torsdag 20 december 2012

God Jul & Gott Nytt År!



Vi på WeCloud vill tacka dig för året som gått och önska dig en riktigt god jul & gott nytt år.

Ser fram mot ett nytt spännande år tillsammans med Er!

torsdag 13 december 2012

Pro-aktivt skydd för nya sårbarheter






Zscaler, som arbetar med Microsoft genom MAPPs-programmet, ger ett  pro-aktivt skydd för följande webbaserade sårbarhet, som ingår i December 2012 Microsoft Security Bulletins. Zscaler kommer övervaka kod som utnyttjar sårbarheterna i December's säkerhetsuppdatering från Microsoft och distribuera ytterligare skydd om det behövs.



MS12-077 – Cumulative Security Update for Internet Explorer (2761465)

Severity: Critical

Affected Software
  • Internet Explorer 6 
  • Internet Explorer 7 
  • Internet Explorer 8 
  • Internet Explorer 9 
  • Internet Explorer 10 

CVE-2012-4787 Improper Ref Counting Use After Free Vulnerability
Description: A remote code execution vulnerability exists in the way that Internet Explorer accesses an object that has not been correctly initialized or has been deleted.
 
MS12-078 – Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2783534)
Severity: Critical
Affected Software
  • Windows XP
  • Windows server 2003
  • Windows Vista
  • Windows server 2008
  • Windows 7
  • Windows 8
  • Windows server 2012
CVE-2012-2556 OpenType Font Parsing Vulnerability
Description: A remote code execution vulnerability exists in the way that affected components handle a specially crafted OpenType font file.

MS12-079 – Vulnerability in Microsoft Word Could Allow Remote Code Execution (2780642)
Severity: Critical
Affected Software
  • Microsoft Office 2003
  • Microsoft Office 2007
  • Microsoft Office 2010
CVE-2012-2539 Word RTF 'listoverridecount' Remote Code Execution Vulnerability
Description:A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted Rich Text Format (RTF) data.
 


www.wecloud.se
info@wecloud.se

söndag 2 december 2012

Varning för falsk e-post från Apple

Under helgen har WeCloud uppmärksammat ett stort antal falska e-postmeddelanden som utger sig för att komma från Apple och uppmanar användaren att verifiera sitt Apple-ID genom att skriva in dessa på en webbsida. Både e-postmeddelande och webbsida är väl utformade och liknar Apple's äkta varningar.

Apple varnar normalt användare om deras Apple-ID använts från en ny enhet eller IP-nummer. I de äkta varningarna från Apple ombedes användaren att bekräfta att kontot använts från en ny enhet, men Apple ber aldrig användaren att uppge sina inloggningsdetaljer.

-Det här ser ut att kunna lura många användare eftersom de är vana vid liknande kommunikation från Apple. Vi bedömer detta som ett mycket allvarligt phishing-angrepp där det finns en stor och uppenbar risk att Apple's användare förlorar pengar, säger Rikard Zetterberg, VD på WeCloud AB.


E-postmeddelandet ser ut att komma från Apple, men i själva verket har det skickats från kidnappade datorer som antas vara medlemmar  i ett Botnet.


Länken i e-postmeddelandet leder användaren till en webbsida som omber denne att ange sitt Apple-ID och lösenord.

Den falska webbsidan ligger dold på en hackad webbsida i Nya Zeeland och hämtar in delar från Apple's webbsida för att se äkta ut. Om användaren uppger sina inloggningsuppgifter skickas de till bedragaren istället för att verifieras hos Apple. Uppgifterna kan användas för att handla appar, presentkort, musik och film, och belastar kontots ägares kreditkort automatiskt. 

Bedragarna nöjer sig inte med att stjäla användarens Apple-ID utan ber också om kreditkortsinformation så snart användaren uppgett användarnamn och lösenord. -I steg två kommer förmodligen många fatta misstanke, men då har de redan förlorat sitt Apple-ID, som många gånger är knutna till ett kreditkort, säger Rikard.


-Vi avråder från att klicka på länken i e-postmeddelandet och uppmanar till försiktighet rörande kommunikation från Apple då flera varianter av detta bedrägeri förväntas under veckan. Om man fyllt i sina uppgifter i ett liknande formulär bör man omgående byta lösenord på sitt Apple-konto. Lösenordet kan ändras på Apple's äkta webbsida: https://appleid.apple.com/in.



www.wecloud.se
info@wecloud.se





måndag 19 november 2012

Ny malware sprider sig snabbt via e-post

WeCloud har noterat en stor mängd oönskad kod som just nu sprids via e-post. Den skadliga koden blockeras i WeCloud's e-postsäkerhetslösning och webbsäkerhetslösning innan den når WeClouds kunder.

Den nya skadliga koden kallas "W32/Heuristic-200 Eldorado" och sprids via e-post från kapade e-postkonton. Det senaste dygnet uppskattas att nära 1 miljon utskick gjorts till svenska mottagare.

I nuläget saknar många antiviruslösningar skydd mot W32/Heuristic-200 Eldorado och risken är stor att den skadliga koden tar sig igenom många e-postsäkerhetssystem som inte inkluderar någon av de antivirusprogram som kan identifiera den skadliga koden.

Den senaste analysen på VirusTotal visar att endast cirka hälften av Antivirusleverantörerna är uppdaterade:Virus Total Analyze 2012-11-19

www.wecloud.se
info@wecloud.se

fredag 9 november 2012

WeCloud dubblar omsättning och vinst

WeCloud AB visar i det nya årsbokslutet ett mycket starkt resultat och en fördubbling av både omsättning och vinst. WeCloud startade i april 2010 och är idag en av de marknadsledande skandinaviska utvecklarna och distributörerna av säkerhetstjänster i molnet.

Under sitt andra verksamhetsår har WeCloud utökat sin kundbas till cirka 2 000 slutkunder i Skandinavien och öppnat ett nytt kontor i Stockholm. Förutom nya kunder har antalet samarbetspartners utökats och nya återförsäljaravtal tecknats med ledande IT-konsultbolag. Under våren 2012 antogs WeCloud som underleverantör på kammarkollegiets ramavtal; ett strategiskt viktigt avtal som underlättar WeCloud's försäljning mot offentlig verksamhet.







 







-WeCloud har fått ett ökat förtroende hos de större kunderna och tecknat nya avtal med några av Skandinaviens största företag. Den starka tillväxten har skett med mycket god lönsamhet, säger Rikard Zetterberg, VD på WeCloud.

I samband med en betydande konkurrents avveckling av sin skandinaviska verksamhet har WeCloud rekryterat nyckelpersoner med mycket hög kompetens och, sedan tidigare, starka kundkontakter. Genom fortsatt utveckling av såväl personal och tekniska lösningar har verksamheten knutit till sig nya kunder och samarbetspartners. 


Genom ett fortsatt starkt samarbete med befintliga leverantörer, gemensam anpassning och utveckling av befintliga tjänster, och nöjda kunder har WeCloud under året påbörjat förnyelser av befintliga kundavtal med mycket gott resultat. Cirka 98% av utlöpande kundavtal har förnyats.

I mitten av verksamhetsåret erhöll WeCloud exklusiva distributionsrättigheter för Webroots  nya och revolutionerande antivirus-teknologi. Den nya tjänsten har varit ett lyckat tillskott till tjänsteportföljen och har omgående ökat både vinst och omsättning i bolaget. 


WeClouds nya Antivirus-lösning har under andra halvan av verksamhetsåret visat sig vara mycket uppskattad av både befintliga och nya kunder som en väsentligt mer effektiv  lösning än traditionella antiviruslösningar. WeCloud nominerades i Svenska Security Awards 2012's kategori ”årets IT-säkerhetslösning” för den nya antivirus-lösningen och förväntas ta stora marknadsandelar inom det nya affärsområdet som öppnats genom detta tillskott i produktportföljen.

Den egenutvecklade tjänsten ”WeCloud SiteSecurity” har utökats med ny funktionalitet och ytterligare förbättrad driftsäkerhet. Den strategiska satsningen på egenutvecklad teknologi har fallit väl ut och fortsatta investeringar i dessa funktioner är planerade för kommande verksamhetsår.

WeClouds ledning är stolta och glada över att kunna presentera det positiva resultatet och en stark tillväxt under verksamhetsåret. Vi ser fram mot en fortsatt positiv utveckling av såväl omsättning som resultat.



info@wecloud.se
www.wecloud.se

måndag 15 oktober 2012

Farliga bilder från en Facebook-kompis?

Under helgen har en ny typ av skadlig kod spridits. Den skadliga filen skickas som en bilaga i ett e-postmeddelande. För att undvika att antivirus-motorer i eventuella e-postgateways detekterar filen skickas den i en lösenordsskyddad ZIP-fil. WeCloud rekommenderar att lösenordsskyddade filer från okända avsändare raderas.

Avsändaren uppger att denne försökt kontakta mottagaren vid flera tillfällen utan att lyckas och att denne nu skickar över bilder som tros kan intressera mottagaren.


E-postmeddelandet innehåller en lösenordsskyddad fil och en uppmaning att öppna filen med hjälp av ett lösenord som uppges i samma meddelande.







Den lösenordsskyddade filen innehåller en exekverbar fil med Facebook-ikon som startar en skadlig process om den körs.

SHA256: c14d25987784927292c73b32eea255a32b577698d94661ddffc51b4084cfddec
File name: dc7841.exe

När WeClouds tekniker upptäckte den skadliga koden var den okänd av de flesta AntiVirus-program, endast 5 av 42 testade AntiVirus-program klassade filen som skadlig. I skrivandets stund har ytterligare 3 antivirusleverantörer malware-klassat filen.

WeCloud distribuerar den cloudbaserade antiviruslösningen Webroot SecureAnywhere, som hör till en av de få leverantörer, som stoppar det nya hotet. Webroot Secure Anywhere har dessutom unika funktioner för att hantera okända hot. Lösningen övervakar och loggar alla filer som inte klassificerats som godartade - för att i senare skede kunna "rulla tillbaka" förändringar som orsakats av filen, om den i efterhand klassas som skadlig.


torsdag 27 september 2012

Skadliga tillägg installeras omärkbart i Firefox

Du har säkert stött på program, som t.ex. Flash Player eller annan gratis programvara, som vill installera en toolbar (spyware/adware) i din webbläsare. Det handlar då om en 3:e-parts-installation av en så kallad "extension". 

I Firefox består installationen av extensions/tillägg av att kopiera webbläsartillägget till din Firefox-profil (eller en mapp med extentions som delas av alla profiler).

Exempel på mjukvara som innehåller adware.

Firefox skyddar mot denna typ av extensions genom att låta användaren bekräfta installationen nästa gång webbläsaren startas - användaren får möjlighet att inaktivera (standardåtgärd) eller aktivera nya extensions.

Det är dock mycket enkelt att kringgå varningen från Firefox. Firefox lagrar information om alla anknytningar i en sqlite3.databas som heter "extensions.sqlite", som ligger i varje Firefox-profil. Den innehåller:
  • Namn, version, beskrivning, etc.
  • Aktiverad eller inaktiverad.
  • Om den installeras från Mozilla officiella webbplats eller ej.
När Firefox startar kontrollerar den listan över extensions under mot innehållet i extensions.sqlite. Om en extension finns på disken men inte finns med i databasen visas en varning för användaren. För att installera en extension utan varning kan oseriösa aktörer lägga till en post i extension-databasen och få Firefox att tro att en extention redan har godkänts av användaren.

Zscaler Threathslabs demonstrerar hur detta fungerar i videon nedan:


Många gratis-programvaror finansieras genom att verktygsfält, adware och spyware installeras som en del av installationen. Firefox ger användarna en chans att klart och tydligt bestämma om de vill installera dessa tillägg. Utan detta skydd kan många användare luras till att köra extensions utan att själva vara medvetna om det.

Skadliga webbläsartillägg är mycket svårare att upptäcka när de väl har installerats. Eftersom extensions är en del av webbläsaren kan deras processer inte skiljas från webbläsarens. Webbläsaren har tillgång till både Internet och filsystemet och tilläggen får samma tillgång utan att behöva lägga till startskript eller Windows-tjänster. Med denna metod kan tilläggen fånga upp inloggningar och lösenord mm. Antivirus-leverantörer kämpar med att upptäcka skadliga JavaScript och skadliga Firefox-tillägg men enligt VirusTotal klassas inte skadliga extensions som virus.


www.wecloud.se
info@wecloud.se

onsdag 19 september 2012

Så utnyttjas den nya sårbarheten i Explorer

De senaste dagarna har flera organisationer och medier varnat för en nyupptäckt sårbarhet i Internet Explorer. Myndigheten för samhällsskydd och beredskap avråder myndigheter från att använda Internet Explorer. WeCloud förklarar hur det verkliga hotet ser ut och hur sårbarheten utnyttjas.

Webbsidan hxxp:// invitation [.] spacegas [.] com /Join-Id.html är ett exempel på en av de  webbsidor som utnyttjar sårbarheten i Internet Explorer (CVE-2012-4969) för att infektera besökare.

Webbsidan utger sig för att vara en mötesförfrågan till ett online-möte (t.ex. WebEx eller GoToMeeting): 

Förmodligen används någon form av "social engineering" som skickas via e-post för att lura in användaren på webbsidan, eftersom inga HTTP-referals har kunnat knytas till sidan.

Webbsidans kod innehåller en iFrame som pekar på en sida (join.html) på samma IP (211.237.20.39):



Sidan join.html levererar den omtalade CVE-2012-4969 exploit-koden:


"Moh2010.swf" är ett vanligt förekommande filnamn i samband med detta hot. MD5-hachen  av den Flash-fil som vi laddade ner var: 501cf420b5495874d6c795804ce21fd8 och är krypterad med DoSWF.

Genom att köra sårbarheten och den medföljande skadliga koden i Anubis sandbox skapas följande rapport: Länk till Anubis Rapporten.


Vi noterar att följande registernyckel skapas:
HKU \ S-1-5-21-842925246-1425521274-308236825-500 \ Software \ Microsoft \ Internet Explorer \ International \ CpMRU samt ett "Mutex Set": _SHuassist.mtx

Vidare analyser visar att någon laddat upp den skadliga koden till analysverktyget VirusTotal - som visardefinierar den som Delphi RAT (möjligen en Hupigon-variant). Fullständig rapport hittas här: Virus Total Report.


WeCloud's webbsäkerhetslösning från Zscaler hindrar automatiskt  kod som utnyttjar sårbarheten att nå webbläsaren, oavsett var användaren kopplar upp sig. Zscaler deltar i säkerhetssamarbetet Microsoft MAPPS (Microsoft Active Protections Program) och får automatiskt information om nya sårbarheter i mjukvara för att snabbt kunna implementera skydd och stoppa utnyttjande av 0-dagarssårbarheter. 

www.wecloud.se
info@wecloud.se 
 

tisdag 18 september 2012

Zscaler skyddar mot nytt säkerhetshål i Internet Explorer






En s.k. "0-day"-sårbarhet i Internet Explorer har offentliggjorts. Enligt uppgift är IE7, 8 och 9 på Windows XP, Vista och 7 påverkade. Sårbarheten utnyttjas aktivt. 

Microsoft har bekräftat sårbarheten men i nuläget finns ingen fungerande patch. De tillfälliga lösningarna som rekomenderas av Microsoft presenteras här: Microsoft Security Advisory (2757760).

WeCloud's webbsäkerhetslösning från Zscaler hindrar automatiskt  kod som utnyttjar sårbarheten att nå webbläsaren, oavsett var användaren kopplar upp sig. Zscaler deltar i säkerhetssamarbetet Microsoft MAPPS (Microsoft Active Protections Program) och får automatiskt information om nya sårbarheter i tillverkarens mjukvara för att snabbt kunna implementera skydd och stoppa utnyttjande av 0-dagarssårbarheter. 

WeCloud's webbsäkerhetslösning Zscaler bygger på ett  gemensamt och globalt uppdaterat skalskydd som rensar http/https-trafiken från den kod som utnyttjar sårbarheter och annan skadlig kod innan den når klienterna.

www.wecloud.se
info@wecloud.se

torsdag 13 september 2012

Erbjudande till Postini-kunder och återförsäljare


Google, som tidigare köpt upp företaget Postini,  kommer under 2013 helt avveckla de fristående Postini-tjänsterna för e-postsäkerhet och integrera dessa i Google Apps.  

Ledande säkerhetsanalytiker som Gartner rekommenderar att Postini-kunder avvaktar tills andra halvåret 2013 innan man gör övergången till  Google Apps, för att ge Google tid att vidareutveckla funktionalitet samt utvärdera de förändringar migreringen kommer innebära.  
Detta lämnar Postini's kunder inför det svåra valet att fortsätta utan e-postsäkerhetslösning, välja en annan e-postsäkerhetslösning eller migrera till en ny och oprövad Google App.


WeCloud, som distribuerar Zscaler's e-postsäkerhetslösning i Skandinavien, erbjuder därför Postini's kunder en effektiv och välbeprövad lösning för e-postsäkerhet. Zscaler Email Security Suite kan ge en bättre molnbaserad lösning med all funktionalitet du kräver. Och om du agerar innan 31 oktober kan du få en förbättrad e-postsäkerhetslösning PLUS Web Security GRATIS i 6 månader.


Kontakta oss på WeCloud för mera information.

www.wecloud.se
info@wecloud.se