Den anden tirsdag i måneden udkommer Microsoft med nye sikkerhedsopdateringer, “Patch Tuesday”, og ofte følger flere producenter som Oracle og Adobe efter.
Læs videre “Er Automatisering nøglen til effektiv sårbarhedshåndtering?”
NEJ er det korte svar…
Hvis du idag bruger et Vulnerability Management system som Qualys, vil du formentlig se, at ALLE dine windows enheder har sårbarheder med betegnelsen “Microsoft WinVerifyTrust Signature Validation Vulnerability “.
Såbarheden kan ikke patches automatisk med et Patch Management system.
Du skal ind og rette i Windows Registry. Noget som jo ikke løses med et traditionel Patch Management system, som Qualys tilbyder.
Så du skal have fat i hver enkelt enhed og opdaterere Registry:
Microsoft har meddelt, at de har genudgivet CVE-2013-3900 (maskin oversat tekst) for at informere kunder om tilgængeligheden af EnableCertPaddingCheck. Denne adfærd forbliver tilgængelig som en valgfri funktion gennem indstillingen af en registreringsnøgle, og er tilgængelig på alle understøttede udgaver af Windows, der er udgivet siden d. 10 december 2013.
Microsoft anbefaler, at forfattere af eksekverbare filer overvejer, at tilpasse alle signerede binære filer til den nye verifikationsstandard. Dette gøres ved at sikre, at de ikke indeholder overflødig information i WINCERTIFICATE-strukturen. Microsoft anbefaler også, at kunder tester denne ændring grundigt for at vurdere, hvordan den vil opføre sig i deres miljøer.
Ja, Qualys Cloud Threat DB player bekræfter, at hacker gruppen Conti forsøger at udnytte sårbarheden fra 2013 til inficering med Malware.
Hackergruppen “Conti,” også kendt som “Conti Ransomware” eller “Ryuk Conti,” er en kriminel organisation, der er specialiseret i ransomware-angreb. De er kendt for at udføre angreb, hvor de krypterer ofres filer. Derefter kræver de en løsesum (ransom) for at dekryptere dem og gøre dem tilgængelige igen. Hvis ofrene ikke betaler løsesummen, truer gruppen med at offentliggøre de stjålne data.
Så nej, det er ikke altid, at en sårbarhed kan udbedres, ved at installere software. Nogle gange skal der foretages ændringer “inde i maven” på operativsystemet. I dette tilfælde skal du rette i:
Der er ikke nogle Zero-day sårbarheder som skal opdateres i denne Microsoft Patch Tuesday.
Seks af de 94 sårbarheder, er klassificeret som kritiske og 70 af dem er vigtige.
Der var 17 Microsoft Edge sårbarheder, som blev frigivet tidligere på måneden.
| Sårbarheds kategori | Antal | Klassificering |
| Spoofing Vulnerability | 10 | Important: 9 |
| Denial of Service Vulnerability | 10 |
Critical: 1 Important: 9 |
| Elevation of Privilege Vulnerability | 17 |
Critical: 1 Important: 15 |
| Information Disclosure Vulnerability | 5 | Important: 5 |
| Remote Code Execution Vulnerability | 32 |
Critical: 4 Important: 24 |
| Security Feature Bypass Vulnerability | 3 | Important: 4 |
| Microsoft Edge (Chromium-based) | 17 |
Mere info hos Qualys – Microsoft Patch Tuesday, June 2023 Security
Den øgede digitalisering betyder, at den digitale risiko øges dag for dag.
Dagligt udgiver producenter opdateringer, der skal lukke de seneste sårbarheder.
Problemet er bare, at det er en uendelig rejse, at skulle opdatere software.
Der er lige nu ca. 192.000 kendte sårbarheder, men det er kun en mindre del af disse, der udgør en risiko for din virksomhed… hvilke?
Ligegyldig hvilket system man bruger til at finde og opdatere sine enheder med, vil overblikket i morgen vise endnu flere opdateringer og sårbarheder end i dag.
Du kommer aldrig til at være 100% opdateret!
Hvis en kendt sårbarhed udnyttes til angreb NU, skal du selvfølgelig fokusere på denne, og ikke på sårbarheder der for nuværende ikke ses udnyttet.
Klient Sikkerheds opdateringer som browserne Chrome, Edge og standard applikationer som Microsoft Office bør man en gang for alle konfigurere, så de automatisk opdateres, efter at en sikkerhedsopdatering er frigivet.
Overvej at installere Microsofts månedlige tirsdags opdateringer automatisk på klienter.
Dit sårbarhedsystem skal hjælpe dig med at prioritere. Du skal ikke bare se på den risiko klassificering sårbarheden har fået, for en høj klassificering er ikke altid lig med en høj risko for dig.
Måske findes der endnu ikke en måde at udnytte sårbarheden på. Derfor er det vigtigt at dit Vulnerability Management og Patch Management system, kan fortælle dig hvilke sårbarheder der udnyttes her og nu, og risikoen for netop DIT setup.
Qualys har udgivet deres “2023 Qualys TruRisk Research Report”, der indeholder info baseret på anonymiserede data fra de mere end 2.4 milliarder sårbarheder, deres platform fandt hos kunderne.
Du kan hente rapporten her-> 2023 TruRisk Threat Research Report.
Onsdag d. 19 april fortalte både Google Chrome, Microsoft Edge, Brave og Vivaldi at deres browsere skal opdateres NU! Endnu zero-day sårbarhed blev konstateret, og udnyttes NU, og samme besked kom jo i fredags.
Læs videre “Endnu en solrig april morgen – Endnu en browser opdatering NU! ☕️ 💻”
De fleste Qualys kunder bruger idag Qualys Cloud Agenter til at indsamle Meta Data.
Qualys Cloud Agenter indsamler kontinuerligt Meta data som sendes til Qualys Portalen, så du altid kender din aktuelle risiko.
Fredag d. 2 december kom Google med den 9’ende Google Chrome Zero-day sårbarhed i 2022, og igen annoncerede Google denne sårbarhed lige op til en weekend.
Læs videre “Skal du bruge julen på endnu en Chrome Zero-Day opdatering?”
Google meldte torsdag ud, at der var fundet en sårbarhed i Google’s browser, som de bekræfter udnyttes af angribere nu.
Læs videre “Google Chrome Zero Day sårbarhed udnyttes”
Mange IT-afdelinger udvælger sikkerhedsopdateringer baseret på:
Problemet med denne prioritering er bare, at ingen af de ovennævnte kender lige netop dit setup og din valgte risiko profil.
Så hvis du altid fokuserer på 5’eren, så løber du en unødig stor risiko.
Fordi en 5’er hos dig måske slet ikke er kritisk. Måske kan en angriber slet ikke udnytte den i dit miljø, og måske har du nogle foranstaltninger i dit netværk, der gør, at det ikke ville skade dig, hvis den blev udnyttet.
Producenter angiver en generel prioritet, ikke en prioritet baseret på lige dit setup og din risiko appetit.
En af de vigtigste ting at tage med i din prioritering er:
Hvis den enhed, der er sårbar, befinder sig direkte på internettet, så kan en 3’er jo godt være en kæmpe risiko for netop din virksomhed.
Derfor handler det ikke bare om at fokusere på en 5’er.
Men om at fokusere på DIN risiko.
Hvis du vil høre mere om hvordan man kan få overblik over hvilke sårbarheder du bør fokusere på netop nu, så kontakt mig gerne for en dialog på enten [email protected] eller 4025 3921.
Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.
Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.
Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.
Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.
I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.
Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.
Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:
Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!
Så kontakt mig på 4025 3921 eller [email protected]
D. 28 juli 2021 offentliggjorde det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) en advarsel, der beskriver de 30 mest kendte sårbarheder, der rutinemæssigt er blevet udnyttet til angreb i 2020 og 2021. Organisationer rådes til at prioritere sikkerhedsopdatering af disse sårbarheder så hurtigt som muligt.
Læs videre “CISA advarsel: Disse sårbarheder udnyttes oftest.”
Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.
Dine filer bliver krypteret, så du ikke længere kan læse dem
Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.
Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.
Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.
Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.
Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.
For at hjælpe kunder med at udnytte integration mellem Qualys VMDR og Patch Management, og reducere tiden med opdatering af kritiske sårbarheder, har Qualys Research-team nu annonceret en månedlig webinarserie “Denne måneds opdateringer.”
Læs videre “Qualys Webinar om aktuelle sårbarheder og hvordan du prioriterer og udbedrer dem.”
“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “
Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.
Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.
For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.
Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.
Der var endda også spil, som blev afviklet via flash.
Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.
Så der er gjort en del for at forhindre, at flash ikke længere er et problem.
Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.
Ved du hvor mange af dine enheder, der har Flash installeret?
Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.
Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.
Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.
Jeg tilbyder virksomheder implementerring af Qualys VMDR.
Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.
Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.
Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.
Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.
Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.
I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.
Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.
“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.
Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.
Ifølge en blog post fra Microsoft peger de på Kina.
Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.
Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.
Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View
Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via [email protected] eller 40253921.
Microsoft udgave d.12 april gav oplysninger om 111 nye sikkerhedshuller i Windows. Ingen af disse er endnu udnyttet, men du bør stadig planlægge en opdatering af dine enheder.
Læs videre “Skal du altid opdatere kritiske sårbarheder?”
Mandag d. 3 feb 2021 om morgen fik brugere af Microsoft Teams, som er Microsoft’s bud på en samarbejdsapp, og konkurrent til Slack og Google Hangouts, besked om login problemer via HTTPS til Microsoft servere.
Læs videre “Microsoft glemte og forny et certifikat – Brugere kunne ikke bruge Teams”
Qualys introducerede en ny samlet platform Qualys VMDR – Vulnerability Management, Detection, og Response.
Læs videre “Qualys VMDR — en samlet platform med Vulnerability Management, Detection, og Response”
