Infineon.jpg

Cyberon Sikkerhetsvarsel - ROCA

TPM chipper med kritisk sårbarhet

Alvorlighetsgrad: Kritisk
Spredningsform: -
Operativsystem: -
Kategori: Sårbarheter
Kilde: CRoCS wiki, Bleepingcomputer

 

Fra Varsel

Krypterings chippen fra Infineon Technologies AG som er mye brukt i blant annet Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung, Toshiba og chromebooks har fått avdekket en svært kritisk sårbarhet. Maskiner med TPM chippen vil kunne svært lett få maskinen og tilhørende nøkler dekryptert.

Beskrivelse

Krypterings chippene er også integrert i en rekke autentisering, signatur og krypterings løsningner, men også i "trusted boot" til operativ systemer. Sårbarheten er avdekket i NIST FIPS 140-2 og CC EAL 5+ sertifiserte enheter siden hvertfall 2012. Det trengs ingen fysisk tilgang til den sårbare maskinen, bare den offentlige nøkkelen er krevd for å kunne utnytte sårbarheten. Sårbarheten avhenger heller ikke av en svak nøkkel - alle RSA nøkler generert av de rammede chippene er påvirket. Nøkler basert på 1024 og 2048 bits har blitt testet og verifisert brutt.

Den spesifikke oppbyggingen til nøklene gjør det mulig å raskt detektere sårbare nøkler, selv i store databaser. Dette gjør det enklere for brukere å finne de aktuelle nøklene, men det gjør også jobben lettere for angripere.

Utfall

En angriper kan sitte eksternt og finne din private nøkkel basert på din offentlige nøkler. Den private nøkkelen kan deretter bli misbrukt av angripere ved å for eksempel gi seg ut for å være den egentlige eieren, dekryptering av sensitive meldinger, forfalsking av signaturer (slik som programvare utgivelser) og andre relaterte angrep. Det faktiske utfallet avhenger av scenario, tilgjengeligheten av offentlige nøkler og lengden på disse.

Verktøy

Det finnet verktøy for å finne ut om du eller din bedrift har sårbare nøkler, både online og offline:

Navn på sårbarheten

CVE-2017-15361

 

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

Sjekk med deres maskinvareleverandør om det har kommet firmware oppdateringer for deres maskiner.

Microsoft har en side dedikert til hvor du kan hente oppdateringer for de ulike leverandørene og hvordan du kan tette sårbarhetene i ulike Windows roller:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012

Google har også en side for firmware og rettelser:

https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update

 

Les mer om sårbarheten her

https://crocs.fi.muni.cz/public/papers/rsa_ccs17

 

https://www.bleepingcomputer.com/news/security/tpm-chipsets-generate-insecure-rsa-keys-multiple-vendors-affected/

 

 

Read More

Cyberon Sikkerhetsvarsel - KRACK -Oppdatert!

WPA2 kryptering er knekt

Alvorlighetsgrad: Kritisk
Spredningsform: -
Operativsystem: -
Kategori: Sårbarheter
Kilde: Arstechnica, Alexhudson, US-Cert

 

Fra Varsel

Det har nå blitt avdekket svært alvorlige sårbarheter i WPA2 krypteringsprotokollen for Wifi. Sårbarheten gjør det mulig for angripere å lytte til all trafikken mellom maskiner og aksesspunkter. "proof of concept" sårbarheten kalles for KRACK, kort for "Key Reinstallation Attacks".

Oppdatert!

Følgende har sluppet patcher:

  • Windows
  • Aruba
  • Cisco - Enkelte versjoner
  • HostAP
  • Intel
  • Linux
  • Netgear - Enkelte versjoner
  • Ubiquiti
  • WatchGuard
  • Apple er i beta og forventes neste uke

Android er avhengig av produsent mens over 2 år gamle telefoner kan risikere å ikke bli patchet, i beste fall innen 1-2 år.

Full oversikt:

http://www.zdnet.com/article/here-is-every-patch-for-krack-wi-fi-attack-available-right-now/

 

Beskrivelse

I en "Key reinstallation attack", lurer angriperen mottakeren til å reinstallere en krypteringsnøkkel som allerede er i bruk. Dette blir gjort ved å manipulere og resende en kryptografisk "handshake" beskjed. Når mottaker reinstallerer nøkkelen, så vil asossierte parametre slik som vilkårlig kryptografiske tall (nonce) og motatt pakke nummer (replay counter) bli nullstilt til sin initielle verdi. For å garantere sikkerhet så bør en nøkkel kun bli installert og brukt en gang. Dette er derimot ikke garantert i WPA2 protokollen. Ved å manipulere den kryptografiske "handshaken", så kan dette bli misbrukt som vist under.

Demonstrasjon av angrepet:

Detaljert informasjon rundt sårbarheten og hvordan disse utnyttes:

https://www.krackattacks.com/

 

Beskrivelse

Sårbarheten muliggjør blant annet dekryptering, packet replay, TCP connection hijacking, HTTP content injection og mer. Sårbarheten utnyttes når det utføres en fireveis "handshake", noe som brukes for å etablere nøklene for kryptert trafikk. I det tredje steget så kan nøkkelen bli sendt flere ganger. Det er her sårbarheten ligger og hvor angripere kan infiltrere krypteringen.

Patcher er avhengig av produsenter av utstyr og så langt er det bare kjent at Aruba og Ubiquiti har klare patcher for å tette disse. De største produsentene bør ha fikser klare relativt raskt men utfordringen ligger på IoT og hjemmemarkedet. Her er oppdateringer sjeldne og lavt prioritert som regel. I verste fall må man her prioritere mellom sikkerhet og funksjonalitet, da man i enkelte tilfeller ikke kan regne med fikser. 

 

Navn på sårbarhetene

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088

 

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

Sjekk med deres WIFI leverandør om det finnes oppdateringer klare eller om det er planlagt utrulling av fikser. 

Segmenter wifi fra viktige systemer og servere som ikke må ha tilgang til Wifi.


Mer informasjon (Engelsk): 

https://www.alexhudson.com/2017/10/15/wpa2-broken-krack-now/

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

 

 

 

Read More
ccleaner-760x380.jpg

Cyberon Sikkerhetsvarsel - CCleaner

Skadevare i CCleaner værre enn antatt

Alvorlighetsgrad: Kritisk
Spredningsform: Innstallasjon av CCleaner
Operativsystem: 32-bits Windows
Kategori: Malware
Kilde: Arstechnica, Talos

 

Fra Varsel

Tidligere i uken ble det oppdaget skadevare i den legitime programvaren CCleaner. Det ble først konkludert med lav alvorlighetsgrad men etter ytterligere undersøkelser viser det seg å være benyttet svært avansert kode. Ytterligere instruksjoner og kode som har blitt sendt ut fra bakmennene kan være såpass alvorlig at en formatering av infiserte systemer er eneste utvei.

 

Beskrivelse

Skadevaren har klart å holde seg skjult i CCleaner i 31 dager før den ble kjent, og ble først ansett som mindre alvorlig på bakgrunn av hva den gjorde. Det som nå avdekkes er derimot at bakmennene har sendt ut steg 2 av skadevaren til et hundretalls infiserte klienter som også inneholder fil-løs skadevare. Denne oppholder seg i minnet og kan dermed være tilnærmet usynlig. Rådet man dermed går ut med for de som er infiserte er å formatere maskinene for å kunne være sikre på å ikke ha skjulte infeksjoner.

Det som også bør vekke stor uro er at i den initielle infeksjonen ble det innhentet informasjon som bruker rettigheter, operativsystem, programvare, maskinvare, alle kjørende prosesser, om brukeren har admin rettigheter og hvilket domene de tilhører. Dette er betydelig mengde informasjon som kan misbrukes i senere angrep eller å utnytte de allerede infiserte maskinene i enda større grad.

Indikasjoner på infeksjon:

Installer on the CC: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 (GeeSetup_x86.dll)

64-bit trojanized binary: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f (EFACli64.dll)

32-bit trojanized binary: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 (TSMSISrv.dll)

DLL in registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Registernøkler:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Stadie 2 Payload (SHA256):

dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

 

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

Da det er vanskelig å oppdage om man har vært en del av det andre stadiet av skadevaren, anbefales det å reinstallere OS der infeksjoner er påvist.


Mer informasjon (Engelsk): 

http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

https://arstechnica.com/information-technology/2017/09/ccleaner-malware-outbreak-is-much-worse-than-it-first-appeared/

 

 

Read More

Cyberon Sikkerhetsvarsel - Vmware

Kritiske sårbarheter i VMWare

Alvorlighetsgrad: Kritisk
Spredningsform: Direkte angrep
Operativsystem: VMWare
Kategori: Sårbarhet
Kilde: VMWare

 

Fra Varsel

Det er oppdaget 3 kritiske sårbarheter i flere VMWare produkter. Den ene sårbarheten gjelder for ESXI (5.5 -> 6.5), Fusion, vCenter og Workstation 12.x og gjør at en angriper kan kjøre på den lokale vmware gjesten som kjøres på hosten. Det finnes ingen måter å omgå sårbarheten på men VMWare har kommet med en patch for sårbarhetene. Vi anbefaler alle våre kunder å laste ned og installere patchen til sårbare VMWare produkter snarest.

Sårbarheter

VMWareproduktene er rammet av følgende 3 sårbarheter:

  • CVE-2017-4924
  • CVE-2017-4925
  • CVE-2017-4926

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Installer patchene som er levert fra VMWare.

Mer informasjon (Engelsk): 

https://www.vmware.com/us/security/advisories/VMSA-2017-0015.html

https://threatpost.com/vmware-patches-bug-that-allows-guest-to-execute-code-on-host/127990/ 

Read More

Cyberon Sikkerhetsvarsel - Blueborne

Ny sårbarhet i Bluetooth

Alvorlighetsgrad: Høy
Spredningsform: Bluetooth, Direkte angrep
Operativsystem: Windows, Linux, Android, Apple
Kategori: Sårbarhet
Kilde: Armis

 

Fra Varsel

Det er oppdaget flere nye sårbarheter i Bluetooth som omfatter en rekke enheter over flere operativsystemer. Sårbarhetene gjør det mulig for enheter med Bluetooth påslått å smitte andre enheter uten noen form for interaksjon fra brukerne. Dette gjør det mulig for en angriper å komme seg fra en telefon til en annen enhet uten at brukeren kan hindre det eller oppdage at noe har skjedd.

Det har blitt sluppet patcher til sårbarheten for Windows og Android versjoner.


Beskrivelse
Blueborne benytter seg av 8 sårbarheter som kan utnytte forskjellige deler av telefonen. Angrepet utnytter spesifikt mesh funksjonen i Bluetooth 5 for å spre seg til andre enheter. Når den har spredd seg til en ny enheter benytter den en av de 8 sårbarhetene for å infisere enheten med payloaden. Dette kan være virus, malware, ransomware osv.

Det som gjør sårbarhetene såpass kritiske er at en større andel av bluetoothenhetene i dag ikke har muligheten til å oppdatere seg og få patchet hullene. De fleste IoT enhetene har som oftest bluetooth teknologi slått på og tilgjengelig, og de færreste har noen form for management eller patchefunksjonalitet.

 

Her er en demonstrasjon på hvordan angrepet utføres i praksis:

 

 

 

 

Når sårbarhetene benyttes kan dette gi en angriper full kontroll over enheten som angripes:

 

 

 

Sårbarheter
Blueborne benytter seg av følgende 8 sårbarheter:

  • Linux kernel RCE vulnerability – CVE-2017-1000251
  • Linux Bluetooth stack (BlueZ) information leak vulnerability – CVE-2017-1000250
  • Android information leak vulnerability – CVE-2017-0785
  • Android RCE vulnerabilities CVE-2017-0781 & CVE-2017-0782
  • The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
  • The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
  • Apple Low Energy Audio Protocol RCE vulnerability – CVE Pending

I tillegg til dette er også andre enheter sårbare slik som Android TV (Tizen OS) og andre IOT enheter som har bluetooth aktivert.

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Det er kommet ut patcher til Windows sårbarhetene og Android (Nougat 7.0 og Marshmellow (6.0)
  • Apple IOS produkter med versjonsnummer 9.3.5 og større er beskyttet.
  • Slå av Bluetooth på enheter som ikke kan patches dersom det ikke er i bruk
  • Slå av Bluetooth når det ikke benyttes.

Mer informasjon (Engelsk): 

https://threatpost.com/wireless-blueborne-attacks-target-billions-of-bluetooth-devices/127921/

https://www.armis.com/blueborne/

 

Read More

SMBLoris, ny sårbarhet i SMB.

Ny sårbarhet i SMB

Alvorlighetsgrad: Høy
Spredningsform: Direkte angrep
Operativsystem: Windows 
Kategori: Sårbarhet
Kilde: Defcon, RiskSense

 

Fra Varsel

En ny sårbarhet ble avdekket på hckerkonferansen Defcon. SMBLoris utnytter en feil i SMB som gjør det mulig å ta ned en filserver med få ressurser. Det er per dags dato ingen mulighet til å lukke denne såbarheten og det er ikke planlagt en sikkerhetsoppdatering fra Microsoft. Symptomer på utnyttelse er frys og treghet på filservere og enheter med SMB aktivert.


Beskrivelse
Sårbarhetene som er oppdaget ble gjort i sammenheng med undersøkelse av det kjente ransomware viruset WannaCry. Den går ut på at en vanlig datamaskin kobler seg opp mot filserveren med rundt 65000 porter på IPV4. Hver av disse tilkoblingene stjeler opp 128KB med minne på serveren. Dette vil si at en enkelt maskin kan stjele opp minst 8 GB med minne. Dersom maskinen som angriper også bruker IPV6 dobles dette til 16GB.

Når serveren når fullt minnebruk vil ikke serveren få noen feilemldinger men fryse helt. For å få opp serveren igjen må den restartes helt.

Microsoft har sagt at de ikke kommer til å patche denne sårbarheten.

Cyberon vil komme tilbake med mer informasjon når dette foreligger.

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Steng ned tjenester som ikke er i bruk.
  • Fjern tilgang til SMB fra Internett.
  • Begrens tilkobling mot SMB til å kun kunne brukes fra klarerte kilder.
  • Sett på overvåkning av ressursbruk på filservere med automatisk varsling.

Mer informasjon (Engelsk): https://blog.kaspersky.com/new-ransomware-epidemics/17314/

Read More

Ett nytt Ransomware sprer seg i Europa.

Ett nytt ransomware sprer seg blandt bedrifter i Europa.

Alvorlighetsgrad: Høy
Spredningsform: Internett, Epost
Operativsystem: Windows 
Kategori: Ransomware
Kilde: Sophos, Kaspersky m. flere

 

 

OPPDATERT! PT Security har oppdaget en killswitch som kan uskadeligjøre viruset. Ifølge en tweet så har firmaet anbefalt brukere å opprette en fil "C:\Windows\perfc" for å unngå infeksjon. 


Fra Varsel

Ett nytt ransomwarer sprer seg gjennom Europa og hele verden. Viruset hadde sitt utspring i Russland og spredde seg videre til Ukrania. Viruset har så infisert flere store bedrifter, blandt annet Maersk, fly, olje og transportselskaper. Etter å ha kryptert offerets maskiner krever det rundt 300 USD i bitcoin for å frigjøre maskinen fra krypteringen. Spredningen på dette viruset er raskt og det sammenlignes med WannaCry viruset som spredde seg med stor hastighet tidligere i år.


Beskrivelse
Den siste informasjonen peker til at det er en variant av Petya også kalt GoldenEye eller PetrWrap. Denne benytter seg av EternalBlue sårbarheten for å spre seg internt i nettverket. Det er SMB tjenesten som også her blit utnyttet slik som for Wannacry, denne blir brukt for fil og printer deling på det lokale nettverket. Den prøver også å spre seg internt ved å knekke administrator passord og infiserer andre PCer på nettverket ved bruk av admin verktøy.

Den sprer seg også internet på nettverksområder ved å benytte kode for å knekke brukernavn og passord. Slik får den tilgang og mulighet til å spre Ransomware videre. For å infiserere andre maskiner følger verktøyet PsExec sammen med skadevaren.

TIl nå har viruset infisert flere internasjonale bedrifter som også har avdelinger i Norge.

Cyberon vil komme tilbake med mer informasjon når dette foreligger.

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Bruk oppdatert endepunktssikring på alle klienter.
  • Vurder å blokkere for verktøyet PsExec fra å kjøre på maskiner.
  • Bruk dedikert ransomware beskyttelse som Sophos Intercept X
  • Hold alle servere og endepunkter oppdatert, inkludert operativsystem som ikke er supportert lengre.
  • Oppdater alle Windows maskiner med følgende patch: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Vær varsom på e-poster som kommer med lenker/vedlegg eller ukjente avsendere

Mer informasjon (Engelsk): https://blog.kaspersky.com/new-ransomware-epidemics/17314/

Read More

Android Cloak & Dagger Varsel

Infiserte Apper i Google Store kan hente ut all informasjon på Android telefoner

Alvorlighetsgrad: Høy
Spredningsform: Sosial Manipulering, Google Store
Operativsystem: Alle Android versjoner
Kategori: Malware
Kilde: Cloak & Dagger Team


Fra Varsel

En tidligere kjent sårbarhet i Android har blitt utnyttet av angripere. Ved å legge ut infiserte Apper i Google Store kan en angriper kun ved hjelp av to rettigheter hente ut all informasjon på en Android telefon. Dette inkluderer blandt annet E-post, Passord, PIN koder og SMS. Det er ikke kommet ut en sikkerhetsfiks for denne sårbarheten. Vi anbefaler alle våre kunder å kun installere Apper som de stoler på fra Google Store.



Beskrivelse
I 2016 ble det oppdaget en sårbarhet på Android telefoner som tillater en angriper å installere en infisert App på telefonen. En angriper kan laste opp en sårbar App til Google Store som brukeren deretter blir lurt til å laste ned på telefonen. Sårbarheten har blitt meldt inn til Google og det jobbes med å finne en sikkerhtsfiks på problemet.

22. Mai i år ble sårbarheten offentliggjort.


Teknisk Beskrivelse
Når den sårbare Appen installeres vil den bruke SYSTEM_ALERT_WINDOW til å lage en falsk dialogboks som legger seg på toppen av den egentlige spørringen om rettighet. Denne falske dialogboksen skjuler at brukeren egenlig godkjenner BIND_ACCESSIBILITY_SERVICE rettigheten. Når appen den har fått denne har den rettighetene den trenger for å hente ut all informasjonen som den ønsker.

Følgende rettigheter blir til slutt satt på Appen:
SYSTEM_ALERT_WINDOW ("draw on top")
BIND_ACCESSIBILITY_SERVICE ("a11y")

Når appen har fått de rettighetene som den har behov for vil den blandt annet prøve å hente ut følgende informasjon fra telefonen som den har infisert:
- Epost
- PIN Koder
- Fingeravtrykk
- Dokumenter
- Bilder
- Video
- SMS
- Passord


Anbefalte tiltak
Google har ikke gitt ut noen sikkerhetsfiks for denne sårbarheten.

Av den grunn ønsker Cyberon Security å komme med følgende anbefalinger:
- Installer kun Apper fra kilder som du stoler på.
- Oppdater til siste versjon snarest når denne kommer ut.
- Bruk MDM løsning for å ha kontroll på hvilke apper som kan installeres på telefoner tilknyttet bedriften.

Mer informasjon (Engelsk): http://cloak-and-dagger.org

Read More

Sikkerhetsvarsel - EternalRocks

Det ble nylig oppdaget en ny variant av Ransomware som benytter seg av 7 sårbarheter fra NSA sine verktøy. Deteksjonen ble gjort av den Kroatiske CERT 22.Mai. Denne  variantenkjører foreløpig i to steg hvor den først infiserer maskinen og så venter i 24 timer. Når de 24 timene er gått laster den ned en pakke med sårbarheter som igjen prøver å smitte andre enheter på Internett og lokalt.

Read More