NTB - digi Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 Dataangrepet mot Amedia varte i flere dager Lenke til kommentar
Selvstendigsaas Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 Det høres merkelig at de kom seg inn via denne sårbarheten? De må vel være ganske langt inne allerede før denne kan brukes for å få full tilgang? Lenke til kommentar
Simen1 Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 At en sårbarhet som ble oppdaget i juni står åpen i desember er som å ha døra til hvelvet på hvidt gap - det er bare å gå inn og forsyne seg. Skremmende at amedia ikke har tatt datasikkerhet mer seriøst. Datasikkerhet er et minefelt med enorme farer - og amedia har tydeligvis spankulert rundt og plystret i dette minefeltet. Slemt gjort av de kriminelle, men amedia må også stilles til delvis ansvar for det som har skjedd. 2 Lenke til kommentar
Samms Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 1 hour ago, Simen1 said: At en sårbarhet som ble oppdaget i juni står åpen i desember er som å ha døra til hvelvet på hvidt gap - det er bare å gå inn og forsyne seg. Skremmende at amedia ikke har tatt datasikkerhet mer seriøst. Datasikkerhet er et minefelt med enorme farer - og amedia har tydeligvis spankulert rundt og plystret i dette minefeltet. Slemt gjort av de kriminelle, men amedia må også stilles til delvis ansvar for det som har skjedd. Eller har Amedia innstallert "fix" frå MS som viser seg å ikkje vere heilt patent? Lenk til artikkel om print spool sårbarheit kan tyde på det. Opning for å stille regress krav mot MS og andre kan hjelpe. Kanskje dei då lager sikrare programvare frå starten av. Lenke til kommentar
arne22 Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 (endret) 4 hours ago, Selvstendigsaas said: Det høres merkelig at de kom seg inn via denne sårbarheten? De må vel være ganske langt inne allerede før denne kan brukes for å få full tilgang? Ja printerspooler skal vel normalt ikke være tilgjengelig fra Internett?! https://www.digi.no/artikler/skriverko-sarbarhet-i-windows-er-mye-mer-alvorlig-enn-forst-antatt/511644 Quote Ifølge Sandbu er det fleste Windows-systemer skjermet mot slike angrep gjennom standardreglene i den innebygde brannmuren. For Windows-baserte servere kan situasjonen være en helt annen. Men de serverne (relatert til LAN funksjoner) skal vel normalt ikke være tilgjelgelig fra Internett?! 2 hours ago, Simen1 said: At en sårbarhet som ble oppdaget i juni står åpen i desember er som å ha døra til hvelvet på hvidt gap Det spørs om ikke døren var lukket med en litt for dårlig lås, og når man kom forbi den, så var det fritt fram. Ellers så ligner vel dette angrepet tilsynelatende ganske mye på mange andre angrep som har vært i den senere for eksempel det mot Østre Toten kommune. (Ut i fra det lille som er publisert fram til nå.) Mulig hendelsesforløp: En ordinær bruker har mottatt en mail med vedlegg. Bruker klikker og får installert malware på sin PC. Hakker får tilgang til denne PC'en og bruker den som plattform for å lete litt rundt på LAN. Finner så "spooler issue" og oppnår "forhøyede brukerrettigheter" på sever og klarer å ta kontroll over AD controller. Så er det øvrige likt med angrepet mot Norsk Hydro (2019), Maersk, Østre Toten og alle disse andre angrepene som har kjørt i den samme sporet og endt opp med "kryptere harddisker" og tilhørende "løsepengekrav". Tiden vil vise om det vil bli publisert detaljer rundt hvordan dette angrpet faktisk skjedde. Vi hadde jo ellers også nylig et angrep mot Nortura som også ser ut til å ligge litt over mot det samme. Men i motsetning til del andre andre som liker å samle alt sammen i en felles sikkerhetssone, slik at man oppnår 100% ødeleggelse ved angrep, så har faktisk Amedia praktisert en form for sikkerhetsmessig segmentering som medfører at skaden tross alt er begrenset. https://www.e-tv.no/nyheter/amedia-utsatt-for-alvorlig-dataangrep/ Edit: Det står ikke noe om, noen steder, at "workstations" ikke har blitt rammet. Da kan det være at det bare er servere innenfor sikkerhetssonen som har blitt kryptert. Da har man kanskje bacup? (Altså ad AD kanskje ikke er rammet??) Hvordan kan man vite noe om dette? Ved å lese om de historiske angrepene som allerede har skjedd, mot Maersk, mot Norsk Hydro, Østre Toten og mange andre. Framgangsmåten har vært forholdvis lik fra tilfelle til tilfelle. Endret 29. desember 2021 av arne22 2 Lenke til kommentar
coret3x Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 (endret) "Det er et kjent sikkerhetshull i Windows – trolig dette – som er blitt utnyttet, og det er derfor Amedias Windows-servere som er rammet." Jeg må si at det er veldig sterke beskyldninger her når man antyder at Microsoft ikke har patchet et hull. Det er helt ukjent for meg at det er noe sikkerhetshull i windows nå så lenge man har oppdatert windows korrekt. Endret 29. desember 2021 av coret3x Lenke til kommentar
arne22 Skrevet 29. desember 2021 Del Skrevet 29. desember 2021 (endret) 51 minutes ago, coret3x said: Jeg må si at det er veldig sterke beskyldninger her når man antyder at microsoft ikke har patchet et hull. Det er helt ukjent for meg at det er noe sikkerhetshull i windows nå så lenge man har oppdatert windows korrekt. Det er vel ingen som har antydet det? Det som er nevnt eller antydet av andre enn meg, det er vel at det kan være noen sårbarheter som ikke har blitt oppdatert av Amedia. Ellers så er det jo felles for alle såkalte "nulldags sårbarheter" det er jo at det finnes hull i programvaren som ikke er patchet. Det er jo en type sårbarheter som man finner nå og da hos alle større leverandører. https://www.kaspersky.no/resource-center/definitions/zero-day-exploit Nå er det vel ikke nevnt eller antydet noe sted at det dreier seg om en "nulldags sårbarhet", denne gangen, slik som det for eksempel var det i forbindelse med angrepet mot Norsk Hydro i 2019. (Malware som var utviklet spesielt for dette angrepet og som derfor ikke ble oppdaget av sikkerhetssystemene.) Her er en oversikt over en del sikkerhetsmessige feil som man har funnet den siste måneden, bare som et eksempel: https://msrc.microsoft.com/update-guide/vulnerability Avdekking og retting av feil er jo noe som skjer kontinuelrig og hele tiden. Det som ser ut til å være rimelig sikkert, det er at noen har klart å kryptere en del harddisker hos Amedia, og hadde alle sikkerhetssystemer fungert slik som de skulle så hadde jo ikke det skjedd. Noen av de selskapene som blir angrepet velger å ikke betale og å gi ut nokså detaljerte opplysninger om hvordan angrepet skjedde, slik som for eksempel Norsk Hydro. Da har andre en mulighet til å lære av det som har skjedd. En av grunnene til at man oppdaterer operativsystem forløpende er jo at det blir funnet stadig flere sikkerhetsmssige hull. Den andre er for å implementere nye funksjoner. Endret 29. desember 2021 av arne22 1 Lenke til kommentar
Severin Suveren Skrevet 30. desember 2021 Del Skrevet 30. desember 2021 Tenker en eller annen heller har trykket på en "Du har en pakke" vedlegg på mail som har fått jobbe i bakgrunnen, mens den "offisielle" versjonen er at de har blitt hacket utenfra. Ser bedre ut på papiret (no pun intended). Lenke til kommentar
arne22 Skrevet 30. desember 2021 Del Skrevet 30. desember 2021 1 hour ago, Severin Suveren said: Tenker en eller annen heller har trykket på en "Du har en pakke" vedlegg på mail som har fått jobbe i bakgrunnen, mens den "offisielle" versjonen er at de har blitt hacket utenfra. Ser bedre ut på papiret (no pun intended). Det er ofte en kobinasjon og begge deler. Først så klikker "første offer" på en link eller et vedlegg. Så aktivseres en programvare som setter opp forbindelse tilbake og "hjem" til hacker. Hacker mottar så et "pling" med beskjed om at "nå er det tid for angrep". Han logger seg så på "første offer" sin PC via den kommunikasjonsforbindelse som har blitt altivisert via vedlegget. Når han så har fått kontroll over en PC inne på LAN og bak brannmur, så kan den så brukes til videre angrep mot resten av datanettverket og de servere og slike "ting" som måtte være det. Mange selskaper bruker jo forholdvis store ressurser i ettertid for å finne ut av hvordan angrepene skjedde, og noen av dem velger også å gå offentlig ut med denne informasjonen, slik at andre kan beskytte seg mot de tilsvarende angrepene. Et eksempel på et angrep der det ble utarbeidet meget god informasjon i ettertid, som andre kunne lære av, for å beskytte seg, det er angrepet mot Norsk Hydro i 2019. 1 Lenke til kommentar
arne22 Skrevet 31. desember 2021 Del Skrevet 31. desember 2021 (endret) Lit oppdatering: https://www.dn.no/innenriks/amedia-avviser-kritikk-fra-it-eksperter/2-1-1137660 Det gjenstår jo å se hva som blir lagt ut omkring nærmere informasjon, sånn litt etter hvert. Foreløpig sakset fra avissiden: Quote Pål Nedregotten, konserndirektør for teknologi i Amedia, har opplyst at det dreier seg om en kjent sårbarhet i Windows' programvare for å håndtere printere. Endret 31. desember 2021 av arne22 Lenke til kommentar
asshole Skrevet 2. januar 2022 Del Skrevet 2. januar 2022 Rart ingen har laget noe software som kan scanne lan etter kjente sårbarheter, slik som "skurkene" gjør. Dette burde vært enkelt. Istedet lages uendelige antall "ubrukelige" antivirus/antimalware som kjører på klienter, selv om alle vet at dette aldri vil stoppe målrettede angrep som dette. Lenke til kommentar
MegaMann2 Skrevet 3. januar 2022 Del Skrevet 3. januar 2022 14 hours ago, asshole said: Rart ingen har laget noe software som kan scanne lan etter kjente sårbarheter, slik som "skurkene" gjør. Dette burde vært enkelt. Istedet lages uendelige antall "ubrukelige" antivirus/antimalware som kjører på klienter, selv om alle vet at dette aldri vil stoppe målrettede angrep som dette. Det finnes haugevis av tjenester som gjør det du spør om der. Den mest kjente er kanskje https://www.shodan.io/ Lenke til kommentar
asshole Skrevet 3. januar 2022 Del Skrevet 3. januar 2022 MegaMann2 skrev (6 timer siden): Det finnes haugevis av tjenester som gjør det du spør om der. Den mest kjente er kanskje https://www.shodan.io/ Etter det jeg kan se på nettsiden dems så overvåker den dingser den kan nå fra internett? Altså er det ikke en lanscanner? Lenke til kommentar
arne22 Skrevet 3. januar 2022 Del Skrevet 3. januar 2022 (endret) Slettet. Endret 3. januar 2022 av arne22 Lenke til kommentar
process Skrevet 3. januar 2022 Del Skrevet 3. januar 2022 (endret) 4 hours ago, asshole said: Etter det jeg kan se på nettsiden dems så overvåker den dingser den kan nå fra internett? Altså er det ikke en lanscanner? Ja, shodan er mer for perimeter. Eksempler på LAN scanner er openvas eller nessus. Det er dog ofte spesifike, nylige sårbare versjoner det sees etter. I alle fall fra de mest profesjonelle. En full scan kan være veldig synlig om du overvåker og analyserer nettverkstrafikk med verktøy for dette formålet, eller ved logganalyse. Det finnes spesialiserte verktøy for en hel rekke andre vektorer som arp spoofing eller falske ap - men det er også mye som kan gjøres med godt utstyr og oppsett av dette. Å håndtere backup av state og kunne demonstrere at man kan gjennopprette store deler av infrastrukturen fra sikre bastioner og konfigurasjonsverktøy er viktig, men det finnes en haug med strategier for å hindre og spore endringer. Det er mye arbeid, dyrt og de færreste prioriterer det særlig høyt - det er ofte minstekrav til compliance som skal tilfredstilles. Bygger man systemer med dette som grunntanke kan de bli ganske robust, men i realiteten er du da ofte i en fase av utviklingen hvor ting skal fortest mulig og pengene dette koster ikke er tjent. Endret 3. januar 2022 av process Lenke til kommentar
asshole Skrevet 4. januar 2022 Del Skrevet 4. januar 2022 (endret) process skrev (2 timer siden): Ja, shodan er mer for perimeter. Eksempler på LAN scanner er openvas eller nessus. Det er dog ofte spesifike, nylige sårbare versjoner det sees etter. I alle fall fra de mest profesjonelle. En full scan kan være veldig synlig om du overvåker og analyserer nettverkstrafikk med verktøy for dette formålet, eller ved logganalyse. Det finnes spesialiserte verktøy for en hel rekke andre vektorer som arp spoofing eller falske ap - men det er også mye som kan gjøres med godt utstyr og oppsett av dette. Å håndtere backup av state og kunne demonstrere at man kan gjennopprette store deler av infrastrukturen fra sikre bastioner og konfigurasjonsverktøy er viktig, men det finnes en haug med strategier for å hindre og spore endringer. Det er mye arbeid, dyrt og de færreste prioriterer det særlig høyt - det er ofte minstekrav til compliance som skal tilfredstilles. Bygger man systemer med dette som grunntanke kan de bli ganske robust, men i realiteten er du da ofte i en fase av utviklingen hvor ting skal fortest mulig og pengene dette koster ikke er tjent. Nessus ser ok ut. Men sjekket en tilfeldig sårbarhet som Zerologon: "Identifying affected systems A list of Tenable plugins to identify this vulnerability can be found here. Tenable released a remote check plugin for Zerologon that can be used against DCs to test whether or not they’re exploitable. Please note that this plugin requires disabling the “Only use credentials provided by the user” option under Assessment Settings." Langt fra så automatisk som det skulle vært, faktisk ikke automatisk i det hele tatt? Her ligger angrepssoftwaren lysår foran, som er skremmende og uforståelig. På en syk måte er det verdt å bli angrepet med kryptovirus da dem gjør en kriminellt bra jobb med å finne sårbarheter. Set at "Microsoft Defender for Identity" påstår å detekterer Zerologon, men litt "kvalmt" å betale penger til Microsoft for finne feil som dem selv har laget. Endret 4. januar 2022 av asshole Lenke til kommentar
process Skrevet 4. januar 2022 Del Skrevet 4. januar 2022 (endret) 1 hour ago, asshole said: Nessus ser ok ut. Men sjekket en tilfeldig sårbarhet som Zerologon: "Identifying affected systems A list of Tenable plugins to identify this vulnerability can be found here. Tenable released a remote check plugin for Zerologon that can be used against DCs to test whether or not they’re exploitable. Please note that this plugin requires disabling the “Only use credentials provided by the user” option under Assessment Settings." Langt fra så automatisk som det skulle vært, faktisk ikke automatisk i det hele tatt? Her ligger angrepssoftwaren lysår foran, som er skremmende og uforståelig. På en syk måte er det verdt å bli angrepet med kryptovirus da dem gjør en kriminellt bra jobb med å finne sårbarheter. Set at "Microsoft Defender for Identity" påstår å detekterer Zerologon, men litt "kvalmt" å betale penger til Microsoft for finne feil som dem selv har laget. Det kan automatiseres, på samme måte som angriperene også må automatisere (eller fjernstyre) sine angrep. For å fullt utbytte nå man betale for produktene, ettersom de som gjør jobben med å holde dem oppdatert må lønnes. Er uenig i at det er lysår forskjell. Ofte er det samme verktøy som benyttes av angripere og sikkerhetsfolk. Kjente sikkerhetshull kommer ofte med proof of concept kode. Det er primært ned til kompetanse, prioritering og ressurser. Kryptovirus er ikke sykt gode til å finne svakheter, men de oppdateres stadig til å prøve nye angrepsvektorer og satser på at IT folka ikke har oppdatert sine systemer. Denne informasjonen er tilgjengelig for alle, angripere og IT folk, så ikke klokt å la den døra stå åpen i 6mnd. Endret 4. januar 2022 av process Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå