Publicerad: 2020-10-07 10:22

Risk för informationsläckage via publika tjänster för bedömning av filer

CERT-SE vill uppmana till försiktighet vid användning av publika tjänster för bedömning av potentiellt skadliga filer. Tjänsterna kan fylla en funktion för att enkelt bedöma om filer innehåller skadlig kod, men risken för oönskad informationsspridning är stor vid felaktigt användande.När en fil med potentiellt skadligt innehåll laddas upp till en publik tjänst för bedömning tar tillhandahållaren av tjänsten, exempelvis VirusTotal, VxStream eller Malwr, del av informationen. I många fall får även andra användare av tjänsten del av informationen. Det innebär att det finns en stor risk att känsliga uppgifter, så som personuppgifter, sprids. [1,2,3]Även angripare använder sig av de publika tjänsterna och kan komma att ta del av information som laddas upp. Det är särskilt relevant om angreppet riktar sig mot en specifik organisation eftersom angriparen då kan få reda på att angreppet upptäckts. Information som berör konfigurationer, lösenord eller annan känslig systeminformation bör aldrig spridas. [1,2,3]Ett alternativ till publika tjänster för bedömning av potentiellt skadliga filer är att köpa en privat tjänst som företrädelsevis körs lokalt [2,3]. Ett annat alternativ är en privat virtuell miljö med verktyg för att analysera skadlig kod. Om man vill använda en publik tjänst för bedömning av potentiellt skadliga filer bör man endast ladda upp en hash av filen för att undvika spridning av filens innehåll [4].

CERT-SE rekommenderar

CERT-SE rekommenderar att använda en privat tjänst eller miljö för att undersöka potentiellt skadliga filer, alternativt att endast ladda upp en hash av filen om man använder en publik tjänst.

Källor

[1] https://securityaffairs.co/wordpress/90090/security/malware-analysis-sandboxes-data-leak.html [2] https://securityintelligence.com/comparing-free-online-malware-analysis-sandboxes/ [3] https://securityintelligence.com/using-a-free-online-malware-analysis-sandbox-to-dig-into-malicious-code/ [4] https://assently.com/sv/hash-funktionen-sa-skapas-ett-substitut-for-filen-som-ska-signeras/

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-04-24 15:53

Sårbarhet i Progress Flowmon

Progress har rättat en sårbarhet (CVE-2024-2389) i produkten Flowmon, som används för att övervaka och analysera...

Sårbarhet Progress Flowmon
2024-04-19 14:07

CERT-SE:s veckobrev v.16

Denna vecka gick CERT-SE ut med årets andra blixtmeddelande, gällande en kritisk sårbarhet i Palo Alto...

Veckobrev
2024-04-19 13:06 Uppdaterad

Kritiska sårbarheter i Ivanti Avalanche

Ivanti har rättat flera sårbarheter i Avalanche, varav två bedöms som kritiska. De kan kan orsaka...

Sårbarhet Ivanti Avalanche
2024-04-18 16:25

Oracles kvartalsvisa säkerhetsuppdatering för april 2024

Oracle har publicerat sina kvartalsvisa säkerhetsuppdateringar för april. Säkerhetsuppdateringarna berör ett stort antal produkter. Totalt publiceras...

Sårbarhet Oracle
2024-04-18 15:16

Allvarlig sårbarhet i Cisco IMC

En sårbarhet i CLI (command line interface) i Cisco IMC möjliggör för en autentiserad användare att...

Sårbarhet Cisco

Nyheter