Sikkerheszone
Stavnsbjerg alle 29
DK- 2860 Søborg
Phone: +45 2814 0983
orod@bajelan.dk
Nyheder



  Ny exploit for sårbarheden i NetScaler

25-10-2023: Citrix har advaret om at sikre alle NetScaler ADC- og Gateway-enheder 'øjeblikkeligt' mod igangværende angreb.

Der er tale om en sårbarhed med id'et CVE-2023-4966 og en CVSS-score på 9,4, der blev kendt for offentligheden for to uger siden i forbindelse med Citrix' udsendelse af et patch. Sårbarheden er særlig kritisk, da den kan føre remote code execution med sig i angreb, der ikke kræver brugerinteraktion.

Da sårbarheden blev kendt, var der ikke kendskab til udnyttelser, men det er der nu, hvor også CISA har tilføjet CVE-2023-4966 til sit katalog over kendte udnyttelser med deadline for håndtering senest den 8. november. Cybersikkerhedsfirmaet Mandiant har dog peget på, at trusselsaktører har brugt sårbarheden siden slutningen af august 2023 til at stjæle autentificeringssessioner og kapre konti. Det har kunnet hjælpe angriberne med at omgå bl.a. multifaktorautentificering.

Bleeping Computer advarer, at kompromitterede sessioner fortsætter selv efter patchning, og at angribere kan bevæge sig sideværts på tværs af netværket eller kompromittere andre konti, dog afhængigt af de rettigheder, som kompromitterede konti har.


Du kan læse mere om sårbarheden på: www.bleepingcomputer.com.


  Ny sårbarheder i SolarWinds ARM

23-10-2023: Der er fundet mindst tre kritiske sårbarheder, der kan bruges til RCE, dvs. remote code execution, i SolarWinds Access Rights Manager (ARM).

En ondsindet trusselsaktør kan bruge sårbarhederne til at afvikle uautoriseret kode med SYSTEM-rettigheder. Da installationer af ARM allokerer systembrugeren 'SYSTEM' på Windows OS betyder det, at systemet afvikles med de højeste rettigheder på enheden. 'SYSTEM' er en intern konto, der er reserveret til operativsystemet og dets services. 'SYSTEM' giver således fuld kontrol over alle filer på en enhed.

Sårbarhederne har id'erne CVE-2023-35180 til CVE-2023-35187 og en CVSS-score på mellem 7,8 og 8.8. De berørte systemer er version af ARM før 2023.2.1

Der er endnu ikke rapporteret om aktiv udnyttelse.


Du kan læse mere om sårbarheden på: www.cybersecuritynews.com.


  Cisco IOS XE-systemes er kompromitteret

20-10-2023: En ny trojansk bagdør forsøger at angribe netbankkunder i blandt andet Danmark ved at holde sessionen kørende, efter brugeren tror, han er logget af.

Kort efter, at Cisco orienterede kunder og omverdenen om en 0-dagssårbarhed i Cisco IOS XE, viser en Shodan-scanning, at mindst 10.000 Cisco-enheder er inficeret med et ondsindet implantat.

Cisco har endnu ikke patchet sårbarheden, der har fået den maksimale score på CVSS-skalaen. Sårbarheden har id'et CVE-2023-20198 og blev kendt for offentligheden, da Cisco selv kom ud med nyheden mandag den 16. oktober. Men Cisco var tilsyneladende ikke de første med den nyhed, da der allerede på det tidspunkt blev advaret om udnyttelsesaktivitet 'in-the-wild'.

Det fremgår af Dark Reading, der citerer CTO'en hos VulnCheck, at det er uklart, om der er tale om målrettede angreb, eller om der har været skudt med spredehagl. På den ene side tyder udnyttelsen af to forskellige sårbarheder på, at der er tale om målrettede angreb fra en eller få aktører. På den anden side ser de inficerede enheder ud til at være lokaliseret over hele verden. Dette - og de mange inficerede enheder - peger på mere 'opportunistiske' angreb, som det hedder på cyberlingo i de tilfælde, hvor cyberkriminelle bare skyder på alle muligheder for at skabe profit. Altså udnytte alt tilgængeligt først og derefter tage stilling til, hvad der er interessant.


Du kan læse mere om sårbarheden på: www.darkreading.com.


  Juniper Networks patcher over 30 sårbarheder

15-10-2023: Producenten af netværksudstyr Juniper Networks har patchet mere end 30 sårbarheder i Junos OS og Junos OS Evolved. Ni af fejlene er alvorlige. Det skriver Security Week på baggrund af advisories fra Juniper.

Den mest alvorlige fejl er 'default permission'-error, der gør det muligt for en uautoriseret angriber med lokal adgang i en sårbar enhed at skabe en bagdør med root-rettigheder.

Juniper adresserer også seks alvorlige sårbarheder i Junos OS og Junos OS Evolved, der kan føre til Denial of Service-angreb. Fem af sårbarhederne kan udnyttes eksternt uden godkendelse. Softwareopdateringerne omfatter Junos OS og Junos OS Evolved version 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1 og 23.2.


Du kan læse mere om sårbarheden på: www.securityweek.com.


  Bond - trojanskehest truer danske netbanker

25-02-2011: En ny trojansk bagdør forsøger at angribe netbankkunder i blandt andet Danmark ved at holde sessionen kørende, efter brugeren tror, han er logget af.

En ny trojansk bagdør forsøger at kapre adgangen til netbanker i blandt andet Danmark, USA og Polen ved at holde sessionen kørende, efter brugeren tror, han er logget af. Det Oplyser sikkerhedsfirmaet Trusteeer.

Trojaneren er blevet opkaldt efter manden med bowlerhatten fra James Bond-filmen Goldfinger, Oddjob, og ifølge Trusteer kommer bagmændene fra Østeuropa. Der er angiveligt tale om en ny familie af trojanske bagdøre, som ser ud til stadig at være under udvikling af gruppen bag.

Trojaneren skiller sig ud ved at gå ind og kapre kommunikationen mellem den inficerede pc og netbanken, så det er muligt for bagmændene at lade brugeren logge på som normalt og derefter holde forbindelsen i live, mens de eksempelvis overfører penge til en anden konto.

Det sker ved at opsnappe browserens GET og POST- forespørgsler, kopiere hele sider, indskyde data på websider og styre forbindelserne.

Oddjob er også i stand til at give brugeren indtryk af, at han er logget ud, men i virkeligheden bliver forbindelsen stadig holdt i live i baggrunden, hvorved de kriminelle har adgang til kontoen.

Trusteer oplyser ikke nærmere, hvilke banker de kriminelle går efter, selvom firmaet altså specifikt udpeger Danmark som et mål.


  Sårbarheder på de forskellige socialnetværk

21-02-2011: Socialnetworksecurity.org er et nyt webside der samler information om sårbarheder i sociale netværkstjenester.

Netværket er bygget på frivillig arbejdskraft, der indsamler oplysninger om sikkerhedsproblemer i de sociale netværk såsom Facebook og Xing.

Du kan læse mere om de specifikke sårbarheder som din fortrukne sociale netværk indebære på deres hjemmeside:
http://www.Socialnetworksecurity.org


  Første Service pakke til Windows 7 er frigivet

17-02-2011: Microsoft har frigivet servicepakke 1 til henholdsvis Windows 7 og Windows 2008 server R2.

Servicepakke 1 til Windows 7 og Windows Server 2008 R2 er en anbefalet samling af opdateringer og forbedringer til Windows, som er samlet i en enkel opdateringspakke.

Windows 7 Service pakke 1 kan hjælpe dig med at gøre computeren mere sikker og pålidelig. Windows Server 2008 R2 SP1 indeholder et omfattende sæt nyskabelser til professionel virtualisering. Dette omfatter nye virtualiseringsfunktioner med dynamisk hukommelse og Microsoft RemoteFX.

Du kan læse mere om Windows 7 Service pakke 1 på: Microsoft support


  Netbank misbrug/inbrud falder i 2010

13-02-2011: Primært grundet en koordineret og styrket indsats og tæt samarbejde mellem flere eksterne interessenter og sektoren, er antallet af succesfulde netbank indbrud i Danmark faldet fra 111 i 2009 til 12 i 2010.

Det samlede tab i 2009 beløb sig til 6,790,191,- mens 2010 blev begrænset til beskedne 433,043,-. Det viser friske tal fra Finansrådet.

De høje tab i 2009 kan hovedsagligt tilskrives den såkaldte "Patcher" bande. "Patcher" banden angreb Danmark målrettet og voldsomt i både 2008 og 2009. Det afspejler sig tydeligt i tabs oversigten.

Siden slutningen af 2009 er Patcher rykket deres fokus væk fra Danmark og videre til andre lande i EU. De nye mål er primært Tyskland og Spanien.

Tal og fakta fra Finansrådet:
http://finansraadet.dk/tal--fakta/statistik-og-tal/netbankindbrud---statistik.aspx


  Svagheder ved facebook kryptering

09-02-2011: Den funktion til fuld kryptering af kommunikationen, som Facebook indførte for nylig, har flere sårbarheder.

Analytiker George Ou påpeger, at den webside som man kommer ind på, når man skal logge på, ikke er beskyttet med SSL (Secure Sockets Layer). Men den øvrige kryptering er implementeret korrekt. Det medfører, at angreb med et værktøj som Firesheep ikke længere kan lade sig gøre.

Nogle Facebook-applikationer ikke virker med HTTPS/SSL. Hvis man vil installere en af dem, får man en advarsel om, at de kræver, at man slår HTTPS fra. Hvis man accepterer det, slås HTTPS fra permanent, ikke kun mens man bruger applikationen.

Vi anbefalder at man Slår altid kryptering til:
Gå ind under Kontoindstillinger, punktet Kontosikkerhed. Sæt et flueben ud for Brug Facebook via en sikker forbindelse (https).


  Odense kommune fik et afslag fra datatilsynet om anvendelse af google apps

06-02-2011: Odense Kommune har fået afslag fra Datatilsynet på at bruge et system baseret på Google Apps til at behandle personfølsomme oplysninger.

Kommunen ønskede at indføre et system til planlægning af undervisningen. I systemet skal lærere også kunne notere elevers faglige udvikling samt oplysninger om helbred og væsentlige sociale problemer. Systemet skulle baseret på cloud-tjenesten Google Apps.

Datatilsynet har nu afgjort, at den brug vil være i strid med lovgivningen. Det skyldes blandt andet, at kommunen ikke har udført en tilstrækkelig risikovurdering, og at aftalen med Google ikke siger, at Google vil overholde kravene i sikkerhedsbekendtgørelsen.

Men datatilsynet er også kommet med nogle bud på, hvordan kommunen kan rette aftalen til, så den kan blive lovlig.


  Facebook bruger risiker for at blive udsat for deling af deres telefonnummer

18-01-2011: Facebook har udsat en planlagt ændring, der lader brugerne dele adresser og telefonnumre med applikationer og websteder.

Facebook offentliggjorde den 14. januar planerne om at gøre en brugers adresse og telefonnummer tilgængeligt for fx applikationer. Det kræver, at brugeren giver applikationen lov til at tilgå oplysningerne.

Flere sikkerhedsfolk kritiserede beslutningen. Graham Cluley fra Sophos skriver i et blogindlæg, at mange angreb i dag består af skadelige applikationer, der narrer brugerne til at give dem adgang til data. Disse applikationer vil nu få adgang til endnu flere personfølsomme oplysninger.

Efter kritikken meddelte Facebook den 17. januar, at firmaet vil udsætte funktionen. Nu overvejer man, hvordan man kan gøre det mere tydeligt for brugerne, hvad tilladelsen medfører.

Sikkerhedszone anbefaler at bruger giver kun tilladelser til applikationer, som de har undersøgt for sikkerhedsproblemer.


  Microsoft frigiver et patch til CSS sårbarhed

14-01-2011: Microsoft Internet Explorer indeholder en kritisk sårbarhed, som gør det muligt at afvikle arbitrær kode fra en fjendtlig webside.

Fejlen udløses når et særligt udformet CSS style sheet indlæses i browseren. Den særligt udformede og ondsindede CSS kode vil inkludere en reference til sig selv, hvorved indlæsningen looper, kombineret med en "@import" kommando som udløser et stack buffer overflow der giver mulighed for at køre kode i hukommelsen.

Microsoft har endnu ikke frigivet en officiel sikkerhedsopdatering der korrigerer denne svaghed, og idet vi er begyndt at se begyndende systematisk udnyttelse af denne sårbarhed fra it-kriminelle, anbefaler vi at man som privat bruger anvender dette patch.

Det er vigtigt, inden man kører det pågældende patch, at sikkerhedsopdateringen "MS10-090", som blev frigivet i midten af sidste måned, allerede er installeret.

Yderligere oplysninger kan findes hos Microsoft på adressen:
http://blogs.technet.com/b/srd/archive/2011/01/11/new-workaround-included-in-security-advisory-2488013.aspx


  Ny avanceret trojan rammer Android

31-12-2010: KASPERSKY har analyseret et sample af en trojansk hest skrevet til den populære Android platform, som anvendes på mange moderne mobiltelefoner.

Koden er blevet døbt "Geinimi" og den indeholder mange foruroligende nyskabelser, som kan være begyndelsen på reel BOTnet malware til mobiltelefoner.

Geinimi indeholder følgende funktioner:
  • HTTP kommunikation med flere C&C servere. Kommunikationen er krypteret med DES
  • Kommunikation med en lokal "daemon" via en socket (127.0.0.1:8791)
  • data indsamling (IMEI, IMSI, netværk og navnet på SIM operatøren, land- og landekode, telefonnummer, telefonsvare nummer)
  • Afsendelse af SMS beskeder
  • GPS geolokation (der findes en Google Maps URL hardkodet i trojanen)
  • Adgang til telefonbogen
  • Adgang til bogmærker
  • Afsendelse af e-mails via mobilen
  • web søge funktioner
  • Ændring af billedet i telefonen

Geinimi kommunikerer Geinimi med flere Command & Control servere bl.a. (mellemrum indlagt af sikkerhedszone):
  • pia jesj.com
  • isl past.com
  • fri jd.com
  • uda ore.com
  • wid ifu.com

Vi anbefaler at virksomheder bloker for domænerne i deres Secure DNS.

I skrivende stund er ingen af ovenstående C&C servere funktionelle, men det logiske vil være at vil ske når bagmændene ønsker at indfange og opdatere de inficerede mobil telefoner. Antivirus detektion er stort set ikke eksisterende.


  Ny 0-dags exploit til Microsoft Internet Explorer

23-12-2010: Metasploit har optaget et funktionelt 0-dags exploit, som rammer Microsoft Internet Explorer 7 og 8.

Det funktionelle exploit er baseret på en sårbarhed i HTML fortolkeren "mshtml" biblioteket. Fejlen udløses ved behandling af særligt udformet HTML kode indeholdende et rekursiv CSS import kald der gør det muligt at slette et C++ objekt og senere genbruge samme objekt til kørsel af arbitrær kode i hukommelsen.

Et simpelt PoC af denne sårbarhed blev postet i begyndelsen af December måned og findes bl.a. på adressen:
http://seclists.org/fulldisclosure/2010/Dec/110

Det er stabil Metasploit exploitkode der med denne publikation lander lunt under juletræet hos enhver hacker. Exploitet gør det muligt at afvikle arbitrær kode på stort set alle suppportede versioner af Microsoft Internet Explorer der ved brug af ROP (Return Oriented Programming) gør exploitet stabilt nok til at kunne optages i stort set kommercielle exploitkit.

Sårbarheden er oplagt til klassisk drive-by misbrug og PoC omgår behændigt DEP og ASLR. Exploitet er testet inhouse hos CSIS og fungerer under Windows XP og Vista. Vi er også bekendte med at et exploit/PoC er frigivet til Windows 7. Denne gør brug af .Net 2.0 ROP.

Modulet til Metasploit kan findes på adressen:
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb

En video der demonstrerer exploitet i aktion kan findes på Youtube:
http://www.youtube.com/watch?v=6rbMQMZZe7o


  Falsk antivirus bliver marked føret via twitter

15-12-2010: En række profiler på Twitter reklamerer for et falsk antivirusprodukt.

Reklamerne lyder "a very good antivirus" efterfulgt af et forkortet link. Hvis man klikker på linket, kommer man til en webside, der efterligner en sikkerhedsadvarsel fra Firefox.

Siden hævder, at den scanner pc'en og finder flere virus, som man skal installere et program for at fjerne. Hvis man kører programmet, finder det en række trusler, som man skal betale for at få fjernet.

Reklamerne spredes både gennem profiler, som bagmændene selv har oprettet, og gennem hackede profiler. Det skriver sikkerhedsfirmaet Panda Security i et blogindlæg.

Sikkerhedszone anbefaler læserne til at vær forsigtig med at Klike på links fra Twitter og Facebook.


  Wireshark 1.4.2 released

28-04-2010: Just a quick note to alert our readers that an new version of the popular network protocol analyzer/sniffer Wireshark (v0.99.8) has been released.  This release includes some security fixes in the SCTP, SNMP, and TFTP dissectors.  Malformed packets can crash the application.  We'll update the story with CVE entries when they become available.

References:

http://www.wireshark.org/download.html



  New trojan that affects Microsoft Windows CE

01-05-2009: Sikkerhedszone is aware of reports of a trojan that affects Microsoft Windows CE. This trojan disables Windows Mobile application installation security.

The trojan may take any or all of the following actions on the mobile device:
  • spreads via seemingly legitimate application installation files
  • installs as an autorun program on the memory card
  • installs itself to the device when an infected memory card is inserted
  • protects itself from deletion by copying itself back to disk
  • replaces the browser's homepage
  • allows unsigned applications to install without warning
Sikkerhedszone encourages users to take the following preventative measures to help mitigate the security risks:
  • Install anti-virus software on the mobile device, and keep its virus signature files up-to-date.
  • Use caution when downloading and installing applications.

  VMware Releases Security Alert

25-02-2009: VMware has released a security alert in response to a vulnerability in Windows-hosted VMware Workstation, VMware Player, and VMware ACE. This vulnerability exists in the host-to-guest shared folders feature and allows applications running in the guest operating system to access the host operating system's file system. Exploitation of this vulnerability may allow an attacker to circumvent the controls on the guest system and gain read and write access to the host file system.

Sikkerhedszone encourages users to review VMware knowledge base article 1004034 and apply the workarounds.


  Hacker Steals Data on 18M Auction Customers in South Korea

01-03-2008: South Korea’s largest online shopping site earlier this month was attacked by a Chinese hacker who made off with the user information on 18 million members and a large amount of financial data.

According to reports on Hack in the Box and the Web Application Security Consortium Incident Report, Auction.co.kr has disclosed the theft of data from some 18 million buyers and sellers.

The attack was launched from China's internet. After the incident, Auction.co.kr received a phone call offering to exchange the user information for money, the reports said.

According to a report on Dark Visitor, a security blog site, the Chinese hacker did not directly attack the server. The hacker sent out bulk emailings to the auction staff containing “hacker procedures" that may have contained malware. When the staff members confirmed the emails, the hacker was able to gain their IDs. The hacker was then able to log into the Auction server using the staffer’s ID.

The WASC report categorizes the exploit as a cross-site request forgery attack. "The attack description is vague, but can be best described as session hijacking," the organization said.

Auction.co.kr waited 20 hours after the attack before confirming the loss of information, according to the Chinese site Hackbase.com. Korean users rebuked the Website for being too slow to act, the reports said.

The incident occurred around Feb. 12, but it has gone largely unreported. "In the U.S. this would be front news," the WASC report said. "We don't know if it was front news in Korea, but it did not get to the international media." Most of the reports on the incident have been in Korean, which make it difficult for English speaking researchers and media to report it, WASC observed.


  New Government Spoof with Malware Payload

29-02-2008: Looks like the US-government agency spoofs from last summer have returned!

During May/June, 2007 we saw nearly weekly variants of emails being spammed that were spoofing different government agencies largely targeted towards C-level executives containing a keylogger payload.  These emails started off with the malware attached to the email message itself, then migrated to a pull infection model where the user downloaded the malware off of a web site via a link embedded within the message.

Starting today we havve started to see a resurgence of this tactic, but this new variant is spoofing the Department of Justice.  This department had not been one of the spoof targets of the previous spam runs.  Below is a redacted screen shot of the new scam (courtest of McAfee):



As you can see from the above screen shot, the message has an attachment named complaint.zip which contains the malware payload. 

A couple of similarities in social engineering tactics between this scam and the previous scams from this summer are the inclusion of the name of the person and the name of the company that the message is being sent to.  You'll notice from the screen shot that there are also grammatical errors and misspellings. 

A few particular examples that I have seen were sent from IPs in Italy.  Somehow I doubt the DoJ has contracted with anyone in Italy to start sending legitimate complaint notices :)

Volumes of this scam have been pretty low; on the order of a few hundred being seen by our Threat Operations Center per hour.  No information yet as to specific targeting of this scam.  This post will be updated as more information becomes available.


  Malware removes rival rootkits

28-02-2008: Miscreants have created a strain of malware capable of removing rootkits from compromised PCs, only to install almost undetectable backdoor code of its own.

The Pandex Trojan stops previously installed rootkits from working by removing their hooks into system calls. Pandex then installs its own rootkit component, detected by Trend Micro as Pushu-AC.

Rootkits are a type of malware that hide their presence on infected PCs, making them more dangerous than typical viruses. By operating below the level of traditional malware scanning tools, rootkits are able to carry out covert functions, for example keystroke-logging, without detection.

Virus writers have competed for control of vulnerable PCs several times in the past. For example, in 2005 separate groups of hackers released a barrage of worms in a battle to seize control of Windows PCs vulnerable to the then infamous Windows Plug-and-Play (PnP) vulnerability.

The Bozori worm was programmed to remove infections by earlier versions of the Zotob worm and other malware, so it could take control of a compromised computer for itself. A family of IRC bots that exploit the same Microsoft Plug and Play vulnerability likewise tried to remove competing PnP bots. In early 2004, variants of the Netsky worm designed to remove Bagle and MyDoom infections from compromised PCs were released into the wild amid an ongoing war of words between rival VXers.

More recently, a turf war erupted between the creators of the Storm worm and rival gangs.