Captain Kirk

Het Project Zero-team van Google heeft bij een onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel gevonden die inmiddels door Microsoft zijn verholpen. Dat heeft onderzoeker Mateusz Jurczyk in een blogposting bekendgemaakt. In zo'n tachtig procent van de gevallen gaat het om beveiligingslekken waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. "In essentie is het register een hiërarchische database bestaande uit "keys" en "values", die door Windows en applicaties worden gebruikt om allerlei instellingen en configuratiedata op te slaan", aldus de onderzoeker. Het kernelgedeelte van het Windows-register is de afgelopen jaren flink gegroeid. Ging het bij Windows NT 4.0 nog om 10.000 regels code, dat is met Windows 11 naar zo'n 100.000 regels code gestegen. Jurczyk deed van mei 2022 tot en met december vorig jaar een uitgebreide audit van de Windows Registry, op zoek naar zogeheten 'local privilege escalation' bugs. Dat leverde zoals gezegd vijftig kwetsbaarheden op. Achttien daarvan waren er volgens de onderzoeker eenvoudig te misbruiken, tien hadden een gemiddelde moeilijkheidsgraad. Gemiddeld had Microsoft 81 dagen nodig om na de melding met een update te komen. Google geeft softwareontwikkelaars standaard negentig dagen de tijd om een kwetsbaarheid te verhelpen, anders maakt het de details openbaar. Volgens Jurczyk laat zijn onderzoek zien dat het register een zeer complex onderdeel van de Windows-kernel is, en één met veel potentie voor het vinden van interessante bugs. bron: https://www.security.nl

Wachtwoordmanager LastPass waarschuwt gebruikers voor een telefonische phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. De aanval begint met een telefoontje waarin wordt beweerd dat er vanaf een nieuw apparaat op het LastPass-account van de gebruiker is ingelogd. De gebruiker moet vervolgens een '1' indrukken om dit toe te staan of een '2' om de inlogpoging te blokkeren. Wanneer gebruikers op '2' drukken krijgen ze te horen dat een helpdeskmedewerker met hen contact op zal nemen. Deze 'medewerker' belt vanaf een gespooft telefoonnummer en zegt voor LastPass te werken. Vervolgens stuurt de 'medewerker' een e-mail waarmee gebruikers de toegang tot hun account zouden kunnen resetten. De link in deze e-mail wijst in werkelijkheid naar de phishingsite help-lastpass[.]com. Op deze site ingevoerde gegevens worden naar de aanvaller gestuurd. In het geval gebruikers hun master password op de phishingsite invoeren probeert de aanvaller op het LastPass-account in te loggen. Dan worden de instellingen binnen het account aangepast om te voorkomen dat de echte gebruiker kan inloggen. Zo kunnen telefoonnummer en e-mailadres door de aanvaller worden gewijzigd, alsmede het master password. LastPass adviseert gebruikers om meteen op te hangen als ze worden gebeld door iemand die zegt voor LastPass te werken. bron: https://www.security.nl

Vorig jaar was er een toename van de intensiteit, omvang en het technische niveau van spionagecampagnes door Chinese statelijke hackersgroepen, waarbij vooral 'edge devices' zoals vpn-apparatuur, routers en firewalls het doelwit waren, zo stelt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) in het vandaag verschenen openbaar jaarverslag 2023. "In 2023 waren Nederlandse en bondgenootschappelijke (defensie) bedrijven en overheidsinstellingen veelvuldig doelwit van diverse Chinese cybereenheden", aldus de MIVD. Bij de aanvallen werd voornamelijk gezocht naar intellectueel eigendom, persoonsgegevens en voorkennis omtrent politiek-bestuurlijke beleid- en besluitvorming. "Het tempo van Chinese cyberoperaties op westerse doelwitten ligt hoog en Chinese inlichtingendiensten schroeven de capaciteiten om westerse doelwitten aan te vallen steeds verder op", zo laat de dienst weten. De MIVD merkt op dat Chinese statelijke hackersgroepen al geruime tijd grootschalige en persistente cyberspionagecampagnes uitvoeren tegen Nederlandse en bondgenootschappelijke belangen, maar er vorig jaar een toename zichtbaar was van de intensiteit, omvang en het technische niveau van deze cybercampagnes. Zo richten de aanvallen zich nadrukkelijk op edge devices zoals vpn-apparatuur. Worden bekendgemaakte kwetsbaarheden soms op de dag van de publicatie misbruikt en worden er steeds vaker zerodaylekken ingezet. Defensie werd vorig jaar zelf ook slachtoffer van Chinese statelijke hackers. Een aantal FortiGate-apparaten van Defensie werden met malware besmet. De MIVD meldt dat het vorig jaar voornamelijk grootschalige scanactiviteit waarnam gericht tegen kwetsbare systemen van een breed scala aan doelwitten, waaronder ABDO-bedrijven en defensieorganisaties. "Het patroon is dat aanvallers geautomatiseerde toegang proberen te verkrijgen tot netwerken van doelwitten en in een later stadium bepalen of deze access-posities relevant zijn voor China", aldus de dienst. Verder stelt de MIVD dat tientallen Chinese bedrijven offensieve cyberoperaties ondersteunen met kwetsbaarheden, malware, aanvalsinfrastructuur en specialistische soft- en hardware voor cyberaanvallen "De hoge mate van professionalisering en strategische clustering van Chinese hackerseenheden in combinatie met de samenwerking met Chinese (staats)bedrijven geven China hoogwaardige capaciteiten om aanvallen op Nederland en bongenoten uit te voeren." Ook dragen Chinese universiteiten bij aan de opbouw van offensieve capaciteiten, zo valt in het jaarverslag te lezen. bron: https://www.security.nl

Er is een toename van het aantal aanvallen waarbij misbruik wordt gemaakt van een zerodaylek in de firewalls van Palo Alto Networks, zo heeft het bedrijf bekendgemaakt. Daarnaast blijkt dat eerder gegeven mitigatie-advies niet meer effectief is en zijn er ook proof-of-concept exploits voor de kwetsbaarheid (CVE-2024-3400) online verschenen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De kwetsbaarheid is aanwezig in PAN-OS, het besturingssysteem dat op de firewalls van Palo Alto Networks draait. Voor verschillende versies van PAN-OS is inmiddels een hotfix beschikbaar, maar nog zeker zeven versies wachten hierop. In de tussentijd kunnen organisaties die met deze versies werken (10.2.3-h13, 10.2.1-h2, 10.2.2-h5, 10.2.0-h3, 10.2.4-h16, 11.0.1-h4 en 11.0.0-h3) een mitigatie doorvoeren om aanvallen te voorkomen. In eerste instantie werd aangeraden om telemetrie op het apparaat uit te schakelen, maar dat is geen effectieve mitigatie meer, aldus Palo Alto Networks in een update van het beveiligingsbulletin. Daarin wordt ook meer informatie over de aanvallen gegeven, zoals hoe organisaties kunnen controleren of hun firewall is gecompromitteerd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige code met rootrechten op de firewall uitvoeren. Aanvallers zouden zeker al sinds 26 maart misbruik van het lek maken. bron: https://www.security.nl

Oracle heeft tijdens de patchronde van april 441 patches uitgebracht voor een groot aantal kritieke kwetsbaarheden, onder andere in Oracle WebLogic Server, een product dat in het verleden geregeld is aangevallen. De 441 patches willen niet zeggen dat er 441 kwetsbaarheden zijn. Sommige kwetsbaarheden zijn in meerdere producten aanwezig waar aparte patches voor worden gemaakt. In het overzicht van beveiligingslekken staan meerdere kwetsbaarheden met een impactscore van 9.8 of 9.9 op een schaal van 10. Het gaat onder andere om Oracle Hospitality Simphony, Oracle Commerce Platform, Oracle Communications Network Integrity, Oracle Application Testing Suite, Oracle Enterprise Manager for Fusion Middleware, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Web Services Manager, Oracle Solaris Cluster en Oracle WebLogic Server. Via de kritieke beveiligingslekken kan een ongeauthenticeerde aanvaller kwetsbare systemen in het ergste geval op afstand overnemen. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Meerdere keren werden WebLogic-lekken kort na het uitkomen van de patches misbruikt. Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 juli. bron: https://www.security.nl

Er is een toename van bruteforce-aanvallen tegen vpn- en ssh-servers, zo waarschuwt Cisco vandaag, dat tevens een lijst met door de aanvallers gebruikte ip-adressen, wachtwoorden en gebruikersnamen heeft gepubliceerd. De aanvallen zijn onder andere gericht tegen vpn-oplossingen van Cisco zelf, alsmede Checkpoint, Fortinet en SonicWall. Daarnaast zijn ook RD Web Services en apparatuur van Miktrotik, Draytek en Ubiquiti doelwit. Bij de aanvallen proberen de aanvallers generieke gebruikersnamen en geldige gebruikersnamen voor bepaalde organisaties. De aanvallen lijken ongericht en hebben niet een specifieke regio of industrie als doelwit. Volgens Cisco zijn de aanvallen afkomstig van verschillende proxy-diensten en het Tor-netwerk. "Afhankelijk van de aangevallen omgeving, kunnen dit soort aanvallen wanneer succesvol leiden tot ongeautoriseerde netwerktoegang, lockouts van accounts of denial of service-omstandigheden", aldus Cisco. De netwerkgigant merkt op dat het verkeer van deze aanvallen de afgelopen tijd is toegenomen en waarschijnlijk zal blijven toenemen. bron: https://www.security.nl

Microsoft gaat de hoeveelheid bulkmail die via Exchange Online is te versturen beperken, zo heeft het techbedrijf aangekondigd. Vanaf januari 2025 zullen organisaties die van Exchange Online gebruikmaken berichten naar maximaal tweeduizend ontvangers per dag kunnen versturen. Op dit moment handhaaft Microsoft nog geen limiet voor bulkmail. Via de Recipient Rate (ERR) limiet wil Microsoft naar eigen zeggen 'oneerlijk gebruik' en misbruik van Exchange Online tegengaan. Exchange Online zal een limiet van maximaal tienduizend ontvangers gaan hanteren. De limiet van tweeduizend ontvangers binnen 24 uur zal een sub-limiet binnen deze limiet worden. Wanneer de grens van tweeduizend externe ontvangers binnen 24 uur niet wordt bereikt, kunnen er nog steeds berichten naar in totaal tienduizend ontvangers worden verstuurd. De nu aangekondigde limiet zal gefaseerd worden ingevoerd. Vanaf 1 januari geldt die voor cloud-hosted mailboxes van nieuwe klanten. Tussen juli en december 2025 wordt dit ook voor bestaande klanten doorgevoerd. Organisaties die meer mail willen versturen worden door Microsoft naar Azure Communication Services for Email verwezen. bron: https://www.security.nl

Cisco heeft klanten die gebruikmaken van de Duo-authenticatieoplossingen gewaarschuwd voor een datalek met MFA SMS-logbestanden. Duo, dat in 2018 voor een bedrag van 2,35 miljard dollar door Cisco werd overgenomen, biedt oplossingen voor het inloggen via multifactorauthenticatie (MFA). Een telecomprovider die Duo gebruikt voor het versturen van MFA-berichten via SMS en VoIP naar klanten is begin deze maand gecompromitteerd, waarbij de aanvaller toegang kreeg tot logbestanden. De aanvaller wist met inloggegevens van een medewerker van de telecomprovider toegang tot interne systemen te krijgen. Deze inloggegevens werden via een phishingaanval verkregen. Via de interne systemen van de provider kon de aanvaller de logbestanden downloaden. De logbestanden bevatten niet de inhoud van het verstuurde bericht, maar wel telefoonnummer, telecomprovider, land en staat waar elk bericht naar toe werd gestuurd, alsmede andere metadata. De niet nader genoemde provider zegt maatregelen te hebben genomen om herhaling in de toekomst te voorkomen. Naast technische maatregelen moeten medewerkers ook een aanvullende awareness-training over social engineering volgen. Duo roept aangeschreven managed serviceproviders op om hun klanten met getroffen gebruikers direct te waarschuwen en dat die alert moet zijn op mogelijke social engineering-aanvallen die kunnen volgen. Het bericht van Cisco Duo werd gedeeld op Reddit in een subreddit van managed serviceproviders (MSP's). Meerdere deelnemers aan deze subreddit laten weten dat ze het bericht hebben ontvangen. Duo biedt een MSP-programma waarbij deze bedrijven de authenticatieoplossingen voor hun klanten kunnen gebruiken. bron: https://www.security.nl

Vanaf 29 april mogen fabrikanten in het Verenigd Koninkrijk geen Internet of Things (IoT) apparaten meer aanbieden met standaard wachtwoorden. Ook moeten ze dan laten weten hoelang ze het apparaat van beveiligingsupdates voorzien en een aanspreekpunt hebben waar kwetsbaarheden kunnen worden gemeld. De eisen zijn onderdeel van de Product Security and Telecommunications Infrastructure wetgeving die over twee weken van kracht wordt in het VK. Het Britse National Cyber Security Centre (NCSC) heeft nu een poster ontwikkeld die in winkels gehangen kan worden en klanten uitlegt waarom het belangrijk is om cyberveilige producten te kiezen (pdf). De Britse overheidsinstantie roept alle winkels op om de poster te printen en op te hangen. Verder worden gebruikers van IoT-apparaten opgeroepen om de standaard instellingen van apparatuur te controleren en waar nodig te wijzigen, en de laatste updates te installeren. bron: https://www.security.nl

Duizenden kwetsbare NAS-systemen van fabrikant D-Link zijn vanaf internet bereikbaar en lopen het risico om door kwaadwillenden te worden overgenomen. De apparaten zijn end-of-life en zullen daardoor geen updates meer ontvangen. Aanvallers maken inmiddels actief misbruik van de problemen met de NAS-systemen. In eerste instantie meldde D-Link dat vier modellen kwetsbaar zijn, maar dat zijn er twintig. "De gerapporteerde kwetsbaarheden betreffen command injection en een backdoor-account voor de webinterface waardoor een malafide gebruiker misbruik van de apparaten kan maken", aldus D-Link in een vandaag gepubliceerde update van het beveiligingsbulletin. Eerder deze week werd nog aangekondigd dat 92.000 kwetsbare NAS-systemen op internet zijn te vinden, maar dat zijn er volgens securitybedrijf Censys veel minder, namelijk 3700. Bij meer dan 350 van deze apparaten staat remote access ingeschakeld en een kleine tweehonderd beschikken over een VoIP-functionaliteit. De meeste NAS-systemen werden gevonden in de Verenigde Staten, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid roepen eigenaren op om de apparaten door een nieuw NAS-systeem te vervangen. bron: https://www.security.nl

De op privacygerichte zoekmachine DuckDuckGo heeft vandaag een eigen vpn-dienst, dataverwijdertool en id-fraudehulp gelanceerd. De drie diensten zijn onderdeel van één abonnement dat tien dollar per maand of 99 dollar per jaar kost. Op dit moment is DuckDuckGo Privacy Pro alleen beschikbaar in de Verenigde Staten, maar het is de bedoeling om het abonnement in de toekomst in andere regio's aan te bieden. DuckDuckGo laat weten dat het de vpn-dienst zelf heeft ontwikkeld en beheert. "We houden geen logs van je vpn-activiteiten bij. Dit houdt in dat we niet in staat zijn om wat je met de DuckDuckGo VPN doet aan jou als individu te koppelen - of aan iets anders dat je op DuckDuckGo doet, zoals zoeken." Op dit moment zijn er vpn-servers in de VS, Canada en Europa beschikbaar. De vpn-dienst maakt gebruik van het WireGuard-protocol en dns-verzoeken gaan automatisch via de vpn naar dns-servers van DuckDuckGo zelf. Het tweede deel van het abonnement betreft 'Personal Information Removal' waarmee gebruikers hun persoonlijke informatie bij datahandelaren en personenzoekmachines kunnen laten verwijderen. Dan is er nog de 'Identity Theft Restoration' dienst. Slachtoffers van identiteitsfraude kunnen daarmee hun kredietscore laten herstellen, identiteitsdocumenten opnieuw aanvragen en bij het betwisten van frauduleuze transacties ondersteuning krijgen. Eerder deze week stelde DuckDuckGo nog dat online privacy niet iets is voor mensen die iets te verbergen hebben, maar een mensenrecht. bron: https://www.security.nl

Microsoft gaat de oorzaak van kwetsbaarheden in de eigen producten voortaan via de CWE-standaard beschrijven. CWE staat voor Common Weakness Enumeration en is een industriestandaard waarmee de onderliggende oorzaak van een kwetsbaarheid wordt beschreven zoals bijvoorbeeld 'verkeerde invoervalidatie', 'gebruik van hard-coded credentials' of 'verkeerde authenticatie'. Volgens Microsoft moet het gebruik van de CWE-standaard binnen de eigen beveiligingsbulletins voor betere discussies zorgen over het vinden en voorkomen van dergelijke kwetsbaarheden in bestaande software en hardware, en ze ook in toekomstige updates en releases zoveel mogelijk te beperken. "Als industrie kunnen we niet managen wat we niet kunnen meten. Door onze eigen kwetsbaarheden van nauwkeurige CWE's te voorzien, alsmede sectorgenoten op te roepen hetzelfde te doen, is de sleutel tot het systematisch begrijpen, verhelpen en neutraliseren van gehele klasse kwetsbaarheden", aldus Microsofts Lisa Olson. bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft 147 kwetsbaarheden verholpen, waaronder twee actief aangevallen zerodaylekken in Windows. De eerste zeroday (CVE-2024-29988) bevindt zich in SmartScreen. Dit is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek zorgt ervoor dat de waarschuwing niet verschijnt. In het beveiligingsbulletin staat dat de kwetsbaarheid niet wordt misbruikt, maar tegenover securitybedrijf ZDI laat Microsoft weten dat dit wel het geval is. De tweede zeroday (CVE-2024-26234) wordt door Microsoft omschreven als een 'proxy driver spoofing vulnerability'. Dit beveiligingslek werd gebruikt om een malafide driver gesigneerd te krijgen via een geldig Microsoft Hardware Publisher Certificate, zo meldt antivirusbedrijf Sophos dat de kwetsbaarheid ontdekte en bij Microsoft rapporteerde. Het betreffende certificaat is inmiddels ingetrokken. Drie andere kwetsbaarheden die volgens het ZDI de aandacht verdienen zijn een spoofinglek in Outlook waardoor NTLM-hashes zijn te stelen, een remote code execution-lek in Windows DNS Server en een kwetsbaarheid in Remote Procedure Call (RPC) waardoor remote code execution voor een geauthenticeerde aanvaller mogelijk is. Volgens ZDI zijn zo'n 1,3 miljoen systemen op internet te vinden waarbij TCP-poort 135 benaderbaar is en daardoor risico op aanvallen via het RPC-lek lopen. De updates van Microsoft worden op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Netwerkfabrikant Fortinet waarschuwt voor een kwetsbaarheid in FortiOS en FortiProxy waardoor een aanvaller de cookies van administrators kunnen stelen. Er zijn updates uitgebracht om het probleem te verhelpen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Het beveiligingslek, aangeduid als CVE-2023-41677, wordt door Fortinet omschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te kunnen stelen zou een aanvaller een administrator eerst een malafide website moeten laten bezoeken via de vpn. Met de gestolen cookies kan een aanvaller vervolgens ongeautoriseerde code of commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 7.5. bron: https://www.security.nl

Duizenden WordPress-sites kunnen door kwaadwillenden op afstand worden overgenomen omdat ze updates voor kritieke kwetsbaarheden niet hebben geïnstalleerd. De websites in kwestie maken gebruik van een plug-in genaamd MasterStudy, waarmee WordPress-sites zijn om te vormen tot een 'learning management system' (LMS). De plug-in is op meer dan tienduizend websites actief en wordt vooral gebruikt door online coaches, trainers en andere websites die zich met elearning bezighouden. De eerste kritieke kwetsbaarheid (CVE-2024-2409) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf tijdens de registratie, door de user metadata aan te passen, beheerder van de website te maken. Via het tweede en derde beveiligingslek (CVE-2024-2411 en CVE-2024-3136) kan een ongeauthenticeerde aanvaller PHP-bestanden uploaden en zo willekeurige bestanden op de server uitvoeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8, zo meldt securitybedrijf Wordfence. De problemen zijn via drie beveiligingsupdates verholpen, waarvan de laatste op 4 april verscheen. Uit cijfers van WordPress.org blijkt echter dat nog duizenden websites de updates niet geïnstalleerd hebben en daardoor risico lopen om te worden aangevallen. bron: https://www.security.nl