0

SMBLoris, ny sårbarhet i SMB.

Ny sårbarhet i SMB

Alvorlighetsgrad: Høy
Spredningsform: Direkte angrep
Operativsystem: Windows 
Kategori: Sårbarhet
Kilde: Defcon, RiskSense

 

Fra Varsel

En ny sårbarhet ble avdekket på hckerkonferansen Defcon. SMBLoris utnytter en feil i SMB som gjør det mulig å ta ned en filserver med få ressurser. Det er per dags dato ingen mulighet til å lukke denne såbarheten og det er ikke planlagt en sikkerhetsoppdatering fra Microsoft. Symptomer på utnyttelse er frys og treghet på filservere og enheter med SMB aktivert.


Beskrivelse
Sårbarhetene som er oppdaget ble gjort i sammenheng med undersøkelse av det kjente ransomware viruset WannaCry. Den går ut på at en vanlig datamaskin kobler seg opp mot filserveren med rundt 65000 porter på IPV4. Hver av disse tilkoblingene stjeler opp 128KB med minne på serveren. Dette vil si at en enkelt maskin kan stjele opp minst 8 GB med minne. Dersom maskinen som angriper også bruker IPV6 dobles dette til 16GB.

Når serveren når fullt minnebruk vil ikke serveren få noen feilemldinger men fryse helt. For å få opp serveren igjen må den restartes helt.

Microsoft har sagt at de ikke kommer til å patche denne sårbarheten.

Cyberon vil komme tilbake med mer informasjon når dette foreligger.

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Steng ned tjenester som ikke er i bruk.
  • Fjern tilgang til SMB fra Internett.
  • Begrens tilkobling mot SMB til å kun kunne brukes fra klarerte kilder.
  • Sett på overvåkning av ressursbruk på filservere med automatisk varsling.

Mer informasjon (Engelsk): https://blog.kaspersky.com/new-ransomware-epidemics/17314/

Read More

Ett nytt Ransomware sprer seg i Europa.

Ett nytt ransomware sprer seg blandt bedrifter i Europa.

Alvorlighetsgrad: Høy
Spredningsform: Internett, Epost
Operativsystem: Windows 
Kategori: Ransomware
Kilde: Sophos, Kaspersky m. flere

 

 

OPPDATERT! PT Security har oppdaget en killswitch som kan uskadeligjøre viruset. Ifølge en tweet så har firmaet anbefalt brukere å opprette en fil "C:\Windows\perfc" for å unngå infeksjon. 


Fra Varsel

Ett nytt ransomwarer sprer seg gjennom Europa og hele verden. Viruset hadde sitt utspring i Russland og spredde seg videre til Ukrania. Viruset har så infisert flere store bedrifter, blandt annet Maersk, fly, olje og transportselskaper. Etter å ha kryptert offerets maskiner krever det rundt 300 USD i bitcoin for å frigjøre maskinen fra krypteringen. Spredningen på dette viruset er raskt og det sammenlignes med WannaCry viruset som spredde seg med stor hastighet tidligere i år.


Beskrivelse
Den siste informasjonen peker til at det er en variant av Petya også kalt GoldenEye eller PetrWrap. Denne benytter seg av EternalBlue sårbarheten for å spre seg internt i nettverket. Det er SMB tjenesten som også her blit utnyttet slik som for Wannacry, denne blir brukt for fil og printer deling på det lokale nettverket. Den prøver også å spre seg internt ved å knekke administrator passord og infiserer andre PCer på nettverket ved bruk av admin verktøy.

Den sprer seg også internet på nettverksområder ved å benytte kode for å knekke brukernavn og passord. Slik får den tilgang og mulighet til å spre Ransomware videre. For å infiserere andre maskiner følger verktøyet PsExec sammen med skadevaren.

TIl nå har viruset infisert flere internasjonale bedrifter som også har avdelinger i Norge.

Cyberon vil komme tilbake med mer informasjon når dette foreligger.

Anbefalte tiltak
Cyberon Security kommer med følgende anbefalinger:

  • Bruk oppdatert endepunktssikring på alle klienter.
  • Vurder å blokkere for verktøyet PsExec fra å kjøre på maskiner.
  • Bruk dedikert ransomware beskyttelse som Sophos Intercept X
  • Hold alle servere og endepunkter oppdatert, inkludert operativsystem som ikke er supportert lengre.
  • Oppdater alle Windows maskiner med følgende patch: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Vær varsom på e-poster som kommer med lenker/vedlegg eller ukjente avsendere

Mer informasjon (Engelsk): https://blog.kaspersky.com/new-ransomware-epidemics/17314/

Read More

Android Cloak & Dagger Varsel

Infiserte Apper i Google Store kan hente ut all informasjon på Android telefoner

Alvorlighetsgrad: Høy
Spredningsform: Sosial Manipulering, Google Store
Operativsystem: Alle Android versjoner
Kategori: Malware
Kilde: Cloak & Dagger Team


Fra Varsel

En tidligere kjent sårbarhet i Android har blitt utnyttet av angripere. Ved å legge ut infiserte Apper i Google Store kan en angriper kun ved hjelp av to rettigheter hente ut all informasjon på en Android telefon. Dette inkluderer blandt annet E-post, Passord, PIN koder og SMS. Det er ikke kommet ut en sikkerhetsfiks for denne sårbarheten. Vi anbefaler alle våre kunder å kun installere Apper som de stoler på fra Google Store.



Beskrivelse
I 2016 ble det oppdaget en sårbarhet på Android telefoner som tillater en angriper å installere en infisert App på telefonen. En angriper kan laste opp en sårbar App til Google Store som brukeren deretter blir lurt til å laste ned på telefonen. Sårbarheten har blitt meldt inn til Google og det jobbes med å finne en sikkerhtsfiks på problemet.

22. Mai i år ble sårbarheten offentliggjort.


Teknisk Beskrivelse
Når den sårbare Appen installeres vil den bruke SYSTEM_ALERT_WINDOW til å lage en falsk dialogboks som legger seg på toppen av den egentlige spørringen om rettighet. Denne falske dialogboksen skjuler at brukeren egenlig godkjenner BIND_ACCESSIBILITY_SERVICE rettigheten. Når appen den har fått denne har den rettighetene den trenger for å hente ut all informasjonen som den ønsker.

Følgende rettigheter blir til slutt satt på Appen:
SYSTEM_ALERT_WINDOW ("draw on top")
BIND_ACCESSIBILITY_SERVICE ("a11y")

Når appen har fått de rettighetene som den har behov for vil den blandt annet prøve å hente ut følgende informasjon fra telefonen som den har infisert:
- Epost
- PIN Koder
- Fingeravtrykk
- Dokumenter
- Bilder
- Video
- SMS
- Passord


Anbefalte tiltak
Google har ikke gitt ut noen sikkerhetsfiks for denne sårbarheten.

Av den grunn ønsker Cyberon Security å komme med følgende anbefalinger:
- Installer kun Apper fra kilder som du stoler på.
- Oppdater til siste versjon snarest når denne kommer ut.
- Bruk MDM løsning for å ha kontroll på hvilke apper som kan installeres på telefoner tilknyttet bedriften.

Mer informasjon (Engelsk): http://cloak-and-dagger.org

Read More

Sikkerhetsvarsel - EternalRocks

Det ble nylig oppdaget en ny variant av Ransomware som benytter seg av 7 sårbarheter fra NSA sine verktøy. Deteksjonen ble gjort av den Kroatiske CERT 22.Mai. Denne  variantenkjører foreløpig i to steg hvor den først infiserer maskinen og så venter i 24 timer. Når de 24 timene er gått laster den ned en pakke med sårbarheter som igjen prøver å smitte andre enheter på Internett og lokalt.

Read More