Ukesnytt digital sikkerhet - Uke 22

Bredt nasjonalt varsel: omfattende angrep mot Microsoft 365-kontoer i norske virksomheter

Et samarbeid mellom NSM, Digdir, Datatilsynet og politiet advarer denne uken om at norske virksomheter på tvers av bransjer og sektorer rammes av kompromittering av Microsoft 365-kontoer.

Sikkert.no publiserte 21. mai et felles varsel om at phishingverktøyene som brukes mot norske virksomheter er i stadig utvikling, og at forbedringene fører til flere vellykkede angrep. Angrepene retter seg særlig mot Microsoft 365 og bruker phishingmetoder som fanger opp passord og påloggingssesjon, slik at angriperne får tilgang selv om tofaktorautentisering er aktivert. Når en konto kompromitteres, får angriperne tilgang til e-post, dokumenter i SharePoint, Teams-møter og annen virksomhetsinformasjon. Varselet beskriver fire teknikker: brukere lures til å skrive engangskoder på legitime innloggingssider, proxy-tjenester maskerer trafikk via IP-adresser som ligner virksomhetens normale mønster, KI brukes til å lage troverdige meldinger på norsk, og angrep spres fra allerede kompromitterte kontoer i form av møteinvitasjoner og delte dokumenter. Hendelsene oppdages ofte først når virksomheten varsles av sitt eget responsmiljø.

NSR ser svært mye slik phishing-aktivitet rettet mot vårt sektoransvar som SRM, og har bidratt til å løfte denne problemstillingen med myndighetene.

Hva så?

Tradisjonell phishingopplæring som lærer ansatte å se etter mistenkelige lenker, er ikke lenger tilstrekkelig. Sikkerhetsansvarlige bør prioritere fire grep: innføre phishingresistent autentisering som FIDO2-passnøkler for økonomiansvarlige, ledere og systemadministratorer først, deaktivere eller kraftig begrense device code-innlogging, begrense pålogging til kjente enheter eller IP-adresser der det er praktisk mulig, og verifisere at responsmiljøet faktisk fanger opp anomale påloggingsmønstre i M365-loggene.

Kilde: https://www.sikkert.no/bedrift/artikler/advarsel-om-stor-digital-angrepsaktivitet – Publisert: 21. mai 2026

FBI advarer om Kali365: abonnementstjeneste som stjeler OAuth-tokens i Microsoft 365

FBI-varselet konkretiserer hva som driver den brede angrepsbølgen mot M365 i Norge og Europa, og navngir verktøyet som senker terskelen for mindre teknisk dyktige angripere.

FBI publiserte 21. mai en Public Service Announcement (PSA) om Kali365, en Phishing-as-a-Service-plattform først observert i april 2026 og distribuert via Telegram. Plattformen utnytter Microsofts legitime OAuth device code-flyt: en phishing-epost utgir seg for å være fra en kjent skytjeneste og inneholder en enhetskode med instruksjoner om å besøke en legitim Microsoft-verifiseringsside. Når brukeren skriver inn koden, autoriserer hen ubevisst angriperens enhet. Angriperen får OAuth-tokens som gir vedvarende tilgang til e-post, OneDrive og Teams uten å fange opp brukerens passord. Arctic Wolf og Proofpoint har dokumentert hundrevis av angrep i april alene mot produksjon, utdanning, offentlig sektor, finans og helse på tvers av Nord-Amerika og Europa. Alle ofrene brukte MFA. FBI og CISA anbefaler å deaktivere eller kraftig begrense device code-autentisering, innføre conditional access-policyer som blokkerer uautorisert device code-bruk, og revidere eksisterende device-autentisering for legitime bruksområder.

Hva så?

Kali365 forklarer mekanikken bak den brede norske angrepsbølgen vi omtaler i saken over. Sikkerhetsansvarlige bør gjennomgå Entra ID-tenanten umiddelbart og sjekke om device code-flyt er aktivert. I de fleste virksomheter brukes denne flyten kun for IoT-enheter og smart-TV-er, og kan trygt deaktiveres eller begrenses via conditional access. Sjekk sign-in-loggene de siste 60 dagene for device code-autentisering og uventede tokenrefresh fra ukjente IP-adresser eller geografiske områder.

Kilde: https://www.ic3.gov/PSA/2026/PSA260521 – Publisert: 21. mai 2026

Aktivt utnyttet SQL-injeksjon i Drupal Core lagt i CISA KEV

Sårbarheten rammer Drupal-installasjoner med PostgreSQL-base og kan utnyttes uautentisert over HTTP. Imperva har observert over 15 000 utnyttelsesforsøk mot 6 000 nettsteder i 65 land.

CISA la 22. mai CVE-2026-9082 inn i Known Exploited Vulnerabilities-katalogen etter dokumentert aktiv utnyttelse. Sårbarheten ligger i Drupal Cores database-abstraksjonslag, mer presist i PostgreSQL EntityQuery-kondisjonshåndtereren, og rammer Drupal versjoner 8.0 til og med 11.3.9 som bruker PostgreSQL. Uautentiserte angripere kan sende spesielt utformede HTTP-forespørsler via JSON:API-filterparametere og utføre vilkårlige SQL-spørringer. Vellykket utnyttelse kan gi databaseuttrekk, opprette administratorkontoer, eskalering av rettigheter og i enkelte konfigurasjoner ekstern kjøring av kode via pg_exec() eller COPY. Drupal publiserte SA-CORE-2026-004 og patchet versjoner 11.3.10, 11.2.12, 10.6.9 og 10.5.10 den 20. mai. Mindre enn to dager senere bekreftet Drupal utnyttelsesforsøk i det fri, og CISA satte 27. mai som frist for amerikanske føderale etater.

Hva så?

Sårbarheten er uautentisert, har offentlig PoC-kode og treffer alle Drupal-versjoner som kjører PostgreSQL. Norske virksomheter med Drupal-baserte nettsteder bør verifisere databasemotor og versjon umiddelbart. Drupal brukes utbredt i offentlig sektor og av medlemsorganisasjoner. MySQL-installasjoner er ikke berørt av SQL-injeksjonen, men de øvrige tredjeparts oppdateringene i patchen gjelder alle. Suppler patching med WAF-regler som inspiserer JSON:API-filterparametere, og gjennomgå webserverlogger for unormale SQL-mønstre.

Kilde: https://www.cisa.gov/known-exploited-vulnerabilities-catalog – Publisert: 22. mai 2026

Anthropic: 10 000 alvorlige sårbarheter funnet med KI på én måned

Project Glasswing er et samarbeid mellom Anthropic og rundt 50 partnere, blant dem AWS, Apple, Cisco, Google, Microsoft og Linux Foundation. Funnene markerer en kapasitetsendring i sårbarhetsoppdagelse, og en ny flaskehals i patchekjeden.

Anthropic publiserte 22. mai en oppdatering om Project Glasswing, et initiativ basert på språkmodellen Claude Mythos Preview som ennå ikke er offentlig tilgjengelig. På én måned har partnere identifisert over 10 000 sårbarheter av høy eller kritisk alvorlighet i kritisk programvare. Cloudflare oppga 2 000 sårbarheter, hvorav 400 høy eller kritisk. Mozilla rettet 271 sårbarheter i Firefox 150. Anthropic skannet selv mer enn 1 000 åpen kildekode-prosjekter og fant anslagsvis 6 202 høy- eller kritiske sårbarheter (av 23 019 totalt). Av 1 752 funn vurdert av seks uavhengige sikkerhetsfirmaer var 90,6 prosent reelle. En sårbarhet ble bekreftet i wolfSSL (CVE-2026-5194) som tillot forfalskning av sertifikater. Anthropic disclosed 530 høy/kritiske bugs til vedlikeholdere, hvorav 75 er patchet. Flere åpen kildekode-vedlikeholdere har bedt Anthropic om å bremse rapporteringstempoet fordi de mangler kapasitet til å lage patcher.

Hva så?

Den umiddelbare konsekvensen er at antall publiserte patcher fra leverandører vil øke betydelig. Microsoft varsler at månedlige sikkerhetsoppdateringer "vil fortsette å trende større en stund". Oracle og Palo Alto Networks rapporterer tilsvarende. Sikkerhetsansvarlige bør forberede patchsyklusene for høyere volum av kritiske rettelser, prioritere automatisering i sårbarhetshåndtering, og innskjerpe deteksjons- og responsregimet siden gapet mellom oppdagelse og patch-utrulling vil utgjøre større risiko. Tilsvarende modeller vil snart bli tilgjengelig for alle, inkludert angripere; vinduet før patcher rulles ut blir kritisk.

Kilde: https://www.anthropic.com/research/glasswing-initial-update – Publisert: 22. mai 2026

Lørenskog kommune gjennomfører eksamen som planlagt etter dataangrep

Dataangrepet mot Lørenskog kommune startet 9.–10. mai og lammet Microsoft 365 for 4 000 ansatte. Kommunens beslutning om eksamensavvikling viser hvilket arbeid en omfattende M365-kompromittering medfører for en mellomstor virksomhet.

Lørenskog kommune kunngjorde 19. mai at grunnskoleeksamen for 10. trinn og voksenopplæring kan gjennomføres som planlagt fra 21. mai. Avgjørelsen ble tatt i samråd med Statsforvalteren i Østfold, Buskerud, Oslo og Akershus etter kontinuerlig testing av systemene. Angrepet ble avdekket lørdag 9. mai, og innen onsdag 13. mai sto samtlige 4 000 ansatte uten tilgang til e-post og Teams, og digitale eksamensverktøy var lammet. Politiet, Datatilsynet og NSM ble varslet. Kommunen håndterte angrepet med manuelle rutiner og telefonkommunikasjon. Kommunen har bekreftet kontakt fra aktøren bak angrepet, men har foreløpig ikke funnet bevis for at sensitive personopplysninger er hentet ut. Den 21. mai bekreftet Digi.no at eksamen gjennomføres som normalt.

Hva så?

Saken viser realiteten i en M365-kompromittering: én helg med initial kompromittering, deretter ti dager før kjernevirksomheten kan gjenopptas. For kommuner og andre virksomheter med sterk M365-avhengighet er det avgjørende å ha papirbaserte fallback-rutiner og alternative kommunikasjonskanaler dokumentert og øvd. Sikkerhetsansvarlige bør sjekke om eksisterende beredskapsplaner forutsetter at Teams og e-post er tilgjengelig under hendelser – det er en feilaktig forutsetning når angripere ofte sikter mot nettopp identitetsplattformen. Vurder også om interne tjenester som lønn, journalføring og elevsystemer har dypere avhengigheter til M365 enn dere er klar over. Se forøvrig våre innspill til hva virksomheter bør øve på her.

Kilde: Digi.no – https://www.digi.no/nyhetsstudio/eksamen-gaar-som-normalt-i-loerenskog-etter-dataangrep/118262 – Publisert: 21. mai 2026