Den 11 april advarede vi om en Adobe sårbarhed som blev udnyttet, og sårbarheden blev "lukket" med opdateringen den 15. april.

SaaS sårbarheds firmaet, Qualys, har analyseret sårbarheden og hvordan den udnyttes, så en teknisk gennemgang kan ses her

ScanSafe beskytter

SaaS Web sikkerheds løsnigen fra ScanSafe, beskytter mod denne sårbarhed som den genkender som Malware Exploit.SWF.CVE-2011-0611.a or Troj/DocDrp-A. så bruger du ScanSafe servicen, er du beskyttet

Cisco har netop frigivet deres sikkerheds rapport for 3 kvartal 2010. Den er baseret på data indsamlet via Cisco ScanSafe, IPS, RMS, and IronPort. På den første side i rapporten kan man blandt andet se denne statistik.

Den samlede rapport kan hentes her.

•  79% of clicks on “Here You Have” email occurred within the first three hours of the  worm’s spread.
• Approximately 10% of Web malware was encountered via search engine traffic  and/or services. 
• During 3Q10, 7% of all Web malware encounters resulted from Google referrers, followed by Yahoo at 2%, Bing/MSN at 1% and Sina at 0.1%.
• Exploits targeted Sun Java increased from 5% of all Web malware encounters in  July 2010 to 7% in September 2010.
• Exploits targeting Adobe Reader and Acrobat declined over the quarter, from 3% of all Web malware blocks in July 2010 to 1% in September 2010.
• 38% of those impacted with Stuxnet were located in the UK, 25% in Hong Kong, and 13% each in Brunei, the Netherlands, and Australia.
• At 5%, the Windows Print Spooler vulnerability exploited by Stuxnet was the 5th most prevalent event handled by Cisco Remote Operations Services (ROS) in 3Q10.
• The Rustock Botnet was the highest occurring ROS event in 3Q10, at 21% of  events handled during the report period.
• Peak Rustock activity occurred in late August 2010, declining in September 2010.
• Among the top ten spam sending countries, volume of spam sent also dropped in September 2010 for 8 of the top ten countries. However, spam sent from Russia and the Ukraine increased in September 2010.
• Volume of “Here You Have” email reached a peak of 10% of all spam during the worm’s initial outbreak.
• Volume of spoofed LinkedIn email delivering the Zeus Trojan reached a peak of 31.26% of all spam during a later stage of its outbreak

Kilde: www.cisco.com/go/securityreport

Jeg modtog mandag morgen en email fra LinkedIn om at jeg havde en ventende email i min Linkedin inbox, og som så mange andre brugere, klikkede jeg på linken "visit your inbox now", fordi email'en virkede troværdig.

Linken pegede dog ikke på LinkedIn, men derimod på en hjemmeside som indeholder Malware, så jeg fik gudskelov en alarm fra vores Web sikkerheds service, som på en pæn måde nægtede mig adgang til den inficerede hjemmeside. Hvad siten virkelig indeholder ved jeg ikke, men det kunne jo være noget malware som udnytter en af  Adobe's sårbarheder som vi alle er sårbare overfor indtil Adobe opdatere.  

Cisco Security Intelligence Operations center har udgivet en beskrivelse af denne SPAM som kan læses her 

Computerworld.dk har netop publiseret en artikel omkring Microsoft's forventninger til malware, hvor Microsoft forudser en kraftig stigning i udnyttelsen af de sårbarheder som august sikkerheds opdaterigen dækker.

En meget stor del af sårbarheden fik en klassifikation, som betyder at Microsoft forventer at sårbarheden vil blive udnyttet, blandt andet ved brug af malware på hjemmesider som jo så besøges af brugere.

En amerikansk web hosting firma, Network Solutions,  menes og have 5 millioner inficerede hjemmesider i følge Networkworld

Ingeniøren har også i dag en artikel om Børsen og Ekstra Bladet's bannere som har været inficeret, fordi 3. parts banner service som bruges, er blevet inficeret.

Beskyttelsen mod inficering af Malware inficerede hjemmesider er:

• Opdater din enheder med seneste sikkerheds opdateringer
• Overvej brugen af en Web sikkerhed tjeneste som ScanSafe eller Ironport
• Overvåg dit netværk for mistænkelig trafik

eSec tilbyder 30 dages fri trial af både ScanSafe eller Ironport, så kontakt eSec på 7020 5585,  eller via denne form så vi kan drøfte det mest optimale setup.

De nævnte artikler:

• Computerworld artikel kan ses her
• Ingeniørens artikel her

Facebook er i øjeblikket ramt af en virus, som sender forskellige brugere en mail med et link. Mailen har en overskrift og tekst der henviser til en YouTube video. Hvis du trykker på dette link, havner du bestemt ikke på en YouTube side, men derimod på en inficeret malware webside. Denne side forsøger at inficere din computer, blandt andet vil den forsøge at finde din Facebook cookie og ændre din Facebook konto, derefter udsender den en tilsvarende Facebook besked til dine Facebook venner.

Malwareinfektionen af din computer, består i at man på video siden bliver bedt om at installere en Video player, som så inficerer din computer med en virus, og sletter din Facebook konto.
Facebook forsøger så vidt det vides lige nu at deaktivere de links som optræder på folks profiler når de kan genkende disse, men som bruger skal man altså være meget opmærksom på modtagelse af emails fra Facebook venner.

Udfodringen for modtagere af disse email er jo, at indtil videre, har man jo trykket på de links som man modtager fra sine Facebook venner, selvom sikkerheds branchen hele tiden har sagt at man aldrig skal trykke på links, med mindre man er sikker på afsender.. og afsender er jo en man kender, så tja.. rådet er nu, lad vær med at trykke på links du modtager i en Facbook e-mail, og undgå at blive det næste offer.

Som virksomhed skal man være opmærksom på at antivirus programmer oftest ikke beskytter mod disse malware sites. En af metoderne til at undgå dette, er at anvende en Websikkerheds løsning, hvor web trafikken "kører" igennem denne service ude på nettet, og i realtid evalueres indholdet, og mistænkelig trafik stoppes automatisk så brugeren og dermed virksomheden ikke bliver inficeret,  eSec tilbyder SaaS service fra firmaet ScanSafe

ScanSafe, som jo er blevet købt af Cisco, er nu med i Gartners Magic Quadrant under Cisco, og placeret under leaders, i rapporten står blandet andet at:

"ScanSafe's Web-based management interface is clean and simple to use, even for nontechnical users. Customers commented on the ease of deployment in migrating to the ScanSafe service."

Rapporten kan ses på Gartner's hjemmeside.

http://www.gartner.com/technology/media-products/reprints/cisco/article6/article6.html

En artikel i Computerworld om Google realtime search,  bør give endnu større incitament til at få en Malware scanning løsning som f.eks. ScanSafe. Brugerne vil nu have endnu større mulighed for uforvarende at komme til en website med Malware.

URL baserede DNS løsninger, som jo manuelt skal opdateres kontinuerligt, og som ikke analyser trafikken i realtid, vil også komme til kort i denne nye realtime verden.

ScanSafe løsningen har også safesearch som viser brugeren om det er et mistænkeligt link.

Se artiklen i Computerworld her:
http://www.computerworld.dk/art/54207/google-indfoerer-soegninger-i-realtid?a=block&i=188&pos=12
 

Der er 20. november offentliggjort Proof of Concept kode på Bugtraq på et zero-day angreb mod Internet Explorer 6 og 7.  Koden betyder at en fuldt patchet Windows XP SP3 vil kunne angribes.

Der er endnu ikke en kommentar fra Microsoft, men Symantec har bekræftet at den frigivne version af dette exploit fungerer, omend lidt ustabilt.

Til info, blokerer og sikre ScanSafe for netop sådanne 0-day exploit's.

Mere info om selve sårbarheden kan findes her:

• http://www.securityfocus.com/archive/1/507984/30/0/threaded
• http://isc.sans.org/diary.html?storyid=7624 

Update on november 24, 2009 at 6:13 by Ole Schmitto, Adm. direktør

Microsoft har nu bekræftet den 23. november 2009 at der findes en sårbarhed i Internet Explorer, den fulde Microsoft sikkerheds bulletin kan ses her

http://www.microsoft.com/technet/security/advisory/977981.mspx