måndag 22 april 2013

Många svenska verksamheter svartlistade

En svensk antispam-leverantör har i dagarna blivit svartlistad hos Cloudmark. Cloudmark's svartlista används i olika spamfiltrer-lösningar för ca 2 miljarder mailboxar. På grund av svartlistningen har kunder hos den drabbade antispam-leverantören nu problem att maila omvärlden.



Många verksamheter har någon gång råkat ut för att deras externa IP-adresser blivit svartlistade och är medvetna om problematiken som detta medför. Men vad händer när antispamleverantörens IP blir svartlistat? Om en enda kund som använder en antispam-tjänst för utgående skanning av e-post börjar skicka ut spam riskerar alla användare av den utgående antispam-tjänsten att drabbas. En enda infekterad användare hos en kund riskerar att störa mailtrafiken för tusentals användare.



Eftersom antispamleverantören hanterar många olika kunders företag genom samma IP-pool så blir också den negativa effekten av en svartlistning långt större än när en enskild e-postserver blir svartlistad. 



På grund av den ökade risken för svartlistning tillsammans med de stora negativa effekterna då antispamleverantörens IP blir svartlistat så är det av yttersta vikt att antispamleverantören håller trafiken från deras IP-adresser ren från spam och obeställda mailutskick.





För att undvika den problematik som detta normalt innebär så gör WeCloud en diagnostisk scanning av alla kunders utgående mailtrafik och sänder all misstänkt spam genom en separat IP-pool. På sätt så drabbas våra kunders utgående trafik inte av eventuella spam-utskick från andra användare av tjänsten.

www.wecloud.se
info@wecloud.se

onsdag 17 april 2013

Bomberna i Boston utnyttjas för att sprida skadlig kod

Gårdagens terror-klassade explosioner under Boston Maraton utnyttjas just nu för att sprida skadlig kod i stor skala. Genom stora utskick via e-post, som utger sig för att innehålla nyheter, bilder och videos på explosionen, luras mottagarna att klicka på en länk som infekterar datorn.











 
Den falska nyhetsuppdateringen kringår traditionella epost-virusfilter genom att inkludera en länk till den skadliga koden istället för en bifogad fil.

Kriminella hackare var snabba på att utnyttja folks nyfikenhet. Kort efter att explosionen under Boston Maraton ägde rum började e-post med ämnesrader som "Explosion at the Boston Marathon" och "Video of Explosion at the Boston Marathon 2013" skickas ut i stor skala.

-Det är en vanlig strategi att utnyttja aktuella nyheter och händelser för att sprida skadlig kod, säger Rikard Zetterberg, VD på WeCloud. 

-Vi har sett liknande attacker i samband med bland annat Usama Binladins död, fotbolls-VM och Obamas seger i det Amerikanska valet. Man spelar på mottagarens nyfikenhet och ett aktuellt ämne som det finns stort intresse för, säger Rikard.

Webbsidan man hänvisas till försöker ladda några YouTube-videos och utnyttjar samtidigt en sårbarhet i Java för att infektera besökaren med skadlig kod. Javakoden länkas från olika webbservrar och levererar en trojan till användare som använder en sårbar version av Java.

Flera av de exempel som WeCloud har granskat skickas med felaktig datum-stämpel, förmodligen för att förvirra eventuella spamfiler. 

Tekniska detaljer:

Java Applet hämtas från:

http:// abogadojuliorivera.com / hcsq.html
http:// liquidrealitysolutions.com / amsq.html
http:// techpourri.com / hhsr.html
http:// dotnax.com / ozsr.html
http:// compfixer.net / ecsr.html
http:// askmeaboutcctv.com / wmiq.html


MD5 för de olika versionerna av trojanen:

6ad5c11fb0e0c7c5e1cbc736b4b66676 
5ea646ffdc1e9bc7759fdfc926de7660


WeCloud's molnbaserade säkerhetslösningar detekterar och stoppar både de kända varianterna av e-postmeddelandet, samtliga skadliga java-applet's och de olika varianterna av trojanen.


www.wecloud.se
info@wecloud.se



onsdag 10 april 2013

Zscaler skyddar mot "0-Day Vulnerability" i Internet Explorer som används i CFR "Watering Hole"-attacker


Zscaler, som arbetar tillsammans med Microsoft via deras MAPPs-program har proaktivt utvecklat skydd för följande två sårbarheter i Microsoft security bulletins April 2013. Zscaler fortsätter att monitorera exploits som förknippas med de aktuella sårbarheterna och utvecklar löpande nya skydd om det blir nödvändigt.

MS13-029 – Vulnerability in Remote Desktop Client Could Allow Remote Code Execution
Severity: Critical
Affected Software
  • Microsoft XP
  • Microsoft Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7

CVE-2013-1296 RDP ActiveX Control Remote Code Execution Vulnerability
Description: A remote code execution vulnerability exists when the Remote Desktop ActiveX control, mstscax.dll, attempts to access an object in memory that has been deleted. An attacker could exploit the vulnerability by convincing the user to visit a specially crafted webpage. An attacker who successfully exploited this vulnerability could gain the same user rights as the logged-on user.


MS13-035 – Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege
Severity: Important
Affected Software
  • Microsoft InfoPath 2010 Service Pack 1
  • Microsoft Sharepoint Server 2010 Service Pack 1
  • Microsoft Groove Server 2010 Service Pack 1
  • Microsoft Sharepoint Foundation 2010 Service Pack 1
  • Microsoft Office Web Apps 2010 Service Pack 1
CVE-2013-1289 HTML Sanitization Vulnerability
Description: An elevation of privilege vulnerability exists in the way that HTML strings are sanitized. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks on affected systems and run script in the security context of the current user.

måndag 8 april 2013

Varning för falska uppdateringar

I mindre verksamheter brukar administratören vara nogsam med att uppmana sina användare att uppdatera sina programvaror, men de senaste åren har detta blivit en riskfylld process då antalet förfalskade uppdateringar blivit fler och fler. WeCloud varnar nu för en ny förfalskad uppdatering från Adobe som fått stor spridning.














Uppdateringssidan är en väldesignad kopia av Adobe's äkta uppdateringssida men den ligger på en hackad webbserver.


-Många gånger är det redan för sent redan när man väl besökt sidan, men man kan få viss hjälp genom att kontrollera adressen i webbläsarens adressfält. Dock kan även adressfältet kan manipuleras, säger Rikard Zetterberg, VD på WeCloud.












Den förfalskade uppdateringssidan aktiverar automatiskt en nedladdning av filen "update_flash_player.exe" som infekterar datorn med skadlig kod istället för att uppdatera Adobe.

Mycket av dagens skadliga kod sprids via länkar i e-post som bygger på äldre kommunikationsprotokoll där avsändaren enkelt kan förfalskas. -De flesta verksamheter använder idag olika typer av säkerhetslösningar för att centralt kontrollera inkommande e-post, tyvärr fungerar inte den metoden om e-posten innehåller en länk till den skadliga koden istället för att direkt bifoga den, säger Rikard.

Om det saknas centrala verktyg för uppdateringar av programvara är det säkrast att initiera uppdateringen från programvarans egna uppdateringsfunktion.
 
Hotbilden blir mer och mer komplex. När säkerhetsexperter ena stunden påminner om vikten av att alltid uppdatera sina program och därefter varnar för dessa uppdateringar är det svårt för en "dödlig användare" att vet hur han ska hantera situationen. 

-Vi kan inte längre uppmana till "sunt förnuft". Säkerhetslösningar och uppdateringar måste hanteras centralt av personer med specialistkompetens. Det finns i princip inga verksamheter som på egen hand har möjlighet att hålla sig uppdaterade och hantera de senaste hoten, därför blir molnbaserade säkerhetslösningar som löpande uppdateras med ny information av säkerhetsexperter mer och mer attraktiva, säger Rikard.

WeCloud distribuerar molnbaserade säkerhetslösningar för webb, e-post och endpoint-skydd. Samtliga lösningar uppdateras automatiskt i realtid och övervakas av säkerhetsexperter dygnet runt.

www.wecloud.se
info@wecloud.se




tisdag 2 april 2013

SecureAnywhere hanterar alla varianter av "Polisviruset"

Under det senaste halvåret har många svenska datorer infekterats med det så kallade polisviruset. Polisviruset är egentligen en trojan som låser datorn och kräver en summa pengar för att låsa upp den. Den skadliga koden har fått stor spridning och har varit svår att "tvätta bort". Den skadliga koden har gång på gång upptäckts i nya versioner och de traditionella antivirusprogrammen har inte lyckats hantera infektionen. WeCloud's Cloud-AntiVirus SecureAnywhere hanterar samtliga versioner av infektionen med sin unika funktionalitet "Journaling Rollback". 



Användare som infekterats med polisviruset luras att tro att de krävs på böter p.g.a. olaglig surftrafik eller att upphovsrättskyddat material har upptäckts på datorn. För att datorn ska låsas upp kräver virusmakarna att en summa pengar betalas.

Medans konkurrerande AntiVirus-leverantörer stressar ut fler och fler uppdateringar och olika upprensnings-rutiner för att hinna i kapp de många olika versionerna av polisviruset kan användare med SecureAnywhere sitta lugnt i båten. 

SecureAnywhere rensar upp infekterade datorer helt automatiskt oavsett vilken version av polisviruset som infekterat datorn. SecureAnywhere skilljer ut alla "goda filer" genom att matcha dem mot en gigantisk molndatabas - kvar på datorn återstår därefter endast "dåliga filer" och "okända filer". Dåliga filer rensas bort och eventuella okända filer monitoreras och loggas i detalj med den inbyggda funktionen "Journaling Rollback". Den unika funktionen kan helt automatiskt rensa upp en dator och backa alla förändringar som orsakats av en okänd fil - på så vis kan alla versioner av polisviruset hanteras - både kända och okända varianter.

Webroot SecureAnywhere är marknadens minsta AntiVirusklient (mindre än 1 Mb) och matchar filer och beteenden mot en molnbaserad databas som uppdateras i realtid. Lösningen administreras från en webbaserad kontrollpanel och låter administratören granska och hantera samtliga installationer, infektioner och eventuella okända filer för en eller flera verksamheter.

www.wecloud.se
info@wecloud.se