Billede: Flavio Takemoto, FreeImages.com

Den måske største spambot nogensinde er løs, i form af den nye malware "Onliner".

Det er sikkerhedsforskeren Benkow der har opdaget spambotten, der har 711 millioner e-mailadresser til sin disponering.

Onliner bruges til at levere Ursnif bank malwaren, der inficerer Windows computere.

Onliner kan bypasse spamfiltre, så hvis man ikke er opmærksom kan man blive inficeret.

Onliner bypasser spamfilte ved at indsamle e-mailadresser og kodeord fra tidligere sikkerhedsbrud, såsom det store LinkedIn hack i 2012 der kompromitterede 112 millioner konti.

Herfra benyttes SMTP-informationerne til at distribuere nye angreb, og dermed sende inficerede mails til andre adresser på listen.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1562

Billede: microsoft

I går skrev vi om at Windows 10 Fall Creators Update vil bruge AI og EMET til at øge sikkerheden.

Der er mere nyt ang. sikkerhed nu - i form af beskyttede mapper, der skal fungere som en prævention mod ransomware.

Den nye feature hedder "Controlled Folder Access", og den kan slås til fra Windows Defender Security Center.

Når den er slået til monitoreres ændringer i givne systemmapper samt brugerdefinerede mapper. Hvis operativsystemet detekterer forsøg på at modificere filerne i disse mapper, vil man få en notifikation.

Controlled Folder Access understøtter også netværksdrev.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1643

Billede: Flavio Takemoto, FreeImages.com

Petya cryptolocker virus'en er i fuldt udbrud, men en Cybereason sikkerhedsforskeren Amit Serper har fundet en vaccine mod den.

Alle anbefales at bruge dette trick:

1) Lav en fil ved navn perfc og læg den under C:\Windows
2) Lav den read-only

Alternativt kan man blot downloade denne batch-fil der skaber 3 filer; perfc, perfc.dat og perfc.dll. De sidste 2 typer er ikke strengt nødvendige, men for en sikkerheds skyld har Amit Serper inkluderet dem.

Vælger du at downloade batch-filen skal du blot afvikle den (ignorér evt. advarsler din browser og antivirus måtte give når du henter og afvikler den). Derudover skal den afvikles med administratortilladelser (højreklik på filen efter download og vælg "Run as administrator").

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: jakobdam   |   2   |   4166

Billede: microsoft

Microsofts store efterårsopdatering til Windows 10 vil få at se en række store opdateringer og ændringer. Bl.a. vil bl.a. se indførelse af AI som beskyttelse mod malware.

Fordi man nu om dage ikke kan beskytte sig mod trusler udelukkende ved hjælp af virusdefinitionsopdateringer, er der brug for mere - og Microsofts bud er en cloud-baseret AI, der vil monitorere suspekt aktiitet såsom keylogging og Word-makro'er der prøver at downloade filer fra internettet.

Det betyder at nye malwares kan detekteres hurtigere og mere effektivt end nogensinde før.

Samtidigt genindfører Microsoft deres EMET (Enhanced Mitigation Experience Toolkit), der bl.a. gør et sværere at udnytte exploits. Ideen her er at selv hvis der findes kodefejl, så skal det være så svært som muligt at misbruge dem.

Visse elementer af EMET er allerede en del af Windows 10.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1734

Billede: microsoft

Microsoft har udgivet en ny sikkerhedsopdatering på tværs af Windows-platformene - hvilket inkluderer ældre versioner såsom XP og Vista.

Eric Doerr, General Manager i Microsoft Security Response Center, udtaler:

Vi giver her en kritisk sikkerhedsopdatering for at adressere svagheder, der er i ekstra risiko for at blive udnyttet i forbindelse med statslige handlinger. Vores sikkerhedshold overvåger aktivt stigende trusler, så vi kan prioritere og handle, hvis det er nødvendigt. Vi er fast besluttede på at sikre, at vores kunder er beskyttede mod potentielle angreb, og vi anbefaler, at hvis man er på en ældre platform, som Windows XP, at man så prioriterer at downloade og anvende disse kritiske opdateringer.

For mere information - klik her.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1340

Billede: Flavio Takemoto, FreeImages.com

Op til 36,5 millioner Android enheder skønnes at kunne være ramt af en nyopdaget malware, der befandt sig i hele 41 apps.

Den gode nyhed er at denne malware ikke ser ud til at stjæle brugerdata eller oplysninger. I stedet genererer den reklamer der tjener penge hjem til dens skabere.

De 41 apps er allesammen udviklet af koreanske Kiniwini, der på Google Play hedder ENISTUDIO Corp. og som er kendt for at producere diverse spil under "Judy" brand'et.

Apps'ene har været på Google Play i lang tid, men det er uklart hvor længe malwaren har været en del af dem.

Hackerne har sørget for at malwaren først downloades efter installation af app'en, for således at omgå Google Play sikkerhedsforanstaltningerne. App'en forbinder sig til en Command & Control server, og downloader bl.a. en javascript kode, en user-agent streng samt URL'er der kontrolleres af malwarens skabere.

Når en forbindelse er opnået begynder malwaren at åbne URL'er i baggrunden og begynder at generere auto-klik.

Google har fjernet apps'ene fra Google Play, men tag et kig på Check Points website for at se om du har en af dem installeret: Klik her.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1489

Billede: microsoft

En sikkerhedsforsker fra Google skrev den 6. maj, at han sammen med en kollega havde fundet "the worst Windows remote code exec in recent memory".

Sikkerhedshullet består i at hvis Microsoft Malware Protection Engine scanner en særlig fil, kan der fjern-eksekveres kode.

Malware Protection Engine findes i både Windows Defender, Security Essentials, Forefront Endpoint Protection samt InTune Endpoint Protection.

Hasteopdateringen, der er ude nu, hedder CVE-2017-0290 og det anbefales på det kraftigste at den hentes og installeres med det samme.

Microsoft takker de to sikkerhedseksperter fra Google for opdagelsen, mens Google-folkene takker Microsoft for den hurtige reaktion.

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   1607

Billede: google

Med Chrome version 58 vil Google nu automatisk skifte brugere over fra 32-bit versionen til 64-bit versionen, såfremt de bruger et 64-bit Windows operativsystem og har mindst 4 GB RAM.

Det er der flere fordele i: RAM management, grafisk performance og sikkerhed - men langt fra alle har kørt 64-bit versionen, til trods for at 32-bit computere har været ude af handlen i mange år nu.

Google Chrome version 58 blev udgivet den 2. maj, og har man endnu ikke fået opdateringen kan man blot klikke på det lille ikon med 3 prikker øverst til højre i browseren, vælge "Hjælp" og derefter "Om Google Chrome", hvorpå opdateringen burde gå i gang automatisk.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1556

Billede: Flavio Takemoto, FreeImages.com

En ny malware ved navn OSX/Dok angriber macOS, og kan undvige macOS Gatekeeper sikkerhed.

Dok er endda signeret med et Apple udviklercertifikat, og rammes man kan man blive ramt af man-in-the-middle angreb, hvor malwaren kan aflytte og ændre på internettrafikken, selv HTTPS-forbindelser.

Dermed er man fuldt kompromitteret hvis man rammes.

Dok spredes via phishing-angreb, og kræver at brugeren aktivt åbner en zip-fil. Efter installation kopierer den sig selv og kører en række shell-kommandoer, samtidigt med at den sikrer sig at den afvikles ved hver opstart.

Apple har dog allerede været ude og trække udviklercertifikatet tilbage, og Gatekeeper kan dermed fange Dok nu. Derudover har Apple opdateret XProtect.

Der er ingen forlydender om hvor mange brugere der nåede at blive ramt.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1551

Billede: intel

Intel har endeligt fået lappet et sikkerhedshul der har eksisteret siden 2008.

Sårbarheden ligger i Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) og Intel Small Business Technology firmware versioner 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 og 11.6.

Sårbarheden består i at en hacker kan få kontrol over de features som disse produkter styrer. Dette kan ifølge Intel ske på 2 måder:

• En upriviligeret netværks hacker kan få systemprivilegier til tilkoblede Intel manageability SKU'er: Intel AMT og Intel ISM.
• En upriviligeret lokal hacker kan opnå upriviligeret netværks- eller systemprivilegier på tilkoblede Intel manageability SKU'er: Intel AMT, Intel ISM og Intel SBT.

Intel anbefaler at man gennemlæser flg. dokument for at bestemme om man har et AMT, SBA eller ISM system: Klik her.

Derudover bør man gennemgå flg. guide for at tjekke om systemet har en firmware der er omfattet af sårbarheden: Klik her.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1612

Billede: Flavio Takemoto, FreeImages.com

Et NSA-exploit ved navn DoublePulsar er fundet i aktivt brug. Folk der har opdateret deres Windows 10 modtog dog et patch allerede sidste måned.

DoublePulsar udnytter en svaghed i SMB-protokollen, og kan give angribere adgang til Windowskernellen således at man får fuld kontrol over computeren.

DoublePulsar angriber også servervarianterne af Windows, så alle bør tjekke om de har fået de seneste sikkerhedspatches fra Microsoft.

Er man usikker kan man downloade og installere patchet for Microsoft SMB Server her.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1643

Billede: Flavio Takemoto, FreeImages.com

En kritisk sårbarhed i Apache Struts 2 Web Application Framework er skyld i at massive mængder hackerangreb der er eskaleret voldsomt de seneste 48 timer.

Open source projektet blev ellers patchet i mandags, men mange har endnu ikke opdateret - og nu er der offentliggjort mindst to exploits.

Sårbarheden tillader afvikling af kommandoer som hvis man var serverbruger.

Hackerne prøver med en række forskellige angreb at udnytte sårbarheden, bl.a. ved at nedlægge firewall'en samt afvikle malware.

Sårbarheden findes i Jakarta file upload multipart parser'en, som er en fast del af framework'et. De berørte Apache Struts versioner er fra og med 2.3.5 til og 2.3.31 samt 2.5 til og med 2.5.10. Servere der kører en berørt version skal omgående opgradere til enten 2.3.32 eller 2.5.10.1.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1548

Billede: wordpress

Forskere har fundet en alvorlig sikkerhedsfejl i NextGEN Gallery, som er et populært WordPress plugin der bruges af over 1 million websites.

Der er tale om en SQL injection fejl, der muliggør adgang til websitets database.

Fejlen er dog allerede rettet, og alle brugere af NextGEN Gallery opfordres hermed til at få opdateret deres plugin hurtigst muligt.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1805

Billede: google

Googles sikkerhedsafdeling har fremvist det første eksempel på en kollision i SHA-1 krypteringen.

En kollision for hash-algoritmer er en teoretisk mulighed for at skabe to filer, der får den samme hash-værdi. Dvs. at to forskellige input giver det samme output - eks. to filer der giver den samme hashværdi.

Det handler derfor om at sansynligheden for at det sker skal være så urealistisk som muligt, og at det ikke må være muligt at fremprovokere en kollision ved at kende en given fils hashværdi og regne sig frem til en anden fils der så får samme hashværdi.

Årsagen til at dette er et problem er at hashværdien bruges til kryptografisk bekræftelse for at eks. dokumenter der sendes, ikke er blevet intercepted og ændret. Hvis kollision er muligt og fremprovokation kan beregnes, vil man i teorien kunne intercepte et givent dokument sendt over en sikker forbindelse, ændre i det og matche hashværdien - og dermed snyde sikkerheden.

I 2013 blev der fremsat en teoretisk mulighed for kollisioner i SHA-1, og nu har Google demonstreret at det kan lade sig gøre i praksis.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1425

Billede: Flavio Takemoto, FreeImages.com

Et hollandsk forskerteam ved navn VUSec har opdaget en måde at gøre hacking både nemmere og farligere - ved hjælp af et javascript, der blot kræver at man besøger et website der afvikler dette javascript.

Alle moderne operativsystemer, inklusive Windows, macOS, Linux og Android, foretager en tilfældig allokering i hukommelsen af en enhed, for kørende programmer.

Dette sker som del af sikkerhedsforanstaltningerne, og det betyder at selvom hackere formår at få deres onsindede kode til at køre på en given enhed, så ved de ikke hvor i hukommelsesregistret den befinder sig.

Det svarer med andre ord til at begå indbrud i et hus i totalmørke.

VUSec's teknik tænder dog lyset, så at sige, idet den skaber en "Du Er Her"-agtig indikator, som hackere kan bruge til at orientere sig selv med i en fremmed computer.

Det betyder at alle de almindelige hukommelsesfejl der findes på daglig basis, potentielt kan bruges til en langt dybere overtagelse af en given PC eller smartphone.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1485