onsdag 23 mars 2016

Microsoft hjälper dig stoppa skadliga makron

Efter flera månader av ökande mängd skadliga Officedokument med makron som laddar ner malware till användarens dator släpper nu Microsoft en funktion som låter dig förbjuda makron att hämta kod från Internet.

De senaste månaderna har extremt höga nivåer ny malware noterats i e-postflöden i hela världen. Främst handlar det om .Office-filer och .js-downloaders som är okända för de flesta antivirusmotorer. Attackerna är kortvariga och upphör nästan omedelbart efter att antivirus-programmen uppdateras med signaturer som kan blockera den skadliga koden.




WeCloud har implementerat flera anpassade skydd i sina lösningar för att minimera riskerna, och nu drar även Microsoft sitt strå till stacken. Den 22:e mars meddelade Microsoft att man släppt en ny funktion för Office 2016 som låter administratörer begränsa hur ett makro i en Office-fil får bete sig. Funktionen kan styras med hjälp av en GPO/Group Policy.

Microsofts idé är att stoppa makron från att ladda hem ny och skadlig kod till användaren. Mer information finns på Mirosofts TechNet.

Läs mer om hur makron-infektionerna lurar användarna och om de ovanligt höga nivåerna skadlig kod i e-posttrafiken.

www.wecloud.se
info@wecloud.se

onsdag 16 mars 2016

E-post med bifogade Javascript laddar ner Ransomware

Under de senaste veckorna har WeCloud noterat hundra tusentals nya skadliga Javascript bifogade i e-postmeddelanden. Om de bifogade filerna öppnas laddar de ner skadlig kod från webben. Javascript är extremt ovanliga i legitim e-post och ett enkelt sätt att minska riskerna är att helt enkelt blockera e-post som innehåller filer av typen .js och .jse.

De pågående attackerna startade för några veckor sedan och bygger på e-post med bifogade filer som i sin tur hämtar hem ny skadlig kod från webben. De flesta varianterna handlar om "downloaders" och hämtar hem ransomware som krypterar filer på mottagarens system och kräver en lösensumma för att dekryptera filerna.

Javascripten passerar ofta under radarn för traditionella antivirusprogram eftersom nya versioner släpps i extremt snabb takt. WeCloud har noterat mer än hundra nya varianter under en enda minut. Tester på både Virus Total och MetaScan visar att inga, eller väldigt få, antivirusmotorer blockar de nya varianterna under de första timmarna.

Javaskripten skickas oftast i bifogade ZIP-filer. För att skriptet ska exekvera krävs flera steg av användaren. ZIP-filen måste öppnas innan javascriptet kan aktiveras.


Javascripten skickas i bifogade ZIP-filer

De skadliga Javascripten kamouflerar koden och URL'er för att undvika direkta matchningar mot statiska URL-signaturer. Adresserna där ny skadlig kod hämtas delas upp i flera olika segment och pusslas ihop när skriptet aktiveras.


Host och URL delas upp för att kringgå URL-kontroller
Koden i javascripten är inte farliga i sig och ställer inte till någon oreda hos mottagaren. Istället är de är designade för att enbart ladda ner den riktigt illasinnade koden från webben och exekvera den. Detta är en av anledningarna till att de är svårare att detektera med traditionella antivirusprogram.  

-Det handlar om en mycket medveten taktik från förövarna. De flesta företag blockerar de klassiska exekverbara filtyperna, men tillåter ofta mottagning av olika typer av skript och makron. Detta utnyttjas just nu av illasinnade brottslingar som vill tjäna snabba pengar på lösensummor, säger Rikard Zetterberg, VD på WeCloud.

Genom enkla policys kan riskerna att infekteras enkelt minskas. De flesta e-postfilter har funktioner för att blockera specifika filtyper. Läs mer om vilka filtyper som WeCloud rekommenderar att man blockerar i sitt e-postfilter här. 

Modern säkerhet kräver mer än bara antivirus enligt Rikard Zetterberg. -Verksamheter måste börja arbeta aktivt med policys och även kombinera flera olika metoder för att kunna blockera moderna hot. Policy och statiska signaturbaserade lösningar täcker en del men bör kombineras med heuristisk och beteendeanalys för att nå ett effektivt skydd.

En annan vanlig metod att sprida "downloaders" som laddar hem skadlig kod från webben är bifogade Office-dokument med inbyggda makron. WeCloud introducerade i veckan en mer aggressiv heuristisk analys av filer som innehåller makron för att ytterligare förbättra skyddet mot denna typ av attacker. Läs mer om WeCloud Email Security här.

www.wecloud.se
info@wecloud.se

lördag 12 mars 2016

Proaktivt skydd mot nya säkerhetshål i Adobe Flash och Acrobat Reader

Zscaler har proaktivt utvecklat skydd för attacker mot de 17 sårbarheter som presenterades i Adobe's security bulletins i mars. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.




WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.



APSB15-32Security updates available for Flash Player
Severity: Critical

Affected Software
  • Adobe Flash Player Desktop Runtime 19.0.0.245 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.261 and earlier
  • Adobe Flash Player for Google Chrome 19.0.0.245 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 19.0.0.245 and earlier
  • Adobe Flash Player for Internet Explorer 10 and 11 19.0.0.245 and earlier
  • Adobe Flash Player for Linux 11.2.202.548 and earlier
  • AIR Desktop Runtime 19.0.0.241 and earlier
  • AIR SDK  19.0.0.241 and earlier
  • AIR SDK & Compiler 19.0.0.241 and earlier
  • AIR for Android  19.0.0.241 and earlier
CVE-2015-8655 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Adobe has released security updates for Adobe Flash Player.  These updates address critical vulnerabilities that could potentially allow an attacker to take control of the affected system.

APSB16-08Security updates available for Flash Player
Severity: Critical

Affected Software
  • Adobe Flash Player Desktop Runtime 20.0.0.306 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.329 and earlier
  • Adobe Flash Player for Google Chrome 20.0.0.306 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 20.0.0.306 and earlier
  • Adobe Flash Player for Internet Explorer 11 20.0.0.306 and earlier
  • Adobe Flash Player for Linux 11.2.202.569 and earlier
  • AIR Desktop Runtime 20.0.0.260 and earlier
  • AIR SDK  20.0.0.260 and earlier
  • AIR SDK & Compiler 20.0.0.260 and earlier
  • AIR for Android  20.0.0.233 and earlier
CVE-2016-0961 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0962 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0963 – Flash Player Integer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0986 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0987 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0988 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0989 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0990 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0991 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0993 – Flash Player Integer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0994 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0995 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0996 – Flash Player Use-After-Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-1001 – Flash Player Heap Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-1010 – Flash Player Integer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Adobe has released security updates for Adobe Flash Player.  These updates address critical vulnerabilities that could potentially allow an attacker to take control of the affected system.

APSB16-09Security updates available for Acrobat Reader
Severity: Critical

Affected Software
  • Acrobat DC Continuous 15.010.20059 and earlier
  • Acrobat Reader DC Continuous 15.010.20059 and earlier      
  • Acrobat DC Classic 15.006.30119 and earlier
  • Acrobat Reader DC Classic 15.006.30119 and earlier              
  • Acrobat XI Desktop 11.0.14 and earlier
  • Reader XI Desktop 11.0.14 and earlier
CVE-2016-1007 – Acrobat Reader Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Adobe has released security updates for Adobe Acrobat and Reader for Windows and Macintosh. These updates address critical vulnerabilities that could potentially allow an attacker to take control of the affected system.


www.wecloud.se
info@wecloud.se

onsdag 9 mars 2016

Nya sårbarheter i Internet Explorer, Edge, Media Player, och Microsoft Office

Zscaler har proaktivt utvecklat skydd för attacker mot de 21 sårbarheter som presenterades i Microsofts bulletins i mars. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.



MS16-023 –  Cumulative Security Update for Internet Explorer
Severity: Critical

Affected Software
  • Internet Explorer 9-11
            CVE-2016-0103 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0104 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0105 – Microsoft Browser Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0106 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0107 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0108 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0109 – Microsoft Browser Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0110 – Microsoft Browser Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0111 – Microsoft Browser Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0112 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0113 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0114 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security

Description: This security update resolves vulnerabilities in Internet Explorer. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

MS16-024 – Cumulative Security Update for Microsoft Edge
Severity: Critical

Affected Software
  • Microsoft Edge
CVE-2016-0102 – Microsoft Browser Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security
CVE-2016-0123 – Microsoft Edge Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security
CVE-2016-0124 – Microsoft Edge Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security

Description: This security update resolves vulnerabilities in Microsoft Edge. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Microsoft Edge. An attacker who successfully exploited the vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

MS16-027 – Security Update for Windows Media Player to address Remote Code Execution
Severity: Critical

Affected Software
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows Server 2008 SP2
  • Windows 7 SP1
  • Windows 8.1 and Windows RT 8.1
  • Windows 10
CVE-2016-0098 – Windows Media Player Parsing Remote Code Execution Vulnerability
Security Subscription Required: Advanced Internet Security
Description: This security update resolves vulnerabilities in Microsoft Windows. The vulnerabilities could allow remote code execution if a user opens specially crafted media content that is hosted on a website.

MS16-028 – Security Update for Microsoft Windows PDF Library to Address Remote Code Execution
Severity: Critical

Affected Software    
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
CVE-2016-0117 – Remote Code Execution Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0118 – Remote Code Execution Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
         
Description: This security update resolves vulnerabilities in Microsoft Windows. The vulnerabilities could allow remote code execution if a user opens a specially crafted .pdf file. An attacker who successfully exploited these vulnerabilities could cause arbitrary code to execute in the context of the current user. If a user is logged on with administrative user rights, an attacker could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

MS16-029 – Security Update for Microsoft Office to Address Remote Code Execution
Severity: Important

Affected Software
  • Microsoft Office 2007 SP3
  • Microsoft Office 2010 SP2
  • Microsoft Office 2013 SP1
  • Microsoft Office 2013 RT SP1
  • Microsoft Office 2016
  • Microsoft Office 2011 for Mac
  • Microsoft Office 2016 for Mac
CVE-2016-0021 – Microsoft Office Memory Corruption Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0134 – Microsoft Office Memory Corruption Vulnerability
Security Subscription Required: Advanced Behavioral Analysis

Description: This security update resolves vulnerabilities in Microsoft Office. The most severe of the vulnerabilities could allow remote code execution if a user opens a specially crafted Microsoft Office file. An attacker who successfully exploited the vulnerabilities could run arbitrary code in the context of the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

MS16-034 – Security Update for Windows Kernel-Mode Driver to Address Elevation of Privilege
Severity: Important

Affected Software
  • Windows Server 2008 SP2 and Windows Server 2008 R2 SP1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows Vista SP2
  • Windows 7 SP1
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
CVE-2016-0093 – Win32k Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Behavioral Analysis

Description: This security update resolves vulnerabilities in Microsoft Windows. The vulnerabilities could allow elevation of privilege if an attacker logs on to the system and runs a specially crafted application.


www.wecloud.se
info@wecloud.se

Så lär du dina användare att skydda sig mot ransomware

Med minut-färska virus finns risken att säkerhetsfunktioner och antivirusprogram misslyckas att detektera skadlig kod, något som blir allt mer kännbart för svenska verksamheter. Skaldskydd, policy och antivirus är viktiga delar i det preventiva arbetet, men glöm inte bort att informera användarna om hoten och hur de själva kan minska riskerna.

Det senaste året har malware-infektionerna duggat tätt bland svenska verksamheter. Framförallt har många råkat ut för s.k. ransomware som krypterar filer på både den egna datorn och på verksamhetens delade resurser. Den stora utmaningen är den höga frekvensen av helt nya hot som initialt inte detekteras med traditionella antivirusprogram.




WeCloud har publicerat flera artiklar som beskriver preventiva åtgärder som t.ex. policy för vilka filtyper som ska tillåtas för användarna, beteendebaserade antivirussystem och regler för bilagor i e-posten. Utöver de tekniska åtgärderna har WeCloud sammanställt ett antal punkter som kan användas för att utbilda och informera slutanvändare och därmed minska risken att bli infekterad. 

Skadliga filer
Iakttag största försiktighet om du, via e-post eller nedladdning från webben, mottagit körbara filer. Körbara filer har oftast en av följande filändelser: EXE, COM, SCR, JS, JSE, MSI, VB, eller VBS. Lär dig att känna igen och identifiera körbara filer - de kan ofta vara kamouflerade som en PDF-fil eller Word-dokument. Du kan se filtypen genom att högerklicka på filen och välja "Egenskaper", på egenskapsfliken ser du "filtyp".

E-post
Det är väldigt enkelt att förfalska avsändaren i ett e-postmeddelande. Om du misstänker att något är konstigt ska du vara noggrann med att titta på vilken adress som kommer upp i mottagarfältet om väljer att svara på meddelandet. E-post som ser ut som om den kommer från en kollega, organisation eller ett företag kan vara ett sätt att lura dig att öppna en bifogad fil eller uppge inloggningsuppgifter och annan information. 

Länkar
Ett klick på en skadlig länk kan i värsta fall leda till att din dator infekteras med skadlig kod. Om du mottar länkar i e-postmeddelanden bör du vara extra försiktig. Om du t.ex. klickar på en länk som ska ta dig till en känd webbsida bör du alltid kontrollera att webbadressen fortfarande stämmer i URL-fältet innan du lämnar några uppgifter eller loggar in på sidan.

Office-dokument
Även Office-dokument kan innehålla skadlig kod. Om du mottagit ett Office-dokument från en okänd avsändare bör du vara försiktig. Ikonen kan se ut som en Office-fil men kan vara förfalskad. Kontrollera att filen verkligen är ett Office-dokument genom att högerklicka på filen och välj "Egenskaper", på egenskapsfliken ska "filtyp" vara antingen DOCX, XLSX eller PPTX om det är ett äkta Microsoft Office-dokument. Anges en annan filtyp bör du kontakta din tekniska support innan du öppnar filen.

Makron
Makron är små skript som är till för att automatisera vissa funktioner i dokument och kalkylark. Vissa dokument (främst Office-dokument) kan innehålla makron. Det är relativt ovanligt och nyare versioner av Word och Excel varnar tydlig innan makron aktiveras. Tillåt aldrig att ett makron aktiveras om du är osäker.

Uppdateringar av mjukvara
Vissa program öppnar ibland en dialogruta för att fråga om du vill uppdatera programmet. Det finns många förfalskningar som vill få dig att tro att de är ett äkta program som ska uppdateras, men är i själva verket ett försök att lura dig att hämta skadlig kod. Rådgör alltid med teknisk support innan du accepterar uppdateringar.

Fråga hellre en gång för mycket
Det är i vissa fall väldigt svårt att avgöra "äktheten" på webbsidor, filer och e-post. Om du är osäker på en webbsida, e-postmeddelande eller ett dokument bör du alltid kontakta din tekniska support.

Ladda ned dessa råd som en PDF-fil här. Informationen är inte upphovsrättsskyddad och får kostnadsfritt spridas vidare.

www.wecloud.se
info@wecloud.se

tisdag 8 mars 2016

Ransomware för Mac är nu verklighet

Redan under förra året rapporterade WeCloud om Rafael Marques test av ransomware för Mac. Nu hotas Mac-användarna av flera skarpa versioner som, på samma sätt som i Windows-baserade system, krypterar filer och kräver en lösensumma.

Under de första dagarna i mars upptäcktes en ransomware för Mac OSX i den populära bittorrentapplikationen "Transmission". Installationsfilerna för applikationen, ,som fanns tillgängliga på Transmissions hemsida, var infekterade med en ransomwarekod.

Om applikationen installerades på Mac OS krypterade koden användarens filer och krävde en lösensumma motsvarande cirka 3.500 kronor för att återställa filerna. Apple rekommenderar att de användare som laddat ned Transmission 2.90 omedelbart uppdaterar till version 2.92.




Den nyupptäckta ransomwarekoden kallas för "Kerange" och var signerad med ett giltigt utvecklingscertifikat från Apple, därför var det möjligt att kringgå Apples Gatekeeper-skydd. Sidan som spred de infekterade filerna har på något sätt hackats och det nedladdningsbara innehållet byttes ut mot infekterade versioner. Det är ännu inte känt hur sidan hackades.

För att skydda sin miljö mot den ransomware krävs ofta mer än traditionella antivirusprogram, som ofta inte hunnit uppdateras då nya varianter av de skadliga koderna publiceras i snabb takt. 

En enkel och effektiv metod att minimera riskerna för att infekteras är att införa striktare policys för vilka filtyper användare får ladda ned, och tuffare policy för vilka filtyper som får tas emot via e-post. Genom att blockera exekverbar kod och skript-filer kan även okända ransomware-koder blockeras.

Läs mer om hur enkla policys i ditt skalskydd radikalt kan minska riskerna för att bli infekterad oavsett operativsystem.

www.wecloud.se
info@wecloud.se