Oppsummering av nyhetsbildet innen datasikkerhet for april 2020

Personvernet og sikkerheten i Zoom, en tjeneste for videosamtaler, har vekket bekymring og har vært diskutert mye i april. Problemene har blant annet gått på manglende ende-til-ende kryptering, deling av data med Facebook, svak kryptering av samtalene, dårlige standardinnstillinger for møtesikkerhet, svak personvernerklæring, videresending av data via servere i Kina og mulighet for møteverter til i noen grad å overvåke møtedeltakere. Zoom har hatt en voldsom vekst i forbindelse med Corona-krisen og de innrømmer selv at de ikke har klart å følge med sikkerhetsmessig. I starten av april kunngjorde de derfor en 90-dagers plan for å fikse sikkerheten og personvernet i tjenesten. De leide også inn Alex Stamos, som har vært sikkerhetssjef hos Facebook, for å se på problemene.

Teknologigigantene Apple og Google samarbeider om å tilby teknologi til kontaktsporing til myndigheter og folkehelseorganisasjoner. Begge selskapene vil gjøre endringer i sine mobiloperativsystemer for bedre å støtte funksjonaliteten. Det blir lagt stor vekt på personvern under utviklingen, og data sendes ikke inn sentralt før en person blir bekreftet smittet. Systemet med tilhørende apper skal være klart i løpet av mai. Posisjonen til brukeren skal ikke logges, kun nærhet til andre brukere av systemet.

Microsoft har rullet ut en oppdatering til Microsoft Teams som fikser en svakhet som gjorde det mulig å ta kontroll over en Microsoft-konto ved å dele et bilde fra et “teams.microsoft.com”-domene under angripers kontroll. Svakheten i Teams, sammen med en subdomain-takover av et dårlig sikret subdomene under “teams.microsoft.com”, gjorde det mulig å få tilsendt autentiseringsheadere som kunne gjenbrukes. Microsoft fikset svakheten ved å legge begrensinger i Teams-applikasjonen, samt fikse de dårlig sikrede domenene under “teams.microsoft.com”.

Gjennom de siste to månedene med endrede rutiner i forbindelse med Covid-19, har antall bruteforce-angrep mot MS Remote Desktop mer enn 6-doblet seg. Dmitry Galov i Kaspersky Labs uttaler at den globale nedstengingen av samfunnet og den økte aktiviteten på hjemmekontor har vist et markant fokusskifte der dårlig sikrede RDP-maskiner er en populær angrepsvektor.
Han uttaler videre at det er forholdsvis enkelt å sikre seg mot dette ved å bruke sterkere passord og multifaktor-autentisering. RDP-tjenester bør også legges bak VPN dersom de brukes av bedrifter.

1. april ble trafikken til 200 av verdens største CDN-er (Content Delivery Networks) og skyleverandører omdirigert gjennom det russiske selskapet Rostelecom. Hendelsen påvirket mer enn 8800 trafikk-ruter fra 200 forskjellige nettverk og varte i omtrent 1 time. Hijackingen ble utført med en såkalt BGP-hijack, som utnytter Border Gateway Protocol som er en viktig del av dagens Internet. Hvem som helst kan lyve ved å si at de har f. eks. Google sine servere i nettverket sitt, og all trafikk vil gå dit i god tro, og kan dermed avlyttes og manipuleres. Rostelecom som utførte angrepet er en kjent aktør innenfor BGP-hijacking sammen med China Telecom.

Mot slutten av måneden sendte Cognizant ut eposter til sine kunder der de innrømmet at de var utsatt for et data-angrep av Maze ransomware. Angrepet førte til forstyrrelser i tjenestene de gir til flere av kundene sine. Cognizant delte også detaljer rundt angrepet (IoC) til kundene sine, slik at de kunne sjekke egne systemer for tegn på innbrudd.

Gruppen bak Windows ransomware-varianten DoppelPaymer har lekket en rekke konfidensielle dokumenter etter at infiserte ofre nektet å betale løsepengesummen. Blant de rammede er Boeing, Lockheed Martin og SpaceX. Dokumentene ble stjålet fra Visser Precision, et entreprenørfirma som i stor grad utfører oppdrag for kunder innen luftfart-, romfart- og bilindustrien. Dette er ikke første gang DoppelPaymer har lekket informasjon på grunn av manglende betaling.

En svakhet i MIME-biblioteket i iOS har ført til at angripere kan kjøre tilfeldig kode ved å sende spesielt utformede e-poster til iOS-enheter. Svakheten kan trigges selv før hele e-posten er nedlastet fra mailserveren. For iOS brukeren er det veldig vanskelig å oppdage at man har blitt kompromittert. For iOS 12-brukere kan e-post-applikasjonen krasje eller bli tregere. For iOS 13 merker man kun en svak treghet i e-post-applikasjonen. Zec-ops som har oppdaget svakheten sier at den fungerer på alle versjoner av iOS siden 2012. Svakheten er fikset i siste beta-utgave av iOS, versjon 13.5. Apple meldte dagen etterpå at de ikke kunne se at den hadde blitt utnyttet i reelle angrep, og at den var vanskelig å utnytte i praksis.

En kjede på tre svakheter gjorde det mulig å lure Apple-enheter til å tro at en ondsinnet nettside faktisk var en nettside man kunne stole på, for så å kjøre JavaScript-kode som fikk tilgang til kameraet til offeret uten å måtte spørre om tilgang. Apple tildelte sikkerhetsforskeren 75.000 dollar for å ha funnet svakheten i kategorien "Network Attack without User Interaction: Zero-Click Unauthorized Access to Sensitive Data". Apple fikset svakhetene i Safari 13.1.

I april håndterte TSOC 51 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 80 i mars. Det lave antall hendelser kan skyldes senket aktivitet generelt grunnet Corona-krisen.

Det var 563 bekreftede DDoS-angrep denne måneden, såvidt ned fra 569 i mars. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte typisk i 38 minutter. Det største angrepet observert i denne perioden var på 198 Gbps og varte i 24 minutter. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.