tisdag 23 maj 2017

PDF sprider ransomware i skuggan av WannaCry

Under fredagen den 12:e maj spreds WannaCry snabbt världen över. Den skadliga programvaran fick stor spridning och krypterade användarens filer för att kräva en lösensumma. WeCloud avslöjar nu en parallell attack där ransomware spreds via e-post i stor skala under samma period som WannaCry uppmärksammades.

Det är ännu inte bekräftat hur WannaCry initialt spreds. När ett Windows-system väl infekterats skannar WannaCry det lokala nätverket och sprider sig till andra enheter på nätverket över TCP-port 445 (Server Message Block / SMB) för att kryptera filer som är lagrade på dem och kräva en lösensumma i form av Bitcoins.



WeCloud, som dagligen skannar miljontals e-postmeddelanden, upptäckte under dagarna för WannaCry's framfart ett avvikande mönster i e-posttrafiken. Tusentals e-postmeddeladnen innehållande en skadlig PDF stoppades av WeClouds filter. Den totala mängden stoppad malware mångdubblades den 11:e och 12:e maj.

Den bifogade PDF-filen innehåller en DOCM-fil som, om användaren tillåter, startar ett makro som i sin tur laddar ner en krypterad fil, de-krypterar den och exekverar den. Programmet krypterar användarens filer och kräver en lösensumma om cirka 32.000 kr för att återställa filerna.



WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också:

www.wecloud.se
info@wecloud.se

tisdag 16 maj 2017

Nyheter i WeCloud Email Security

WeCloud Email Security, ett system för e-postsäkerhet, antispam, antivirus och kontroll för e-postflödet, utökas i och med den nya uppdateringen med flera unika funktioner som ytterligare förbättrar och förenklar kvalité och funktionalitet i systemet.

WeCloud Email Security är en av Skandinaviens ledande lösningar för e-postsäkerhet och garanterar att alla datacenter där e-post och kundinformation behandlas finns inom Sveriges gränser.

De nya funktionerna, som introduceras den 18:e maj, innehåller bland annat en helt ny statistikmodul som ger förbättrad insikt i både trender och detaljer. Dessutom tillkommer många andra funktioner, t.ex. 2-faktorsautentisering, IP-baserad begränsning av åtkomst och möjlighet att detektera Office-dokument som innehåller makron.


Ny statistikmodul ger bättre översikt

Med den nya uppdateringen förbättras även whitelabeling och möjligheterna att anpassa karantänrapporterna för slutanvändare. Uppdateringen är schemalagd till torsdagen den 18:e maj. Kontakta gärna WeCloud Support om du har frågor runt de nya funktionerna eller vill ha hjälp med att konfigurera tjänsten.

måndag 15 maj 2017

WeCloud hjälper dig att stoppa WannaCry

De senaste dagarnas ransomware-attack påvisar vikten av att snabbt ta del av uppdateringar och patchar. WeCloud utvecklar och distribuerar lösningar för webbsäkerhet, mobil säkerhet, antispam, antivirus och övervakning i molnet. Med WeClouds molnbaserade säkerhetstjänster kan alla verksamhetens användare skyddas i realtid oavsett tid, plats och klientplattform.

WeClouds säkerhetslösningar har tack vare sin molnbaserade modell tidigt kunna ta del av säkerhetsuppdateringar som identifierar den nya skadliga koden WannarCry. Läs mer om hur WeClouds molnbaserade AntiVirus, E-postsäkerhet och Webbsäkerhetslösning identifierar och stoppar WannaCry.

Webroot SecureAnywhere (Endpoint Protection)


Webroot SecureAnywhere skyddar dig för närvarande från WannaCry ransomware.
Även om WannaCry för närvarande orsakar kaos över hela världen, liknar den skadliga koden sig ransomware som Webroot tidigare identifierat. Läs mer här...


Zscaler Internet Security (Internet Gateway Security)


Zscaler har lagt till flera signaturer och indikatorer för att blockera ursprungliga payloads liksom efterföljande infektionsaktivitet som följt attacken för att hjälpa organisationer med saneringsåtgärder. Läsa mer här...


WeCloud Email Security


WeCloud Email Security stoppar kända versioner av WannaCry. För att förstärka skyddet mot ny okänd malware kan misstänkta e-postmeddelanden fördröjas och skannas upprepade gånger innan det godkänns för leverans. Läs mer här...


De 25 mest kända versionerna av WannaCry som fångats upp av Webroot:

4BB0DB7B5DEA5A5F7215CABE8F7155AF (W32.Ransom.Wannacry) 
F94429CC043169462D34EDD14117DDD2 (W32.Ransom.Wannacry) 
F107A717F76F4F910AE9CB4DC5290594 (W32.Ransom.Wanacryptor) 
54A116FF80DF6E6031059FC3036464DF (W32.Ransom.Wannacry) 
3C6375F586A49FC12A4DE9328174F0C1 (W32.Ransom.Wannacry) 
246C2781B88F58BC6B0DA24EC71DD028 (W32.Ransom.Wannacry) 
5BEF35496FCBDBE841C82F4D1AB8B7C2 (W32.Ransom.Wannacry) 
D937086367935BB125F1AD49B2CAE2C4 (W32.Ransom.Wannacry) 
9A29404FACEC04347E7A74691B61039B (W32.Ransom.Wannacry) 
27CB59DB5793FEBD7D20748FD2F589B2 (W32.Ransom.Wannacry) 
AA776B1233C2D33DED9DFA0FE17FC48F (W32.Ransom.Wannacry) 
80A2AF99FD990567869E9CF4039EDF73 (W32.Ransom.Wannacry) 
05A00C320754934782EC5DEC1D5C0476 (W32.Ransom.Wannacry) 
638F9235D038A0A001D5EA7F5C5DC4AE (W32.Ransom.Wannacry) 
C39ED6F52AAA31AE0301C591802DA24B (W32.Ransom.Wannacry) 
7F2BC30723E437C150C00538671B3580 (W32.Ransom.Wannacry) 
31DAB68B11824153B4C975399DF0354F (W32.Ransom.Wannacry) 
FF81D72A277FF5A3D2E5A4777EB28B7B (W32.Ransom.Wannacry) 
8621727CDE2817D62209726034ABD9D3 (W32.Ransom.Wannacry) 
DB349B97C37D22F5EA1D1841E3C89EB4 (W32.Ransom.Wanacryptor) 
46D140A0EB13582852B5F778BB20CF0E (W32.Ransom.Wannacry) 
5D0B6584A6D508DF278315C0CAC2F5C7 (W32.Ransom.Wannacry) 
97C5205C3CBD1840B26A97D8935E6FC1 (W32.Ransom.Wannacry) 
BEC0B7AFF4B107EDD5B9276721137651 (W32.Ransom.Wannacry) 
EB87BBB7E22FF067D303B745599FB4B7 (W32.Ransom.Wannacry) 

Täta säkerhetshålet i din Windows-version
WannaCry spred sig genom en sårbarhet i Windows. Microsoft har sedan mars haft en fix som tätar säkerhetshålet och har i samband med WannaCry-attacken släppt en fix även för äldre osupporterade operativsystem. Hämta uppdateringen för ditt operativsystem här om du inte redan har den:


Windows Vista x64 - http://download.windowsupdate.com/...

Läs också:

www.wecloud.se
info@wecloud.se

lördag 13 maj 2017

Ny ransomware-attack får enorm spridning



En stor ransomware-attack har påverkat många verksamheter i både Sverige och övriga världen, bland annat verkstadsbolaget Sandvik, Timrå kommun, National Health Service i Storbritannien och FedEx i USA. Den skadliga programvaran som fått stor spridning och ligger bakom attacken är en ransomware-variant som kallas WannaCry.

När ett Windows-system infekterats får WannaCry möjlighet att skanna nätverket och sprida sig till andra enheter på nätverket över TCP-port 445 (Server Message Block / SMB) för att kryptera filer som är lagrade på dem och kräver en lösenbelopp i form av Bitcoin.

Verksamheter bör se till att enheter som kör Windows är uppdaterade med de senaste patcharna från Microsoft. SMB-portar (139, 445) bör vara blockerade för åtkomst från externa enheter.

"Som de flesta moderna attacker verkar även denna attack bygga på flera steg, där både e-post, web och sårbarheter i klientens operativsystem utnyttjas. För att minimera riskerna bör man försökra sig om att ha fungerande säkerhetslösningar för både e-post, web-gateway och klient. Men lika viktigt är att anpassa säkerhetslösningarna så att de passar verksamheten", säger Rikard Zetterberg, VD på WeCloud. 

"Som säkerhetsleverantör kan vi aldrig lova 100% skydd, men på WeCloud arbetar vi aktivt med att informera och hjälpa våra kunder att använda och anpassa våra säkerhetslösningar så att de ger bästa möjliga skydd", säger Rikard.

WeClouds molnbaserade säkerhetslösningar; Email SecurityWeb Security och SecureAnywhere Endpoint Security identifierade tidigt attacken och stoppar i nuläget kända varianter av den skadliga koden. WannaCry-attacken är fortfarande under utredning och situationen kan förändras snabbt. WeCloud fortsätter att aktivt övervaka och analysera utvecklingen.

Den sårbarhet i Windows som låter den skadliga koden sprida sig från dator till dator kan åtgärdas med följande patch: MS17-010.

WeCloud utvecklar och distribuerar lösningar för webbsäkerhet, mobil säkerhet, antispam, antivirus och övervakning i molnet. Med WeClouds globala säkerhetsplattform utökas kundens säkerhet utan investeringar i hård- eller mjukvara. Genom WeClouds molnbaserade säkerhetstjänster kan alla verksamhetens användare skyddas i realtid oavsett tid, plats och klientplattform. 

Läs också:




www.wecloud.se
info@wecloud.se

tisdag 25 april 2017

"Pump & Dump" bakom massiv spamvåg

Under måndagen noterades världen över en topp i mängden spam, så mer än 100 gånger mer spammeddelanden än normalt skickades ut under några timmar. Spammeddelandena tipsade om en Amerikansk aktie som förutspåddes öka i värde de närmsta dagarna.

WeCloud övervakar kontinuerligt spamflödet för tusentals verksamheter och utvecklar löpande nya teknik för att filtrera bort den oönskade e-posten. Den extrema spamvågen noterades av många spamfilter i hela världen och under en kort tid skickades mer än 100 gånger fler spammeddelanden än vid normalt spamflöde. Under topparna utgjorde dessa spam mer än 80% av världens totala spam.


Under måndagen skickades enorma mängder spam ut

Spammedelandena tipsar mottagaren om en förestående aktieaffär, där Pfizer påstås ha lagt ett bud på det börsnoterade företaget Quest Management Inc (QSMG) och att aktiekursen därför kommer stiga med dramatiska 5000% de närmsta dagarna. QSMG är ett Amerikanskt företag som omsätter några tusen dollar i kvartalet.


Trots att spammeddelandet var lögn ökade aktiens kurs kraftigt

Löftet om det förestående uppköpet och dramatiska ökningen av aktiens värde är en lögn, men genom den massiva spam-kampangen har aktien ökat i värde med cirka 40%. Kort innan den massiva spamvågen startade noterades ett köp av 26.000 aktier, troligtvis av den/de som ligger bakom utskicket. Metoden kallas "Pump & Dump" och har använts länge för att manipulera olika aktiekurser.

Klicka på bilden för att läsa den falska aktienyheten

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också:


info@wecloud.se
www.wecloud.se

måndag 24 april 2017

Massiv spamvåg drabbar hela världen

Under måndagen noterade WeClouds tekniker en massiv spamvåg, cirka 100 gånger större volym än normala spamflödet. Skräpposten skickas till största del från botnets och försöker få mottagaren att investera i en aktie som sägs stiga kraftig de närmsta dagarna.



WeClouds tekniker uppmärksammade en massiv spamvåg under måndagen

De ovanligt stora volymerna spam noterades först runt klockan 9 på måndag morgon, för att nå sin topp cirka klockan 10, därefter har volymen minskat något. WeCloud övervakar kontinuerligt spamflödet för tusentals verksamheter och utvecklar löpande nya teknik för att filtrera bort den oönskade e-posten.

Spamvågen innehåller till största del så kallad "aktie-spam"; e-post meddelanden som syftar till att höja eller sänka kursen på en viss aktie. Meddelandet försöker få användaren att tro att denne fått ta del av "insiderinformation" och därmed väljer att investera i aktien som utlovas stiga 30 gånger mot nuvarande pris inom 2-3 dagar. 


"Aktiespam" vill få mottagaren att investera

Den massiva spamvågen skickas från tusentals olika IP-adresser och tros vara en koodrinerat utskick från ett eller flera botnets. Ett botnet är ett nätverk av kapade datorer som infekterats av med skadlig kod. Dessa datorer ansluter till en central nod där de tilldelas uppgifter att utföra, till exempel att skicka ut spam eller utföra DDoS-attacker.


SpamCop visar en dramatisk ökning av spam

Dagens spamvåg är världsomfattande och har uppmärksammats av bl.a. SpamCop som är en av de mest använda svartlistorna som används av många spamfilter för att blockera IP-nummer som gjort sig kända för att skicka ut skräppost.

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.


Läs också:





info@wecloud.se
www.wecloud.se

tisdag 18 april 2017

Whitepaper: Så läser du och förstår email headers

I ett nytt whitepaper beskriver och förklarar WeCloud e-postheaders. Dokumentet är framtaget för att öka förståelsen runt e-post och vilken roll headers spelar i e-postkommunikationen.




WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

onsdag 12 april 2017

Falska Dropbox-meddelanden sprider skadlig kod

Efter den senaste tidens attacker som byggde på länkar till den legitima molntjänsten Dropbox dit skadlig kod laddats upp tar nu bedragarna nya tag. I de senaste dagarnas e-postflöde har WeCloud noterat en betydande ökning av falska Dropbox-meddelanden som försöker infektera användaren med ny skadlig kod.

Under mars månad noterade WeCloud flera e-postattacker som innehöll länkar till den legitima molntjänsten Dropbox. Klickade mottagarna på länken hämtades en skriptfil som i sin tur laddade ner olika varianter av Cryptolocker.

Under den senaste veckan har bedragarna bytt strategi. Med falska e-postmeddelanden, som utger sig komma från Dropbox, får mottagaren en notifikation om att någon skickat ett dokument via Dropbox samt en länk för att hämta dokumentet.



I de senaste attackerna leder länken till hackade hemsidor i Tjeckien där ett PHP-skript väntar för att försöka infektera användaren med skadlig kod. De flesta varianter av de förfalskade meddelandena stoppas i nuläget av WeCloud Email Security, och om den skadliga koden laddas hem stoppas den av WeClouds Cloud Antivirus - Webroot Endpoint Protection. 

Destinationerna för länken där den skaldiga filen lagras förändras dock snabbt och nya varianter dyker ständigt upp. Vill du försäkra dig om att skadlig kod inte kan laddas hem rekommenderar WeCloud att att man, utöver e-postfiltrering, även använder en lösning för att skanna innehållet i http och https-trafik.

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

Läs också:

www.wecloud.se
info@wecloud.se

Glöm inte dina oanvända domäner

Under det senaste året har många skandinaviska verksamheter utsatts för anpassade och riktade bedrägeriförsök via e-post. Epost-bedrägerierna utvecklas löpande och som avsändare används ofta domännamn som inte aktivt används av rättmätig ägare.

WeCloud har i flera artiklar förespråkat införandet av SPF-records, en kostnadsfri teknik, som låter omvärlden bekräfta att e-post från en viss domän är skickad från servrar som har rätta att använda domännamnet som avsändare.


Många verksamheter har flera domännamn registrerade, vissa av dem används t.ex. endast för en specifik webbsida, medans andra endast är en kvarleva från ett tidigare företagsnamn. Ofta används endast ett fåtal av de registrerade domännamnen för e-post.

Under de senaste månaderna har WeClouds tekniker noterat en ökning av "förfalskad" e-post som anger oanvända domännamn som avsändare, troligtvis för att de ofta saknar SPF-record.

Om din verksamhet har registrerat domännamn som inte aktivt används för e-post bör du ändå komma ihåg att upprätta SPF-records för dessa domäner. Ett sådant SPF-record kan ange att inga servrar eller IP-nummer ska ha rätt att använda domännamnet som avsändare i e-post och därmed försvåra för bedragarna att utnyttja domännamnet.


Ett SPF-record som talar om för omvärlden att ingen e-post bör accepteras från valt domännamn är mycket enkel att tillföra i DNS, den ser likadan ut oavsett domännamnet.

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också: 

www.wecloud.se
info@wecloud.se

Zscaler skyddar 16 säkerhetshål i Microsofts mjukvaror

Zscaler skyddar 16 nya sårbarheter i Microsoft Outlook, Windows Graphics och Graphics Component, .NET Framework , Windows, Windows Kernel, Microsoft Office, Microsoft Office Services och Web Apps, Microsoft Edge och Internet Explorer.

Som medlem i Microsoft MAPP får Zscaler information om säkerhetsproblem från Microsoft innan de offentliggörs via de månatliga säkerhetsuppdateringarna. Det avancerade skyddslagret i Zscaler används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter.

Zscaler samarbetar med Microsoft via MAPP-programmet och har proaktivt implementerat skydd mot en nyupptäckt sårbarhet som inkluderas i Microsoft security bulletins april 2017. 

CVE-2017-0106 – Microsoft Outlook Remote Code Execution Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 10
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2016
A remote code execution vulnerability exists in the way that Microsoft Outlook parses specially crafted email messages. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Exploitation of this vulnerability requires that a user open or preview a specially crafted email message with an affected version of Microsoft Outlook. In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted email message to the user and then convincing the user to preview or open the email. The update addresses the vulnerability by correcting the way that Microsoft Outlook parses specially crafted email messages.

CVE-2017-0155 – Windows Graphics Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Vista Service Pack 2
An elevation of privilege vulnerability exists in Windows when the Microsoft Graphics Component fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Microsoft Graphics Component handles objects in memory.

CVE-2017-0156 – Windows Graphics Component Elevation of Privilege Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7
  • Windows Server 2008 R2 Systems Service Pack 1
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
An elevation of privilege vulnerability exists in Windows when the Microsoft Graphics Component fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Microsoft Graphics Component handles objects in memory.

CVE-2017-0160 – .NET Remote Code Execution Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft .NET Framework 4.5.2
  • Microsoft .NET Framework 4.6
  • Microsoft .NET Framework 4.6.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.7
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 3.5.1
A remote code execution vulnerability exists when Microsoft .NET Framework fails to properly validate input before loading libraries. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights. To exploit the vulnerability, an attacker would first need to access the local system with the ability to execute a malicious application. The security update addresses the vulnerability by correcting how .NET validates input on library load.

CVE-2017-0165 – Windows Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
An elevation of privilege vulnerability exists when Microsoft Windows fails to properly sanitize handles in memory. An attacker who successfully exploited the vulnerability could run arbitrary code as System. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit the vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application designed to elevate privileges. The update addresses the vulnerability by correcting how Windows sanitizes handles in memory.

CVE-2017-0167 – Windows Kernel Information Disclosure Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
An information disclosure vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the user’s system. An authenticated attacker could exploit this vulnerability by running a specially crafted application. The update addresses the vulnerability by correcting how the Windows kernel handles objects in memory.

CVE-2017-0188 – Win32k Information Disclosure Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
A Win32k information disclosure vulnerability exists when the win32k component improperly provides kernel information. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system. To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted application. The security update addresses the vulnerability by correcting how win32k handles objects in memory.

CVE-2017-0189 – Win32k Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 10
An elevation of privilege vulnerability exists in Windows when the Windows kernel-mode driver fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Windows kernel-mode driver handles objects in memory.

CVE-2017-0192 – ATMFD.dll Information Disclosure Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows 2012 R2
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Vista Service Pack 2
  • Windows Server 2008
An information disclosure vulnerability exists in Adobe Type Manager Font Driver (ATMFD.dll) when it fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system. There are multiple ways an attacker could exploit the vulnerability, such as by convincing a user to open a specially crafted document, or by convincing a user to visit an untrusted webpage. The update addresses the vulnerability by correcting how ATMFD.dll handles objects in memory.

CVE-2017-0194 – Microsoft Office Memory Corruption Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Outlook 2007 Service Pack 3
  • Microsoft Excel 2010 Service Pack 2
  • Microsoft Office Compatibility Pack Service Pack 2
An information disclosure vulnerability exists when Microsoft Office improperly discloses the contents of its memory. An attacker who exploited the vulnerability could use the information to compromise the user’s computer or data. To exploit the vulnerability, an attacker could craft a special document file and then convince the user to open it. An attacker must know the memory address location where the object was created. The update addresses the vulnerability by changing the way certain functions handle objects in memory.

CVE-2017-0199 – Microsoft Outlook Remote Code Execution Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1 (Server Core Installation)
  • Windows Server 2008 Service Pack 2 (Server Core installation)
  • Microsoft Office 2007 Service Pack 3
  • Windows Server 2012
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016
  • Windows Vista Service Pack 2
A remote code execution vulnerability exists in the way that Microsoft Office and WordPad parse specially crafted files. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Exploitation of this vulnerability requires that a user open or preview a specially crafted file with an affected version of Microsoft Office. In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted file to the user and then convincing the user to open the file. The update addresses the vulnerability by correcting the way that Microsoft Office parses specially crafted files, and by enabling API functionality in Windows that Microsoft Office and WordPad will leverage to resolve the identified issue.

CVE-2017-0200 – Microsoft Edge Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Edge on Windows 10 Version 1607
A remote code execution vulnerability exists when Microsoft Edge improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that enables an attacker to execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by way of enticement in an email or Instant Messenger message, or by getting them to open an attachment sent through email. The security update addresses the vulnerability by modifying how Microsoft Edge handles objects in memory.

CVE-2017-0201 – Scripting Engine Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 9 on Windows Vista Service Pack 2
  • Internet Explorer 9 on Windows Server 2008 for 32-bit Systems Service Pack 2
  • Internet Explorer 9 on Windows Vista x64 Edition Service Pack 2
  • Internet Explorer 9 on Windows Server 2008 for x64-based Systems Service Pack 2
  • Internet Explorer 10 on Windows Server 2012
A remote code execution vulnerability exists in the way that the JScript and VBScript engines render when handling objects in memory in Internet Explorer. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. An attacker could also embed an ActiveX control marked "safe for initialization" in an application or Microsoft Office document that hosts the IE rendering engine. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit the vulnerability. The update addresses the vulnerability by modifying how the JScript and VBScript scripting engines handle objects in memory.

CVE-2017-0202 – Internet Explorer Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 11
A remote code execution vulnerability exists when Internet Explorer improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, the attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. The attacker could also take advantage of compromised websites, or websites that accept or host user-provided content or advertisements, by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by an enticement in an email or instant message, or by getting them to open an attachment sent through email. The update addresses the vulnerability by modifying how Internet Explorer handles objects in memory.

CVE-2017-0205 – Microsoft Edge Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Edge on Windows 10
A remote code execution vulnerability exists when Microsoft Edge improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that enables an attacker to execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by way of enticement in an email or Instant Messenger message, or by getting them to open an attachment sent through email. The security update addresses the vulnerability by modifying how Microsoft Edge handles objects in memory.

CVE-2017-0210 – Internet Explorer Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 11
  • Internet Explorer 10 on Windows Server 2012
An elevation of privilege vulnerability exists when Internet Explorer does not properly enforce cross-domain policies, which could allow an attacker to access information from one domain and inject it into another domain. The update addresses the vulnerability by helping to ensure that cross-domain policies are properly enforced in Internet Explorer. In a web-based attack scenario, an attacker could host a website that is used to attempt to exploit the vulnerability. In addition, compromised websites and websites that accept or host user-provided content could contain specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action. For example, an attacker could trick users into clicking a link that takes them to the attacker's site. An attacker who successfully exploited this vulnerability could elevate privileges in affected versions of Internet Explorer. The vulnerability by itself does not allow arbitrary code to be run. However, the vulnerability could be used in conjunction with another vulnerability (for example, a remote code execution vulnerability) that could take advantage of the elevated privileges when running arbitrary code. For example, an attacker could exploit another vulnerability to run arbitrary code through Internet Explorer, but due to the context in which processes are launched by Internet Explorer, the code might be restricted to run at a low integrity level (very limited permissions). However, an attacker could, in turn, exploit this vulnerability to cause the arbitrary code to run at a medium integrity level (permissions of the current user).

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

www.wecloud.se
info@wecloud.se