Microsofts månatliga säkerhetsuppdateringar för augusti 2023

Microsoft har släppt sina månatliga säkerhetsuppdateringar för augusti månad. Uppdateringen rättar 74 sårbarheter varav sex anses kritiska. [1]

Microsoft varnar för att två av sårbarheterna som adresseras i uppdateringen har utnyttjats som nolldagssårbarheter. En av dessa är en så kallad Office Defence in Depth-uppdatering som förhindrar att angripare utnyttjar en sårbarhet (CVE-2023-36884) som rättades i juli. Sårbarheten gör det möjligt för en angripare att med hjälp av specialutformade Microsoft Office-dokument att kringgå säkerhetsfunktionen Mark of the Web i Windows och på så sätt lura användaren att öppna filer med skadlig kod utan att få en säkerhetsvarning. Den andra är en sårbarhet (CVE-2023-38180) i ASP .NET som kan utnyttjas för överbelastningsangrepp mot .NET-applikationer och Visual Studio. [2,3]

Utöver dessa rättas sex kritiska sårbarheter i Microsoft Outlook, Microsoft Teams samt i operativsystemfunktionen Microsoft Message Queuing som gör det möjligt att fjärrköra skadlig kod på sårbara system.

En av de sex sårbarheter som rättats i Microsoft Exchange Server har av Microsoft bedömts som viktig (important) trots att den får CVSS-klassningen 9,8 (CVE-2023-21709). Skälet som Microsoft anger är att framgångsrika angrepp är mindre sannolika då de förutsätter så kallade brute force-angrepp.

Påverkade produkter

För en komplett lista över produkter som uppdateras denna månad, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast installera säkerhetsuppdateringarna, samt att i övrigt följa Microsofts rekommendationer.

Källor

[1] https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV230003
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180

EU-kommissionen har fattat beslut om adekvat skyddsnivå för USA –

I dag har EU-kommissionen fattat beslut om adekvat skyddsnivå för USA.

Beslutet innebär att överföringar som sker till organisationer som omfattas av ”EU-US Data Privacy Framework” nu kan ske utan att lämpliga skyddsåtgärder, såsom standardavtalsklausuler, behöver vidtas enligt artikel 46 i dataskyddsförordningen.

En överföring som stödjer sig på ett adekvansbeslut behöver inte heller kompletteras av ytterligare skyddsåtgärder.

Oklarheter kvarstår för offentliga aktörer

Trots överenskommelsen mellan EU-kommissionen och USA kvarstår oklarheter i den praktiska rättstillämpningen av avtalet. För kommuner, regioner och statliga myndigheter kommer osäkerheten att om avtalets rättsliga ställning i medlemsländerna att leda till en fortsatt stram tillämpning av bl a artikel 46. Troligtvis behöver beslutet om en ny adekvat skyddsnivå att behöva prövas rättsligt i högsta instans.

Dataskyddsjurist hotar med rättslig prövning

En av USA:s ledande dataskyddsjurister Max Shreams uppger att han är mycket kritisk till avtalet som han menar kan öppna för massövervakning av amerikaner i USA. Han förväntar sig vidare att avtalet kommer att prövas rättsligt av en domstol.

Läs mer om Adekvat. skyddsnivå

Pressmeddelande från EU-kommissionen

Apple rättar tre nolldagssårbarheter

Apple har släppt säkerhetsuppdateringar som rättar sårbarheter i flera versioner av företagets operativsystem samt i webbläsaren Safari. Bland dessa finns tre sårbarheter som enligt Apple kan ha utnyttjats som nolldagssårbarheter. [1]

Den ena (CVE-2023-32434) gör det möjligt för en angripare att köra godtycklig kod på kernelnivå. Den andra (CVE-2023-32435) kan uttnyttjas för att att med hjälp av specialutformat webbinnehåll fjärrköra godtycklig kod i webbkomponenten WebKit. Den sista är en sårbarhet i webbläsaen Safari som även den gör det möjligt att fjärrköra godtycklig kod med hjälp av specialformat webbinnehåll. Ingen av sårbarheterna har fått en CVSS-klassning ännu.

Påverkade produkter

iOS 16 före 16.5.1
iOS 15 före 15.7.7
iPadOS 16 före 16.5.1
iPadOS 15 före 15.7.7
macOS Ventura före 13.4.1
macOS Monterey före 12.6.7
macOS Bug Sur före 11.7.8
watchOS 9 före 9.5.2
watchOS 8 före 8.8.1
Safari före 16.5.1

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt.

Källor

[1] https://support.apple.com/en-us/HT201222

Källa: CERT.se

CERT-SE:s veckobrev v.25

Lite kortare veckobrev denna kortvecka. Glad midsommar önskar CERT-SE!

Nyheter i veckan

CISA Order Highlights Persistent Risk at Network Edge (15 jun)
https://krebsonsecurity.com/2023/06/cisa-order-highlights-persistent-risk-at-network-edge/

Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks (16 jun)
https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/
..
Microsoft bekräftar: ddos-attacker bakom störningar för Azure och Outlook (19 jun)
https://computersweden.idg.se/2.2683/1.779468/microsoft-bekraftar-ddos-attacker-bakom-storningar-for-azure-och-outlook

This new malware is proving quite popular… and dangerous (19 jun)
https://www.techradar.com/news/this-new-malware-is-proving-quite-popular-and-dangerous

Researchers Discover New Sophisticated Toolkit Targeting Apple macOS Systems (19 jun)
https://thehackernews.com/2023/06/researchers-discover-new-sophisticated.html

Moveit hack: attack on BBC and BA offers glimpse into the future of cybercrime (19 jun)
https://theconversation.com/moveit-hack-attack-on-bbc-and-ba-offers-glimpse-into-the-future-of-cybercrime-207670

European Investment Bank hit by cyber attack after Russian hackers vow to bring down financial system (19 jun)
https://www.telegraph.co.uk/business/2023/06/19/european-investment-bank-cyber-attack-russian-hackers/

Ransomware gang preys on cancer centers, triggers alert (20 jun)
https://www.scmagazine.com/news/ransomware/ransomware-cancer-center-alert

Rorschach Ransomware: What You Need to Know (20 jun)
https://www.darkreading.com/attacks-breaches/rorschach-ransomware-what-you-need-to-know

Massive Leak Of ChatGPT Credentials: Over 100,000 Accounts Affected (20 jun)
https://www.searchenginejournal.com/massive-leak-of-chatgpt-credentials-over-100000-accounts-affected/489801/
..
100K+ Infected Devices Leak ChatGPT Accounts to the Dark Web (20 jun)
https://www.darkreading.com/application-security/100k-infected-devices-leak-chatgpt-accounts-dark-web

Informationssäkerhet och blandat

JPL Creates World’s Largest PDF Archive to Aid Malware Research (14 jun)
https://www.jpl.nasa.gov/news/jpl-creates-worlds-largest-pdf-archive-to-aid-malware-research

Food Producers Band Together in Face of Cyber Threats (15 jun)
https://www.wsj.com/articles/food-producers-band-together-in-face-of-cyber-threats-8aa2e3ca

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads (20 jun)
https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads/

Improve Your Security Posture With MANRS (20 jun)
https://www.manrs.org/2023/06/improve-your-security-posture-with-manrs/

CERT-SE i veckan

Apple rättar tre nolldagarssårbarheter

Sårbarhet i VMware Aria Operations Networks exploateras aktivt

Kritisk sårbarhet i Zyxel NAS

Över 1.000 cyberattacker mot hälsa- och sjukvård

Hälsa- och sjukvården utsattes för 1.039 cyberattacker det senaste halvåret, enligt cybersäkerhetsbolaget Checkpoint. Attackerna har bl a drabbat larmanordningar som äldre och funktionshindrade fått installerade för att kunna larm personal i nödsituationer. Andra attacker har riktat sig mot sjukhusens hemsidor genom att förövarna utför överbelastningsattacker. Åter andra IT-incidenter handlar om s k spoofing och phishing.

Hyltes trygghetslarm slutade fungera

I Hylte kommun orsakade en cyberattack den 23 mars mot en underleverantör ett allvarligt avbrott i kommunens trygghetslarm. Kommen har beredskap för att hantera en sådan händelse. Man kallade in extra personal, tog kontakt med alla brukare och inrättade ett särskilt nödnummer dit man som brukare kunde ringa om man behövde hjälp. I efterhand har kommunen kunnat konstatera att inga incidenter rapporterats.

Regelbundna övningar

Varje år övar kommunen på ett scenario där en krissituation uppstår i någon samhällsviktig funktion eller tjänst. Förra året var scenariot ett nationellt strömavbrott orsakat av en cyberattack mot elsystemet. Under övningen uppstår olika oväntade händelser som successivt blir allt mer besvärliga att hantera. En av de funktioner som slutade att fungera var just trygghetslarmen.

Genom att man övat på en sådan händelse hade alla den i färskt minne vilket gjorde att man snabbt kunde agera för att säkerställa att alla invånare med trygghetslarm kunde känna sig trygga om de behövde akut hjälp i hemmet.

Personuppgiftsläcka hos leverantören

När leverantören drabbades av cyberattacken konstaterade denne också att personuppgifter hade läckt till angriparen. En sådan händelse är desto svårare att hantera eftersom man som kommun inte har kontroll över skeendet. I Hylte följde man de riktlinjer och rutiner som finns genom att utreda och anmäla händelsen till IMY (Integritetsskyddsmyndigheten). Kommunens egen utredning visade att de personuppgifter som läckt var av låg känslighet ur integritetsskyddssynpunkt.

Specialistfunktioner samordnade riskanalys

När en personuppgiftsincident sker i en kommun involveras flera olika specialist- och stödfunktioner. Det handlar om informationssäkerhetssamordnare, dataskyddsombud, säkerhet- och beredskapsfunktionen, IT, jurist, berörda versamhetschefer och även kommundirektören. Om man misstänker att det skett en personuppgiftsläcka ska man inom 72 timmar anmäla händelsen till IMY från det man fått kännedom om incidenten. Eftersom flera funktioner behöver involveras är tidsfristen relativt tight. Det gäller att ha rätt prioriteringar och alla gör det som behöver göras.

Framgångsfaktorer

Det är viktigt att ha tydliga riktlinjer och rutiner. Nyckelfunktioner behöver få tydliga mandat att agera för att minimera konsekvenserna av en cyberattack. Ensam är inte stark. Sök stöd och hjälp av varandra både inom organisationen och utanför organisationen. Jobbar man i en kommun eller region sök hjälp hos grannkommunen. Och naturligtivs är det viktigt att ta till vara de kompetenser som finns i verksamheten.

Ta reda på fakta. Verifiera! Fatta ett inriktningsbeslut. Agera utifrån vad ni vet men ta samtidigt med osäkerhetsfaktorer. Var beredd att ompröva beslut om ny information framkommer.

Läs mer

Informationssäkerhet, cybersäkerhet och säkra kommunikationer (MSB)

Informationssäkerhet.se (Myndighetsgemensam sida)

CERT.se (IT-incidentberedskap)

Kompetensutveckling

FI förordnar revisor efter it-incident i Swedbank

CET: 10.38

Finansinspektionen (FI) utser en revisor för att kartlägga den it-incident som inträffade hos Swedbank natten mellan 28 och 29 april och som medförde felaktiga saldon på kunders konton.

Förordnandet sker med stöd av 13 kap. 9 § lagen (2004:297) om bank- och finansieringsrörelse. Den förordnade revisorn har i uppdrag att kartlägga händelseförloppet som ledde fram till incidenten, hur incidenten hanterades och åtgärdades samt bankens kontroller och beredskap.

Revisorn kommer att dokumentera sina iakttagelser i en rapport till FI. FI beslutar därefter om vidare hantering.

Text: Finansinspektionen

Källa: Finansinspektionen

IMY inleder granskning av Klarna

CET: 22.26

Publicerad: 16 maj 2022Integritetsskyddsmyndigheten (IMY) har tagit emot ett antal klagomål från bland annat Tyskland och Finland mot Klarnas Checkout-tjänst och har nu därför inlett en tillsyn av bolaget.

IMY har tagit emot ett antal klagomål som rör Klarnas Checkout-tjänst. Klagomålen rör hur tjänsten hämtar och fyller i personuppgifter efter att köparen endast har fyllt i någon viss personuppgift. Vissa av klagomålen kommer från svenska användare medan andra klagomål kommer från användare i Tyskland och Finland.

– Dataskyddsförordningen, GDPR, stärker enskildas rättigheter. Bland annat har enskilda rätt att lämna in klagomål till sin nationella dataskyddsmyndighet. Sedan början av 2021 har IMY ett stort fokus på att utreda klagomål från enskilda, säger Ana Maria Orellana Zamorano, som deltar i granskningen av Klarna.

IMY ställer frågor till Klarna om sammanlagt tolv klagomål för att utreda om behandlingen av personuppgifter i samband med autoifyllnad av personuppgifter i Checkout-tjänsten är förenlig med bestämmelserna i dataskyddsförordningen. 

Text: IMY

Källa: IMY

GDPR-direktivet ger ingen absolut rätt till insamlade personuppgifter

Vi har nu levt med GDPR-direktivet i några år och under tiden har vi även fått en nygammal myndighet med ett bredare och tyngre uppdrag än tidigare, Integritetsmyndigheten (IMY). Denna myndighet har också fått kraftfulla sanktionsverktyg som har skrämt slag på många personuppgiftsansvariga.

Att GDPR ligger högt på företagens och myndigheters agenda märks tydligt i de anmälda personuppgiftsincidenter som varje vecka strömmar in till IMY. Lagen är tydlig med att blotta misstanken om att en personuppgiftsläcka kan ha inträffat måste anmälas till myndigheten.

Även hos allmänheten finns en stor medvetenhet om GDPR-lagen. Men har inte koll på när personuppgiftslagen och GDPR är tillämpliga. Många missförstår vad GDPR-direktivet innebär när det kommer till att få ut insamlade personuppgifter från t ex en arbetsgivare. En ganska stor del av de anmälningar som kommer till IMY är rena okynnesanmälningar som helt saknar grund.

En av de vanligare anmälningarna till IMY är när anställda eller uppdragstagare anmäler sin arbetsgivare eller uppdragsgivare för att de lagrar vissa typer av uppgifter.

Vilka uppgifter om dig får en arbetsgivare eller uppdragsgivare registrera?

Arbetsgivare och uppdragsgivare har ett legitimt behov av att registrera vissa personuppgifter om dig. Enligt lagen ska insamling av personuppgifter vara sakligt grundad i den egna verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för. Vilket behov arbetsgivaren har av uppgifterna och vad de ska användas till måste alltså vara klart redan vid insamlingen. Det innebär att uppgifter aldrig får samlas in slentrianmässigt, för att de kan vara “bra att ha”, eller omfatta fler personuppgifter än vad som faktiskt behövs.

Uppgifter om hälsa är en så kallad känslig personuppgift som har ett särskild skydd enligt dataskyddsförordningen. Uppgifter om t ex vaccination är en uppgift om hälsa. Utgångspunkten är att behandling av sådana personuppgifter är förbjuden. Det krävs särskilda skäl för sådan personuppgiftsbehandling. Det kan vara krav enligt lagstiftning, kollektivavtal eller motsvarande. Om sådana särskilda skyldigheter i arbetsgivarens verksamhet saknas är det inte tillåtet att registrera uppgifter om hälsa. Arbetsgivaren måste då finna ett annat stöd för sin behandling av känsliga personuppgifter.

Vilka uppgifter kan begäras ut?

Vilka uppgifter du kan få ut regleras i artikel 57.1 f i i Dataskyddsförordningen (GDPR). Det finns också en prejudicerande dom från Kammarrätten i Göteborg den 17 september 2019 med målnummer 1677-19. Innan du gör en anmälan till IMY kan det vara bra att först läsa på dataskyddsförordningen och läsa domen från Kammarrätten. Du kan också besöka IMY:s hemsida där man besvarar vanliga frågor eller ringa myndigheten.

En arbetsgivare eller uppdragsgivare är skyldiga att lämna ut en begriplig sammanställning av de register där dina personuppgifter förekommer. Den personuppgiftsansvariga ska också kunna ange för vilka ändamål uppgifterna samlats in. Om du anser att någon uppgift är felaktig kan du begära att uppgiften rättas. Du har alltså ingen självständig eller absolut rättighet att få kopior eller skärmbilder ur varje register där dina personuppgifter finns. Personuppgiftsansvariga kan välja att maska vissa uppgifter om det finns särskilda skäl. Personuppgiftsansvariga måste ha stöd i dataskyddsförordningen för att kunna göra det. Det kan t ex vara att de inverkar menligt på andras rättigheter och friheter (artikel 15.4). Det kan finnas vissa undantag i nationell lagstiftning som medger att undantag kan göras från kopian om personuppgifter (se lag 2018:18) med kompletterande bestämmelser i till EU:s dataskyddsförordning 5 kap, §§1-2. Det medför att personuppgiftsansvariga kan ta bort viss information (maska) innan uppgifterna lämnas ut till den registrerade.