

2018.03.12 - Nyhetsbrev

Slingshot: Godt gjemt malware funnet av forskere. Over 400 000 Windows-maskiner infisert av trojaner.

Slingshot: Godt gjemt malware funnet av forskere

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Kaspersky Labs har skrevet en rapport om skadevaren som først og fremst har rammet Asia og Afrika.
Referanser
https://arstechnica.com/information-technolog[...] https://s3-eu-west-1.amazonaws.com/khub-media[...]

Over 400 000 Windows-maskiner infisert av trojaner

Over 400 000 Windows-maskiner, hovedsaklig i Russland, ble offer for en trojaner som var designet for å utvinne kryptovaluta. Angrepet ble oppdaget og stoppet av Windows Defender Antivirus ved hjelp av adferd-baserte signaler kombinert med maskinlæringsmodeller. Trojaneren, som er en ny variant av Dofoil (også kjent som Smoke Loader), inneholdt ondsinnet kode som nå ble brukt til å utvinne kryptovalutaen Electroneum. Det er usikkert hvordan trojaneren har infisert de rammede maskinene.
Referanser
https://www.pcmag.com/news/359740/malware-tri[...] https://cloudblogs.microsoft.com/microsoftsec[...]

2018.03.09 - Nyhetsbrev

Hidden Cobra retter oppmerksomheten mot tyrkisk finanssektor.

Hidden Cobra retter oppmerksomheten mot tyrkisk finanssektor

Hacker gruppen Hidden Cobra retter oppmerksomheten mot tyrkisk finanssektor. Gruppen benytter seg av skadevaren "Bankshot", som er designet for å vedvare på et kompromittert system for videre utnyttelse, noe som kan indikere at gruppen er i en tidlig datainnsamlingfase.
Referanser
https://securingtomorrow.mcafee.com/mcafee-la[...]

2018.03.08 - Nyhetsbrev

Cisco har sluppet oppdateringer for flere produkter.

Cisco ute med nye oppdateringer

Cisco har nå gitt ut oppdateringer til flere av sine produkter som fikser flere svakheter. Oppdateringene gjelder Cisco Prime Collaboration Provisioning 1.16, Cisco Secure Access Control System og Cisco Web Security Appliance.
Referanser
https://tools.cisco.com/security/center/conte[...]

2018.03.07 - Nyhetsbrev

Flere sikkerhetshull tettet i Chrome 65. Svakhet i Exim muliggjør ekstern kodeeksekvering. Kritiske sikkerhetshull tettet i Android.

Flere sikkerhetshull tettet i Chrome 65

Chrome har sluppet versjon 65 som inneholder 45 sikkerhetsoppdateringer. Flere av sikkerhetshullene som er klassifisert med alvorlighetsgrad høy omhandler ulike svakheter i Adobe Flash, som er innebygget i Chrome.
Referanser
https://chromereleases.googleblog.com/2018/03[...] https://wccftech.com/chrome-65-android-window[...]

Flere kritiske sikkerhetshull tettet i Android

Google har tettet 11 kritiske sikkerhetshull denne månedens oppdatering for Android. Syv av svakhetene tillot ekstern kodeeksekvering. Totalt er 37 svakheter patchet. Det mest alvorlige sikkerhetshullet ligger i Androids Media Framework, og tillater kodeeksekvering ved hjelp av en spesiallaget fil. Angriper kan på denne måten få tilgang til en priviligert kontekst.
Referanser
https://source.android.com/security/bulletin/[...] https://threatpost.com/google-patches-11-crit[...]

Svakhet i Exim muliggjør ekstern kodeeksekvering

En bug i Exim gjør det mulig for en ekstern angriper å kjøre kode med samme rettigheter som prosessbrukeren. Angrepet utføres ved hjelp av en spesielt utformet mail. Svakheten gjelder alle versjoner før Exim 4.90.1. Over 400.000 servere skal være rammet.
Anbefaling
Installer siste versjon.
Referanser
https://arstechnica.com/information-technolog[...] https://devco.re/blog/2018/03/06/exim-off-by-[...]

2018.03.06 - Nyhetsbrev

Kunde av amerikansk ISP utsatt for DDoS-angrep på 1.7 Tbps. Årlig trusselvurdering fra Etterretningstjenesten.

Kunde av amerikansk ISP utsatt for DDoS-angrep på 1.7 Tbps

NETSCOUT Arbor bekrefter at en kunde av en amerikansk ISP har blitt utsatt for et DDoS-angrep på 1.7 Tbps. Denne nyheten kommer bare noen dager etter at det ble rapportert at Github hadde blitt utsatt for et lignende DDoS-angrep på 1.35 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av type memcached reflection/amplification.
Referanser
https://www.arbornetworks.com/blog/asert/nets[...] https://www.digi.no/artikler/rekorden-varte-i[...]

Årlig trusselvurdering fra Etterretningstjenesten

Etterretningstjenesten la mandag frem sin årlige trusselvurdering. Det er flere typar digitale aktiviteter som kan true Norge og andre vestlige demokrati. Etterretning er den mest alvorlege av dem.
Referanser
https://forsvaret.no/fokus https://www.aftenposten.no/norge/i/m6ex8L/Sli[...] https://www.nrk.no/norge/e-tjenesten_-digital[...]

2018.03.05 - Nyhetsbrev

Hackerangrep mot norsk petroleumssektor kan gi problemer for energiforsyningen i Storbritannia.

Hackerangrep mot norsk petroleumssektor kan gi problemer for energiforsyningen i Storbritannia

Ifølge en fersk rapport fra Norsk Utenrikspolitisk Institutt om muligheten for sabotasjeangrep mot norsk petroleumssektor, er det avdekket mange svakheter. Denne uken advarte det britiske National Grid om at Storbritannia ikke har nok gass til å møte etterspørselen, og er avhengig av leveranser fra bl.a. Norge. Et angrep mot norsk petroleumssektor vil derfor være potensielt alvorlig for Storbritannia.
Referanser
https://e24.no/energi/storbritannia/hackerang[...] http://www.nupi.no/Publikasjoner/CRIStin-Pub/[...]

2018.03.02 - Nyhetsbrev

Github utsatt for det største DDOS angrepet noensinne. Intel inngår samarbeid med Microsoft for Spectre oppdateringer. 23000 HTTPS-sertifikater trekkes tilbake etter privat-nøkkel blunder. Sårbarheter oppdaget i BIND og DHCP.

Github utsatt for det største DDOS angrepet noensinne

Onsdag rundt 12:15 (ET) ble Github offer for et DDOS angrep på 1.35 terabytes pr. sekund. Dette er det største angrepet registrert pr. dags dato. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom skrubbesentere for å blokkere ute ondsinnede pakker. I løpet av 8 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcachede servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret.
Referanser
https://www.wired.com/story/github-ddos-memcached/

Intel inngår samarbeid med Microsoft for Spectre oppdateringer

Intel har inngått samarbeid med Microsoft for å gi ut oppdateringer som fikser svakheter knyttet til Spectre. Oppdateringen KB4090007 er nå tilgjengelig i Windows Catalog. Denne dekker kun Skylake modeller, men det er planlagt å utvide dette fortløpende. Oppdateringen er ikke en del av Windows Update, og må gjøres manuelt.
Referanser
https://arstechnica.com/gadgets/2018/03/micro[...]

23000 HTTPS-sertifikater trekkes tilbake etter privat-nøkkel blunder

23000 HTTPS/TLS sertifikater må kasseres/trekkes tilbake etter at CEO i forhandler-selskapet Trustico pr. mail sendte privat-nøklene til sertifikatene til utstederen DigiCert. Handlingen bryter med gjeldene retningslinjer for hvordan forhandlere og utstedere skal håndtere sertifikater, og setter på nytt fokus på usikkerhetsmomenter og en ukultur som kan ha vært praktisert hos enkelte sertifikatutsdere og forhandlere.
Referanser
https://arstechnica.com/information-technolog[...] https://www.bleepingcomputer.com/news/securit[...]

CVE-2018-5734, sårbarhet i BIND

Det har blitt oppdaget en svakhet i BIND som kan utnyttes til å forårsake ekstern tjenestenekt. Sårbare versjoner er: BIND 9.10.5-S1 til 9.10.5-S4, 9.10.6-S1 og 9.10.6-S2.
Anbefaling
Installèr workaround ihht. https://kb.isc.org/article/AA-01562/74/CVE-2018-5734
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://kb.isc.org/article/AA-01562/74/CVE-20[...]

CVE-2018-5732, sårbarhet i DHCP

Det har blitt oppdaget en svakhet i DHCP som kan utnyttes til å forårsake ekstern tjenestenekt. Sårbare versjoner er: DHCP 4.1.0 -> 4.1-ESV-R15, 4.2.0 -> 4.2.8, 4.3.0 -> 4.3.6, 4.4.0.
Anbefaling
Oppgradèr til pateched versjoner: DHCP 4.1-ESV-R15-P1 DHCP 4.3.6-P1 DHCP 4.4.1
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://kb.isc.org/article/AA-01565/75/CVE-20[...]

2018.03.01 - Nyhetsbrev

Opptil 3.4 milliarder brukernavn/passord fra tidligere datainnbrudd er gjort tilgjengelig for nedlasting. Tysklands regjering er rammet av et omfattende dataangrep fra det som ser ut som russiske hackere.

Stor passord-dump fra tidligere datainnbrudd gjort tilgjengelig for nedlasting

Siden 19. februar har en passord-dump med opptil 3,4 milliarder brukernavn/passord fra en rekke kjente og mindre kjente datainnbrudd de siste årene blitt gjort tilgjengelig for nedlasting.
Referanser
https://www.cyberwarnews.info/2018/02/28/anot[...]

Tysklands regjering rammet av dataangrep

Nyhetsbyrået DPA meldte onsdag at antatte russiske hackere skal ha stått bak et omfattende og langvarig dataangrep mot blant annet forsvarsdepartementet og utenriksdepartementet. Tyske myndigheter bekrefter at et angrep har funnet sted.
Referanser
https://www.digi.no/artikler/tysklands-regjer[...]