torsdag 11 juni 2015

Nu luras användare av SIBA-mail

Säkerhetsföretaget WeCloud har noterat en stor mängd förfalskad epost innehållande skadlig kod som anger elektronikkedjan SIBA som avsändare. WeClouds molnbaserade antivirus SecureAnywhere identifierar och stoppar attacken men i nuläget klarar inte traditionella antivirusprogram att stoppa den skadliga koden.

Stora mängder förfalskad epost, som anger elektronikkedjan SIBA som avsändare har under natten och morgonen registrerats i WeClouds säkerhetslösningar. De förfalskade mailen innehåller en bifogad fil som utformats för att lura användaren att tro att det rör sig om ett Microsoft Word-dokument. I själva verket är det en exekverbar fil som infekterar system där den startas. 

-Tyvärr är många system konfigurerade för att dölja filändelser villket gör det svårt för en användare att se skillnad på en falsk och en äkta Word-fil, säger Rikard Zetterberg, VD på WeCloud AB


Den skadliga filen har utformats som en Word-fil för att lura mottagaren.

Epostmeddelandedna har ämnesrad "Din order" följt av ett nummer. Avsändaren är no-reply@siba.se. Efter en analys av flera exempel har WeClouds experter konstaterat att en stor del av e-posten är skickad via det svenska webbhotellet Loopias epostservrar.

En kort text försöker lura användaren att öppna den bifogade filen:


Hej!

Vi bekräftar härmed din beställning.

Orderuppgifter:

Betalsätt: Kort.
Leveranssätt: MyPack.
Totalt inklusive frakt: 12.422,02 sek.

Bifogat finns en mer detaljerad översikt samt information om ångerrätt.
Beställningen levereras så fort vi registrerat din betalning.

Hoppas ni blir lika nöjda med eran produkt som alla våra tidigare kunder!

Vänliga hälsningar,

SIBA Team

I skrivandets stund är det enligt testsidan Virus Total endast 2 av 57 antivirusprogram som lyckas detektera den skadliga koden. Även om många antivirussystem nu börjar skapa signaturer för att kunna blockera den skadliga koden kommer det ta lång tid innan den uppdaterade informationen når användarna eftersom traditionella antivirusprogram ofta bara uppdateras en eller två gånger per dag.



En stor del av dessa utskick hade automatiskt kunnat stoppas av de flesta e-postsystem om Siba hade haft ett SPF-record i sin DNS. Ett SPF-record beskriver för mottagaren vem som får använda domännamnet som avsändare. Istället tillåts nu den förfalskade e-posten hos både Hotmail och Gmail, säger Rikard.

WeCloud distribuerar det molnbaserade antivirusprogrammet SecureAnywhere som aldrig förlitar sig på lokala signaturfiler. Istället jämförs alla nya filer direkt mot en molndatabas som ständigt uppdateras med den senaste informationen om skadlig kod. Med hjälp av den molnbaserade plattformen förkortas reaktionstiderna, det lokala systemet avlastas och administrationen runt om distribution av uppdateringar försvinner helt.

SecureAnywhere har sedan i morse detekterat och stoppat den skadliga koden.

www.wecloud.se
info@wecloud.se



onsdag 10 juni 2015

Zscaler skyddar mot nya sårbarheter i Adobe Flash, Internet Exploreroch Office

Zscaler har proaktivt utvecklat skydd för nya sårbarheter i Adobe Flash, Adobe AIR, Internet Explorer och Microsoft Office. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Business Suit och Zscaler Enterprise Suit.

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.



APSB15-11Security updates available for Adobe Reader and Acrobat
Severity: Critical

Affected Software
  • Adobe Flash Player 17.0.0.188 and earlier versions for Windows and Macintosh
  • Adobe Flash Player Extended Support Release 13.0.0.289 and earlier 13.x versions for Windows and Macintosh
  • Adobe Flash Player 11.2.202.460 and earlier 11.x versions for Linux
  • Adobe AIR Desktop Runtime 17.0.0.172 and earlier versions for Windows and Macintosh
  • Adobe AIR SDK and SDK & Compiler 17.0.0.172 and earlier versions for Windows and Macintosh
  • Adobe AIR for Android 17.0.0.144 and earlier versions

CVE-2015-3096 – Variant of CVE-2014-5333 (Rosetta Flash) using 2-bytes UTF-8 sequence
CVE-2015-3098 – Same-origin-policy/SecurityDomain/AllowScriptAccess violation via loaded flash files
CVE-2015-3100 – Misusing of FPU Instruction Could Cause Security Vulnerabilities
CVE-2015-3102 – Adobe Flash custom pageDomain vulnerability
CVE-2015-3103 – Flash Player Race Condition Vulnerability
CVE-2015-3104 – Integer overflow / memory corruption with excessive number of shader input channels
CVE-2015-3105 – Out-of-bounds write in ShaderParameter resolution
CVE-2015-3106 – AS2 Use After Free in TextField.filters
CVE-2015-3108 – Uninitialized memory information leak when shading into a ByteArray

Description: Adobe has released security updates for Adobe Flash Player for Windows, Macintosh and Linux.  These updates address vulnerabilities that could potentially allow an attacker to take control of the affected system.


MS15-056Cumulative Security Update for Internet Explorer
Severity: Critical

Affected Software
  • Internet Explorer 6-11
CVE-2015-1687 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1730 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1731 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1732 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1735 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1736 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1737 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1740 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1741 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1742 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1743 – Internet Explorer Elevation of Privilege Vulnerability
CVE-2015-1744 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1745 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1747 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1748 – Internet Explorer Elevation of Privilege Vulnerability
CVE-2015-1750 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1752 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1753 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1755 – Internet Explorer Memory Corruption Vulnerability
CVE-2015-1766 – Internet Explorer Memory Corruption Vulnerability

Description: Remote code execution vulnerabilities exist when Internet Explorer improperly accesses objects in memory. These vulnerabilities could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

MS15-059Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
Severity: Important

Affected Software
  • Office 2007 SP3
  • Office 2010 SP2
  • Office 2013
CVE-2015-1770 – Microsoft Office Uninitialized Memory Use Vulnerability
CVE-2015-1760 – Microsoft Office Use After Free Vulnerability
CVE-2015-1759 – Microsoft Office Use After Free Vulnerability

Description: Remote code execution vulnerabilities exist in Microsoft Office software that is caused when the Office software improperly handles objects in memory while parsing specially crafted Office files. This could corrupt system memory in such a way as to allow an attacker to execute arbitrary code.

MS15-061Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege
Severity: Important
Affected Software
  • Windows Server 2003 SP2
  • Windows Vista SP2
  • Windows Server 2008 SP2
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows 8.1
  • Windows Server 2012

CVE-2015-1721 – Win32k Null Pointer Dereference Vulnerability
CVE-2015-1722 – Microsoft Windows Kernel Bitmap Handling Use After Free Vulnerability
CVE-2015-1768 – Win32k Memory Corruption Elevation of Privilege Vulnerability


Description: Multiple elevation of privilege vulnerabilities exist in the Windows kernel-mode driver when it accesses an object in memory that has either not been correctly initialized or deleted. The vulnerabilities may corrupt memory in such a way that an attacker could gain elevated privileges on a targeted system.


www.wecloud.se

info@wecloud.com

onsdag 3 juni 2015

Zscaler ledare i Gartner Magic Quadrant igen!

Zscaler, som distribueras av WeCloud i Skandinavien, placerar sig som ledare i Gartners den nya Magic Quadrant-rapport (2015). Rapporten bedömer de största aktörerna inom webbsäkerhet och beskriver de olika lösningarnas 
konkurrenskraft, styrka och svagheter.

Zscaler är en molnbaserad IT-säkerhetstjänst som ersätter traditionella webbfilter men som också innehåller funktioner som avancerad malware-detektering, beteendeanalys, cloud application control och Data Loss Prevention.




Lösningen implementeras som en tjänst och kräver varken hårdvara eller mjukvara. Genom ett webbaserat gränssnitt kan kunden granska och styra alla Internet-transaktioner och skapa avancerade regler för upp/nedladdning och blockering av skadlig kod.

-Vi har den senaste tiden sett en allt större efterfrågan på säkerhetslösningar som kan skydda både interna nätverk och mobila användare. Zscaler är en av våra viktigaste samarbetspartners och vi är givetvis både stolta och glada för hur Gartner valt att placera lösningen i sin Magic Quardant, säger Rikard Zetterberg, VD på WeCloud.

WeCloud har sedan 2010 implementerat och distribuerat lösningen hos mer än 2.000 återförsäljare och slutkunder i Skandinavien. WeCloud har tillsammans med Zscaler upprättat datacenter i Skandinavien för att hantera den ökande mängden kunder i regionen. Bland WeClouds kunder finns både privata, statliga och kommunala verksamheter i alla storlekar.

Den fullständiga rapporten kan beställas och läsas kostnadsfritt på Zscalers webbsida - www.zscaler.com. 

www.wecloud.se
info@wecloud.se