17 Oktober 2017
Dela: Share

Delar av det vanligast Wifi-protokollet WPA2 har blivit knäckt och påverkar alla moderna wifi uppsättningar. Denna sårbarhet gör att angriparen om den är inom räckhåll för wifi:t kan komma att kapa krypteringsnycklarna och till stor del avlyssna trafiken. Man kan även till viss del styra om trafik till falska sidor och i de fall där sidor är något sämre uppsatta så kan man kommer över lösenord m.m. i klartext. I en demonstrationsvideo så visar de hur man genomför attacken på mindre än 5 minuter.

Denna attack kallas KRACKATTACK https://www.krackattacks.com/

Microsoft släppte patchar för sina klienter den 10:e. Så se till att ha uppdaterat era datorer

Apple Patchen är i Beta, väntar på officiell release

Android - Google släpper patch i kommande veckor!

Om du har Wifi hemma rekommenderas starkt att du vänder dig till din leverantör och be dem om en uppdatering till routern/accesspunkten hemma.

IT-Mästaren uppdaterar de hårdvaror och Operativsystem där ni har det som tjänst från oss. 

 

CERT-SE rekommenderar starkt att söka efter uppdateringar till sina produkter och operativsystem samt att skyndsamt installera dem.
Tills det är gjort finns naturligtvis alternativet att stänga av Wi-Fi på telefoner och använda mobildataanslutning istället. Använd kabelförbindelse till datorer.
Om ni måste använda en sårbar Wi-Fi-förbindelse så surfa bara till webbplatser med HTTPS. Klicka inte förbi varningar om osäkra HTTPS-certifikat.

https://www.cert.se/2017/10/wpa2-krypto-for-wifi

In some cases, a script can also force a connection to bypass HTTPS, exposing usernames, passwords and other critical data.
…. and were able to decrypt all the victim's transmitted data. They point out that this will "not work on a properly configured HTTPS site," but will work on a "significant fraction" that are poorly set up.
 
https://www.engadget.com/2017/10/16/wifi-vulnerability-krack-attack/

[MICROSOFT] While some vendors were scrambling to release updates to fix the KRACK Attack vulnerability released today, Microsoft, quietly snuck the fix into last week's Patch Tuesday. While Windows users were dutifully installing October 10th's Patch Tuesday security updates, little did they know they were also installing a fix for the KRACK vulnerability that was not publicly disclosed until today. This fix was installed via a cumulative update that included over 25 other updates, but didn't provide any useful info until you visited the associated knowledge basic article. https://www.bleepingcomputer.com/news/security/microsoft-quietly-patched-the-krack-wpa2-vulnerability-last-week/

 

[APPLE] The exploits have been addressed in the iOS, tvOS, watchOS, and macOS betas that are currently available to developers and will be rolling out to consumers soon.
https://www.macrumors.com/2017/10/16/krack-wifi-vulnerabilities-patched-apple-ios-macos/

 

Router vendors that have issued KRACK patches

As mentioned in Hildenbrand's article, the best way to protect yourself from this exploit is to not use Wi-Fi at all until a proper fix has been proven. CERT has released notes on the KRACK problem, including a list of vendors whose equipment is vulnerable.

Some security-minded companies have already worked on fixes and are offering patches. Check back often, as we will keep this list updated.

There are also a number of vendors listed as "Not affected" on the CERT website without further explanation from the vendors themselves. These include:

 

https://www.windowscentral.com/vendors-who-have-patched-krack-wpa2-wi-fi-vulnerability

https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

 

 

05 Oktober 2017
Dela: Share

Från: https://www.cert.se/2017/10/sarbarhet-i-apache-tomcat

En sårbarhet har upptäckts i Apache Tomcat

Vad har hänt?

Apache Software Foundation har publicerat säkerhetsråd gällande en sårbarhet i Apache Tomcat.[1]
Sårbarheten möjliggör för en fjärrangripare att exekvera godtycklig kod på systemet.
CVE-2017-12617

Påverkade versioner

Apache Tomcat 9.0.0.M1 till 9.0.0
Apache Tomcat 8.5.0 till 8.5.22
Apache Tomcat 8.0.0.RC1 till 8.0.46
Apache Tomcat 7.0.0 till 7.0.81

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara versioner.

Källa:

[1] http://mail-archives.us.apache.org/mod_mbox/www-announce/201710.mbox/%3cf7229e11-5e8d-aa00-ff22-f0a795669010@apache.org%3e

27 Juni 2017
Dela: Share

Från:

https://www.cert.se/2017/06/nytt-angrepp-av-utpressningsprogram

Uppdaterad | Publicerad - ransomware, utpressningsprogram, petya

Nytt angrepp av utpressningsprogram

Vad har hänt

Under eftermiddagen den 27 juni började en ny typ av utpressningsprogram snabbt sprida sig globalt. Ett tidigare känt utpressningsprogram vid namn Petya har uppdaterats med ny funktionalitet för att snabbt kunna sprida sig till andra nätverksansluta Windows-datorer, liknande WannaCry.

Andra namn på samma utpressningsprogram är GoldenEye, NotPetya, Petrwrap, Nyetya.
I denna text används namnet Petya.

Infektionsvektorer och spridningsmetoder

En av de initiala infektionsvektorerna är en uppdatering till skatteberäkningsprogrammet MEDoc från ett ukrainskt mjukvarubolag vid namn M.E.Doc. Enligt Microsoft[1] har ett antal infektioner skett via legitima uppdateringsprocesser tillhörande MEDoc.

Petya sprider sig över nätverk på flera sätt.
Petya extraherar autentiseringsuppgifter som den använder sig av för att sprida sig i det lokala nätverket via WMIC och PSEXEC. Den kan också utnyttja sårbarheter i SMB-protokollet på samma sätt som WannaCry.

Råd

  • Håll mjukvara, antivirusprogram och operativsystem uppdaterade
  • Säkerhetskopiera
    *Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.

Vi har även tidigare skrivit generella rekommendationer kring ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[2].

CERT-SE uppmanar att man inte betalar lösensumman. Även om man betalar kommer man inte få en dekrypteringsnyckel då e-postadressen (wowsmith123456@posteo[.]net) är blockerad av den tyska e-posttjänsten Posteo vilket innebär att aktören som ligger bakom inte kan leverera någon dekrypteringsnyckel.[3]

Om ni drabbats av detta hör gärna av er till oss på cert@cert.se. Ju mer information CERT-SE får om drabbade aktörer desto snabbare kan CERT-SE få en tydlig bild av konsekvenserna.

Ytterligare läsning:

Microsoft har publicerat en detaljerade analys av hur Petya fungerar. CERT-SE rekommenderar starkt att man läser denna:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Källor:

[1] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
[2] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[3] https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

Vi hanterar mediafrågor via MSB:s presstjänst
E-post: kommunikation@msb.se
Telefon: 070-321 88 74



-----------

2017-06-29:

Det rapporteras friskt om ett nytt IT-angrepp som verkar utnyttja samma sårbarhet som WannaCry. Det är en variant av Petya som dök upp första gången för ett år sedan.

Spridning:
Petya verkar sprida sig på samma sätt som WannaCry, via sårbarheter i SMB1-protokollet. Har man fildelning exponerat mot Internet så är man i riskzon. Generellt så sätts inte system upp med fildelning mot Internet på detta sätt längre. Den typ av konfiguration slutade användes för ca 10 år sedan. Har man dock gamla system aktiva exponerade någonstans så är de en attackvektor. SMB används dock på insidan av olika organisationers brandväggar, detta för att från klientdatorer komma åt filytor på servrar, exempelvis hemmamappar eller gemensamma mappar. Det finns obekräftade uppgifter på att Petya sprids via mail. Sådana uppgifter cirkulerade även vid WannaCry men inget kunde bekräftas.

Åverkan:
Skulle denna skadliga kod komma in innanför skalskyddet så finns det risk för stor spridning då WannaCry/Petya verkar ha egenskaperna av en nätverksmask. Detta kräver dock att man inte avaktiverat SMB1 och inte uppdaterat sina klienter/servrar. Microsoft kom ut med en patch i mars mot denna sårbarhet. Om denna är installerad så bör infrastrukturen vara säker enligt Microsoft. SMB2 används på Windows7 och Server 2008 och uppåt medan SMB3 används på Windows 8 och Server 2012 och uppåt. De brukar dock vara bakåtkompatibla med SMB1.

Petya krypterar filsystemet istället för själva filerna själva. Detta gör att datorn ej vill starta upp överhuvudtaget till skillnad från vanliga kryptovirus som bara gör ens filer otillgängliga.
För den insatte så skriver Petya över Master Boot Record och krypterar Master File Table (detta kräver en omstart som kryptovirus verkar tvinga fram)

Det finns även obekräftade uppgifter att banktrojanen Loki Bots finns med i Petyas skadliga kod i ett försök att få ut användarnamn och lösen från de infekterade systemen

Påverkade:
Vi har än så länge ingen indikation på att någon av våra kunder ska vara påverkade av detta.
Än så länge verkar Petya slagit till med stor kraft mot Ukrainas banker, elförsörjning samt regeringsdatorer.
Andra som verkar ha blivit hårt drabbade är danska transportbolaget Maersk, ryska oljejätten Rosneft, livsmedelskoncernen Mondelez,, advokatjätten DLA Piper 

Att göra:

  • Stäng av ev filexponeringar mot internet som inte klarar en säkerhetsgranskning
  • Uppdatera dina system
  • Gör säkerhetskopieringar
  • Var vaksaksam som alltid, framför allt gällande bilagor och länkar i mail
  • Använd säkerhetslösningar såsom antivirus och gärna i flera såsom intrångs-/anomalidetektering

 

26 Juni 2017
Dela: Share

https://www.cert.se/2017/06/openvpn-2-4-3-sarbar

Flera säkerhetsbrister har hittats i OpenVPN 2.4.2, varav några kan uttnyttjas av en fjärranvändare att under givna omständigheter exekvera skadlig kod.
OpenVPN rekommenderar att uppgradera till version 2.4.3 snarast möjligt.

Mer info:

https://openvpn.net/index.php/open-source/downloads.html
https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24

26 Juni 2017
Dela: Share

https://www.cert.se/2017/06/allvarlig-sakerhetsbrist-rattad-i-drupal

Flera säkerhetsbrister i Drupal har åtgärdats, varav en bedömts som "Critical"

Den mest allvarliga kan leda till exekvering av godtycklig kod. Drupal Security Team uppmanar användarna att uppgradera sina system omgående.

CMS-verktyget Drupal innehåller tre stycken sårbarheter som åtgärdats i den senaste versionen.

Gäller för version: Drupal 7.x och 8.x

Mer information:

https://www.drupal.org/SA-CORE-2017-003

Kontakta oss

För att rätt person ska kunna kontakta dig, vänligen skriv ett relevant meddelande.