Captain Kirk

Een beveiligingsonderzoeker heeft software ontwikkeld om te demonstreren dat malware het indicatielampje van de webcam kan uitschakelen om gebruikers zo onopgemerkt te filmen. Fysieke toegang tot het systeem is daarbij niet vereist. Al meer dan tien jaar geleden werd er bericht dat de FBI webcams via malware ongezien kan aanzetten. Security-engineer Andrey Konovalov gaf eerder deze maand tijdens een beveiligingsconferentie in Seoul een presentatie over zijn onderzoek en software (pdf). De software van Konovalov reflasht de firmware van de webcam, waardoor het indicatielampje door een aanvaller is te bedienen. Die kan zo het lampje uitschakelen en toch opnames met de webcam maken. Voor zijn demonstratie gebruikte de engineer zijn ThinkPad X230, maar hij merkt op dat de manier om de firmware te flashen zeer waarschijnlijk ook bij tal van andere laptops en merken werkt. "Een sticker op de webcam van je laptop plakken is niet zo paranoïde", sloot Konovalov zijn presentatie af. Het werk van de engineer zorgde voor meer dan vijfhonderd reacties op Hacker News. bron: https://www.security.nl

Het Tor Project heeft het publiek gevraagd om het opzetten van WebTunnel bridges, om zo online overheidscensuur te omzeilen. WebTunnel bridges nemen het Tor-verkeer en vermommen dat als gewoon webverkeer. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Een deel van de huidige Tor Bridges wordt gehost bij bekende hostingproviders. Volgens het Tor Project heeft de Russische telecomtoezichthouder Roscomnadzor internetproviders in het land opgedragen sommige van deze providers te blokkeren, waardoor ook de Tor Bridges niet meer toegankelijk zijn. Daarnaast worden ook bekende Tor-servers actief geblokkeerd, aldus de organisatie. Om ervoor te zorgen dat Tor-gebruikers in het land toch het netwerk kunnen gebruiken zijn WebTunnel bridges nu dringend nodig, zegt Gustavo Gus van het Tor Project. Doordat de bridges het verkeer als normaal internetverkeer doen lijken is het veel moeilijker te blokkeren. Gus roept mensen op een WebTunnel bridge te hosten. Het doel is dat er eind december tweehonderd nieuwe bridges bij zijn gekomen. Wie vijf of meer bridges host krijgt een T-shirt. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate voor een spoofinglek in Exchange Server opnieuw uitgerold, nadat het de patch eerder wegens problemen had teruggetrokken. De kwetsbaarheid (CVE-2024-49040) laat een aanvaller spoofingaanvallen tegen Exchange-servers uitvoeren. Op 12 november kwam Microsoft met een update die het beveiligingslek niet verhelpt, maar gebruikers bij een vermoedelijke spoofingaanval een waarschuwing toont. Het beveiligingslek wordt veroorzaakt door de huidige implementatie van de 'P2 FROM header verificatie', die tijdens het e-mailtransport plaatsvindt. De P2 FROM header in een e-mail is onderdeel van de message header die in de e-mailclient van de ontvanger wordt weergegeven. "De huidige implementatie laat sommige non-RFC 5322 compliant P2 FROM headers door, wat ervoor kan zorgen dat de e-mailclient (bijvoorbeeld Microsoft Outlook), een vervalste afzender als legitiem weergeeft", aldus de uitleg van Microsoft. Twee dagen na het uitbrengen van de update besloot Microsoft op 14 november die wegens problemen terug te trekken. Klanten hadden geklaagd dat na de installatie van de update ingestelde transport rules stopten met werken, wat ervoor zorgde dat e-mail niet meer werd afgeleverd. Microsoft heeft het probleem met de update verholpen en biedt die nu weer aan. Daarbij worden alle organisaties aangeraden de nieuwe versie van de patch te installeren, ook als ze bij installatie van de eerste versie niet met problemen te maken kregen. bron: https://www.security.nl

Mozilla heeft na vier jaar besloten om over te stappen op .tar.xz packaging voor Linux-versies van Firefox, wat ervoor moet zorgen dat nieuwe versies sneller zijn te downloaden en installeren. Op dit moment maakt Mozilla voor het comprimeren en uitpakken van de Firefox-installatie nog gebruik van .tar.bz2 packaging. De overstap naar tar.xz zou voor kleinere bestanden en snellere installaties moeten zorgen. Mozilla stelt dat .tar.xz packages gemiddeld 25 procent kleiner zijn dan hun .tar.bz2 tegenhangers. Daarnaast pakt .tar.xz twee keer zo snel uit als tar.bz2, aldus de Firefox-ontwikkelaar. Een ander bekend algoritme voor het inpakken en uitpakken van bestanden is het Zstandard (.zst) algoritme. Mozilla erkent dat dit algoritme sneller bestanden uitpakt dan .tar.xz, maar er voor de laatste is gekozen omdat die bestanden beter kan comprimeren wat daardoor bandbreedte bespaart. Een ander punt dat Mozilla noemt is dat .tar.xz breed onder Linux-systemen wordt ondersteund. Firefox-gebruikers op Linux hoeven geen actie te ondernemen voor de overstap. Op dit moment wordt .tar.xz packaging alleen in de Firefox Nightly testversie voor Linux toegepast. Het doel is om het vanaf Firefox 135 ook de in standaardversie te gebruiken. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in ProjectSend, een webapplicatie voor het uitwisselen van bestanden en een groot aantal servers is kwetsbaar, zo meldt securitybedrijf VulnCheck. Een beveiligingsupdate voor de kwetsbaarheid (CVE-2024-11680) is sinds 3 augustus beschikbaar. ProjectSend is een applicatie die op een webserver wordt geïnstalleerd. Vervolgens is het mogelijk om via de applicatie bestanden naar de server te uploaden en die met anderen te delen. Een 'improper authentication' kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand een HTTP-request naar de applicatie te sturen, waarmee de configuratie is aan te passen (pdf). Vervolgens kunnen aanvallers zo zelf accounts aanmaken en webshells uploaden om toegang tot de server te behouden en verdere aanvallen uit te voeren. Daarnaast is het embedden van malafide JavaScript mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ProjectSend kwam op 3 augustus met versie r1720 waarin de kwetsbaarheid is verholpen. Eind augustus en begin september verschenen op internet exploits om misbruik van het beveiligingslek te maken en inmiddels is ook daadwerkelijk misbruik waargenomen, aldus VulnCheck. Volgens securitybedrijf Censys zijn meer dan vierduizend ProjectSend-servers vanaf internet toegankelijk. Onderzoekers van VulnCheck ontwikkelden een scanner om de versie van toegankelijke servers te controleren. Daaruit blijkt dat slechts één procent versie r1720 draait. De overige servers maken gebruik van een kwetsbare versie. bron: https://www.security.nl

Onderzoekers van antivirusbedrijf ESET hebben naar eigen zeggen de eerste proof of concept UEFI-bootkit voor Linux ontdekt. Het hoofddoel van de bootkit is het uitschakelen van de signature verification feature van de Linux-kernel en het vooraf laden van twee nog onbekende ELF-binaries via het Linux “init”-proces, het eerste proces dat de Linux-kernel uitvoert tijdens het opstarten van het systeem. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een bootkit kan code op UEFI-niveau uitvoeren en het besturingssysteem aanpassen voordat het is geladen. De bootkit, met de naam Bootkitty, ondersteunt op het moment alleen een aantal Ubuntu-versies. De malware werd geüpload naar Googles online virusscandienst VirusTotal en kwam zo bij de onderzoekers terecht. Bootkitty is gesigneerd door een zelfondertekend certificaat en kan dus niet worden uitgevoerd op systemen waarop UEFI Secure Boot standaard is ingeschakeld. De bootkit is ontworpen om de Linux-kernel naadloos op te starten, of UEFI Secure Boot nu is ingeschakeld of niet, omdat het in het geheugen de noodzakelijke functies patcht die verantwoordelijk zijn voor integriteitsverificatie, nog voordat de GRUB-bootloader wordt gestart. "De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voordat deze wordt uitgevoerd", aldus de onderzoekers. Via de bootkit kunnen aanvallers volledige controle over het getroffen systeem krijgen, omdat het opstartproces wordt overgenomen en het mogelijk is malware uit te voeren nog voordat het besturingssysteem is opgestart. Tijdens de analyse werd een mogelijk gerelateerde niet-ondertekende kernelmodule ontdekt die mogelijk door dezelfde auteur is ontwikkeld. Deze module laadt een andere, voor de onderzoekers nog onbekende kernelmodule. Op basis van de werking van de bootkit, waaronder het crashen van systemen, denken de onderzoekers dat het hier om een proof of concept gaat. ESET heeft de malware nog niet in het wild aangetroffen. De virusbestrijder merkt op dat Bootkitty op dit moment geen echte bedreiging voor Linux-systemen vormt, maar de ontdekking een interessante ontwikkeling is. bron: https://www.security.nl

Twee kwetsbaarheden in de vpn-software van SonicWall en Palo Alto Networks maken het mogelijk voor aanvallers om via een malafide vpn-server bij gebruikers malware te installeren als die verbinding met de server maken, zo laten onderzoekers van securitybedrijf AmberWolf weten. Beide bedrijven hebben inmiddels beveiligingsupdates voor de kwetsbaarheden (CVE-2024-29014 en CVE-2024-5921) uitgebracht. In het geval van SonicWall bevindt de kwetsbaarheid zich in de SonicWALL NetExtender vpn-client voor Windows versie 10.2.339. De software laat gebruikers verbinding met een vpn-server maken. De kwetsbaarheid (CVE-2024-29014) maakt het mogelijk voor een aanvaller om malafide updates naar gebruikers te sturen als die verbinding met een malafide vpn-server maken. Een aanvaller zou dit bijvoorbeeld door middel van social engineering kunnen doen. Zodra de gebruiker verbonden met de malafide vpn-server is kan de aanvaller een malafide update naar de gebruiker sturen. De enige voorwaarde is dat de 'update' gesigneerd is met een geldig code-signing certificaat. Dergelijke certificaten kunnen aanvallers bij derde partijen stelen of zelf aanschaffen. Vervolgens is het mogelijk om code op het systeem van de gebruiker met SYSTEM-rechten uit te voeren. Een andere aanvalsvector is via de SonicWall SMA Connect Agent die op basis van web-requests de vpn-client kan starten. Zodra de gebruiker een malafide website bezoekt kan die een request versturen waardoor de SMA Connect Agent verbinding met de malafide vpn-server maakt en de aanvaller de update naar het systeem van de gebruiker kan sturen, zo stellen de onderzoekers in hun analyse. De kwetsbaarheid in de GlobalProtect vpn-client van Palo Alto Networks is ook door middel van een malafide update te misbruiken. Wederom moet een gebruiker eerst met de vpn-server van de aanvallers verbinding maken. Vervolgens zijn zowel macOS- als Windows-gebruikers van de software aan te vallen. Een aanvaller kan daarna inloggegevens stelen, willekeurige code met verhoogde rechten uitvoeren en een malafide rootcertificaat installeren, wat verdere aanvallen mogelijk maakt. De onderzoekers van AmberWolf gaven onlangs een presentatie over de twee kwetsbaarheden en maakten een opensourcetool genaamd NachoVPN beschikbaar, waarmee de aanvallen zijn uit te voeren. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die is voorzien van bounce tracking protection, om zo deze manier van tracking tegen te gaan. Bounce tracking protection is een trackingmethode waarbij een gebruiker op een link klinkt en vervolgens via een trackingpagina bij de uiteindelijke bestemming komt. Omdat eerst de trackingpagina wordt bezocht kunnen trackers 'first-party cookies' plaatsen en lezen die niet door de browser geblokkeerd worden, in tegenstelling tot zogenoemde third-party cookies waarbij dit wel het geval is. Een gebruiker zit bijvoorbeeld op de website rabbits.example en klikt op een link naar turtles.example. De tracker die op de eerstgenoemde website actief is wijzigt op het laatste moment de link naar tracker.example. De gebruiker komt zo eerst uit op de trackingsite, die de gebruiker vervolgens doorstuurt naar turtles.example. Zo weet de trackingsite dat de betreffende gebruiker interesse in konijnen en schildpadden heeft. Wanneer tracker.example zichzelf maar vaak genoeg bij het browsen van de gebruiker weet te injecteren, kan er een uitgebreid profiel van hem worden gemaakt. Firefox biedt standaard 'Enhanced Tracking Protection' (ETP) waarmee het zaken als trackers en cross-site cookies blokkeert om tracking tegen te gaan. Bounce tracking protection is nu toegevoegd aan het strengste niveau van ETP, de zogenoemde 'Strict' mode. Eenmaal actief zal bounce tracking protection periodiek de cookies en site data van bounce trackers verwijderen om zo tracking tegen te gaan. Bounce tracking protection is beschikbaar in Firefox 133. Updaten kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Aanvallers hebben een kwetsbaarheid in Mozilla Firefox en Windows gecombineerd voor het automatisch infecteren van gebruikers met een backdoor, zo laat antivirusbedrijf ESET weten. Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Mozilla werd op 8 oktober over het beveiligingslek ingelicht en kwam op 9 oktober met een patch voor Firefox. Het onderzoek naar de kwetsbaarheid in Firefox (CVE-2024-9680) leverde een tweede aangevallen kwetsbaarheid op die zich in Windows bevond (CVE-2024-49039). Microsoft werd op 14 oktober ingelicht en verhielp het probleem op 12 november. De aanvallen begonnen met een malafide website die slachtoffers naar een exploitserver stuurde. Was de aanval succesvol, dan werd er shellcode uitgevoerd die de uiteindelijke backdoor op het systeem van de gebruiker installeerde. Het beveiligingslek in Firefox maakte het mogelijk voor aanvallers om code binnen de browser uit te voeren. Firefox maakt gebruik van een sandbox, om te voorkomen dat kwetsbaarheden in de browser een aanvaller meteen toegang tot het hele systeem geven. Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren. Het beveiligingslek in de Task Scheduler van Windows is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft. Van 10 tot 16 oktober, net nadat de Firefox-kwetsbaarheid was gepatcht, ontdekten onderzoekers van ESET andere servers waarop de exploit draaide. Eenmaal actief kan de backdoor wachtwoorden, cookies en andere inloggegevens stelen, alsmede allerlei soorten bestanden, screenshots maken en gebruikt worden voor het aanvallen van andere systemen. Volgens het antivirusbedrijf bevinden de meeste potentiële slachtoffers zich in Europa en de Verenigde Staten. De aanval is het werk van een aan Rusland gelieerde groep die zich met cybercrime en spionage bezighoudt, aldus ESET. bron: https://www.security.nl

Microsoft zou Word- en Excel-documenten van gebruikers gebruiken voor het trainen van 'AI', zo stelt een Canadese auteur. Het techbedrijf ontkent dit. Op 14 november schreef Dr. Casey Lawrence in een blogpost op Medium met de titel 'MS Word is Using You to Train AI' dat Microsoft een feature in Office heeft ingeschakeld die Word- en Exel-documenten scrapet voor het trainen van "interne AI-systemen". Een aantal dagen eerder was hier op Facebook voor gewaarschuwd, waarna het bericht in de 'writers community' circuleerde. Lawrence wijst in haar blogposting ook naar het in september 2024 bijgewerkte privacybeleid van Microsoft. Daarin staat dat het techbedrijf persoonlijke data voor het trainen van AI kan gebruiken. De feature in kwestie wordt 'Connected experiences' genoemd. Dit zijn 'experiences' die content van de gebruiker analyseren voor het doen van aanbevelingen, suggesties, inzichten en soortgelijke features, aldus de uitleg van Microsoft. In het privacybeleid wordt Connected experiences niet expliciet genoemd. Het bericht op Medium werd door een X-gebruiker genaamd nixCraft onder meer dan 374.000 volgers verspreid en zo door allerlei media opgepikt. In een reactie op het bericht van nixCraft laat Microsoft weten dat het in Microsoft 365-apps geen klantdata gebruikt om large language models (LLMs) te trainen. De instelling is volgens Microsoft nodig om features mogelijk te maken waardoor verschillende personen aan een document kunnen werken. Gebruikers kunnen Connected experiences via de privacyopties van Office uitschakelen. Update De Privacy Company uit Den Haag publiceerde in 2019 voor Strategic Vendor Management Microsoft (SLM Rijk) van het ministerie van Justitie en Veiligheid een Data protection impact assessment (DPIA) over Office 365, waarin ook Connected experiences wordt besproken (pdf). De DPIA levert vijf hoge databeschermingsrisico's op, die volgens de onderzoekers onder andere worden veroorzaakt doordat Microsoft nog geen centrale opt-out functionaliteit voor de Connected Experiences in Office Online en in de mobiele Office apps heeft ingebouwd. Als één van de aanbevelingen om de databeschermingsrisico's te mitigeren werden overheidsinstanties opgeroepen om beleid op te stellen geen gebruik van Connected experiences te maken. Een Microsoft 365 MVP (Most Valuable Professional) laat via X weten dat Connected experiences data naar Microsoft kan sturen, maar geen data verstuurt voor het trainen van AI-modellen. Een andere MVP merkt op dat Connected experiences niet nieuw is, maar Microsoft onlangs heeft aangepast hoe de feature is uit te schakelen en dat veel privacybewuste organisaties de optie hebben uitgeschakeld. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de ssl vpn gateways van fabrikant Array Networks, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het beveiligingslek (CVE-2023-28461) kan een ongeauthenticeerde aanvaller op afstand het filesystem van de ssl vpn gateway verkennen of code op het apparaat uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vorig jaar maart kwam Array Networks met een beveiligingsupdate voor het probleem. Het CISA geeft geen details over de aanvallen. Vorig jaar juli meldde een beveiligingsonderzoeker op X dat misbruik van CVE-2023-28461 plaatsvond, maar verdere informatie werd niet gegeven. De ssl vpn gateway van Array Networks geeft gebruikers op afstand toegang tot applicaties, desktops, file shares, netwerken en websites. bron: https://www.security.nl

Meer dan honderdduizend WordPress-sites zijn kwetsbaar voor aanvallen door kritieke kwetsbaarheden in de plug-in 'Anti-Spam, FireWall by CleanTalk'. Via de kwetsbaarheden (CVE-2024-10542 en CVE-2024-10781) kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op WordPress-sites installeren, wat kan leiden tot remote code execution. Anti-Spam, FireWall by CleanTalk moet WordPres-sites beschermen tegen spam in onder andere reacties en andere onderdelen. De plug-in is kwetsbaar voor een 'authorization bypass via reverse dns-spoofing', zo meldt securitybedrijf Wordfence. Een functie voor het installeren van plug-ins kijkt naar verschillende onderdelen voordat het mogelijk is een plug-in te installeren, waaronder ip-adres en de aanwezigheid van het domein 'cleantalk.org' in het request. De genoemde kwetsbaarheid maakt het mogelijk voor een aanvaller om deze controle te omzeilen. Zo vindt de controle op het ip-adres plaats op basis van door de gebruiker gedefinieerde parameters. Een gebruiker kan dan ook een ander ip-adres opgeven, waardoor het lijkt alsof het om het ip-adres van ontwikkelaar CleanTalk gaat. Daarnaast wordt gecontroleerd of het request om een plug-in te installeren afkomstig is van het domein cleantalk.org. De controle kijkt alleen naar de aanwezigheid van de string 'cleantalk.org'. Een aanvaller kan de controle omzeilen door een subdomein te gebruiken zoals ‘cleantalk.org.evilsite.com'. Zodoende kan een aanvaller een request naar de kwetsbare functie sturen waarmee het mogelijk is om op de betreffende WordPress-site een plug-in te installeren. De ontwikkelaar werd op 30 oktober ingelicht en kwam op 1 november met een gedeeltelijke oplossing (6.44). Een aantal dagen werd een tweede authorization bypass ontdekt (CVE-2024-10542), waardoor het wederom mogelijk is voor aanvallers om op afstand plug-ins te installeren. Op 14 november verscheen versie 6.45 waarin ook dit probleem is opgelost. Uit cijfers van WordPress.org blijkt dat een groot aantal websites nog versie 6.44 of lager draait en kwetsbaar is. Het zou om zo'n 56 procent van de meer dan 200.000 websites gaan die van de plug-in gebruikmaken. bron: https://www.security.nl

QNAP heeft meerdere kwetsbaarheden die onder de CVSS-beoordeling als kritiek zijn aangemerkt zelf als 'belangrijk' bestempeld. De NAS- en routerfabrikant kwam dit weekend met beveiligingsupdates voor onder andere de NAS-applicatie Notes Station 3 en QuRouter, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Via de kwetsbaarheden zouden in het ergste geval remote aanvallers toegang tot de apparaten kunnen krijgen. De beveiligingsbulletins voor Notes Station 3 en QuRouter zijn door QNAP aangemerkt als 'important'. Twee kwetsbaarheden in Notes Station 3 (CVE-2024-38643 en CVE-2024-38645) alsmede een beveiligingslek in QuRouter (CVE-2024-48860) zijn volgens de CVSS-beoordeling kritiek. Het Common Vulnerability Scoring System (CVSS) is bedacht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is. De score is uit verschillende onderdelen opgebouwd. Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem. Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws. CVE-2024-48860 betreft command injection, waardoor een remote aanvaller commando's op de router kan uitvoeren. CVE-2024-38643 wordt omschreven als 'ontbrekende authenticatie', waardoor remote aanvallers toegang tot belangrijke functies kunnen krijgen en uitvoeren. CVE-2024-38645 is een server-side request forgery (SSRF) kwetsbaarheid waardoor een geauthenticeerde aanvaller applicatiedata kan lezen. Door niet aan te geven dat het om kritieke kwetsbaarheden gaat kan het zijn dat gebruikers de updates later installeren dan ze zouden doen bij kritieke beveiligingslekken. bron: https://www.security.nl

Microsoft heeft 240 domeinnamen in beslag genomen die werden gebruikt voor het aanbieden en functioneren van phishingkits, zo heeft het techbedrijf zelf bekendgemaakt. Phishingkits bieden allerlei templates voor het uitvoeren van phishingaanvallen. Volgens Microsoft werden de aangeboden "ONNX" phishingkits door allerlei criminelen afgenomen en gebruikt voor aanvallen op Microsoft-accounts. De dienst bood verschillende abonnementen en opties aan. "Phishingmails afkomstig van deze 'doe-het-zelf' kits zijn verantwoordelijk voor een groot deel van de tientallen tot honderden miljoenen phishingberichten die Microsoft elke maand ziet", aldus het techbedrijf. Dat stelt dat ONNX qua e-mailvolume in top vijf zit van aanbieders van phishingkits. Microsoft vroeg een rechter met succes om de domeinnamen in beslag te kunnen nemen. Hoewel de domeinen in beslag zijn genomen merkt Microsoft op dat andere aanbieders het nu ontstane gat zullen vullen. Het techbedrijf verdenkt een Egyptische man van het ontwikkelen en aanbieden van de phishingdienst. bron: https://www.security.nl

Vijf kwetsbaarheden in needrestart, een tool die standaard wordt mee geïnstalleerd met Ubuntu Server sinds versie 21.04, maakt het mogelijk voor een lokale gebruiker om willekeurige code als root uit te voeren. De beveiligingslekken zijn in de nieuwste versie van needrestart (versie 3.8) verholpen. Needrestart is een tool die het systeem scant om te kijken of het systeem of services herstart moeten worden. De tool controleert met name op services die verouderde gedeelde libraries gebruiken, zoals wanneer een library tijdens een package-update is vervangen. Omdat het in de server-images is geïntegreerd wordt needrestart automatisch gestart na APT-operaties zoals install, upgrade of remove. Securitybedrijf Qualys vond verschillende 'fundamentele kwetsbaarheden' in de tool waar een lokale aanvaller misbruik van kan maken. Zo kan een lokale aanvaller willekeurige als root uitvoeren door needrestart de Ruby of Python interpreter te laten uitvoeren met een door de aanvaller gecontroleerde omgevingsvariabele. Een andere kwetsbaarheid betreft een 'race condition' waardoor een aanvaller zijn eigen, fake Python interpreter door needrestart kan laten uitvoeren. Ook kan een aanvaller via needrestart de ScanDeps module van Perl aanroepen met zijn eigen malafide bestanden. Qualys, dat de kwetsbaarheden 'alarmerend' noemt, zegt dat het vooralsnog geen exploitcode beschikbaar stelt. Het securitybedrijf waarschuwt dat de beveiligingslekken in kwestie eenvoudig te misbruiken zijn en andere onderzoekers mogelijk wel met exploits zullen komen. bron: https://www.security.nl

Zoekmachine DuckDuckGo heeft de Europese Commissie opgeroepen om drie onderzoeken uit te voeren naar het naleven van de Europese Digitale Markets Act (DMA) door Google. Volgens DuckDuckGo voldoet Google niet aan de eisen van de DMA. Het techbedrijf deelt geen geanonimiseerde click en query data, heeft het aanpassen van de standaard zoekinstellingen niet eenvoudig gemaakt en biedt gedownloade zoek- en browserapps niet de mogelijkheid om eenvoudig de standaard optie te worden, terwijl dit wel onder de DMA verplicht is, aldus DuckDuckGo. De DMA zorgt voor toezicht en maatregelen voor de grootste online platforms met een zogenoemde poortwachterspositie. De regels zouden voor een eerlijker speelveld op de digitale markt moeten zorgen en kaders aan deze bedrijven stellen, ook die van buiten de EU. Volgens DuckDuckGo probeert Google de DMA te ondermijnen. Zo zou het bedrijf selectief aan bepaalde verplichtingen voldoen, terwijl het andere negeert. Dit heeft ervoor gezorgd dat de zoekmarkt in de EU nauwelijks is veranderd, zo stelt DuckDuckGo. Zo verplicht de DMA dat poortwachters het eenvoudig maken om van zoekmachine en browser te veranderen. Iets wat bij Google niet het geval is, benadrukt DuckDuckGo. "Voordat de DMA in werking trad waren er meer dan vijftien stappen nodig om je standaard zoekmachine op Android te wijzigen en dat is vandaag de dag nog steeds het geval. Er zijn geen enkele wijzigingen doorgevoerd." Ook het aanpassen van de zoekmachine in Google Chrome is niet eenvoudiger gemaakt. Daarnaast stelt DuckDuckGo dat Google een aangepast Android-keuzescherm nog onder meer dan 250 miljoen Europese gebruikers moet uitrollen. "Toezichthouders wereldwijd zouden moeten zien wat er met de DMA gebeurt, en leren hoe Google de mazen in de wet weet te misbruiken en die zo omzeilt, en dan maatregelen nemen om ervoor te zorgen dat Google geen nieuwe barrières kan opwerpen tegen vooruitgang en een eerlijke spelveld", concludeert DuckDuckGo, dat toevoegt dat de DMA ook niet goed inspeelt op het schaalvoordeel dat Google heeft. bron: https://www.security.nl

Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem. De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren. Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld. bron: https://www.security.nl

De Europese Commissie heeft vandaag in het Publicatieblad van de Europese Unie de Cyber Resilience Act (CRA) gepubliceerd, die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen. Ook komt er een meldplicht voor actief misbruikte kwetsbaarheden. De CRA treedt op 10 december dit jaar in werking. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen. De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries. "Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken", zo staat in de tekst van de CRA. De eisen die de CRA stelt moeten ervoor zorgen dat. fabrikanten op een veilige manier producten ontwerpen, ontwikkelen en onderhouden. Zo moeten fabrikanten hun product minimaal vijf jaar van beveiligingsupdates voorzien. Ook vereist de wet dat feabrikanten een proces inrichten om te reageren op kwetsbaarheden en om deze direct te kunnen verhelpen, bijvoorbeeld door een beveiligingsupdate te verstrekken. Meldplicht Een ander punt is een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Deze verplichting gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldingsplatform rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen. Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen wordt de meldplicht toch ingevoerd. "De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten. "De eerste achttien maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden." De RDI gaat toezicht op het naleven van de CRA houden. bron: https://www.security.nl

De ontwikkelaars van Brave hebben de in de browser ingebouwde adblocker voorzien van 'procedureel filteren', om zo advertenties te blokkeren. Dat hebben de ontwikkelaars aangekondigd. Het blokkeren van advertenties kan ervoor zorgen dat websites er visueel niet goed uitzien, zoals lege ruimtes waar normaal advertenties worden getoond. Een ander punt is dat advertenties soms niet door middel van netwerk requests zijn te blokkeren, omdat de advertenties en webcontent gecombineerd zijn. In deze gevallen past Brave 'cosmetisch filteren' toe om zo ongewenste pagina-elementen te verbergen. Dit wordt gedaan door middel van CSS selectors. Niet alle elementen op een pagina zijn echter door middel van CSS selectors te verbergen. "CSS is declaratief, wat inhoudt dat het het uiterlijk en de layout van een pagina controleert op basis van de paginastructuur in plaats van de inhoud. Dit maakt het lastiger voor ons om het verschil tussen een advertentie en andere paginacontent te bepalen wanneer een advertentie eruitziet als de rest van de pagina", aldus de Brave-ontwikkelaars. Om ook dergelijke advertenties te verbergen ondersteunt Brave nu procedureel filteren. Hierbij geeft de browser een omschrijving van hoe te blokkeren elementen eruitzien. "Procedureel filteren laat ons condities definiëren zoals "blokkeer elementen met de tekst KOOP DIT PRODUCT”. Dit maakt het mogelijk om nauwkeurig pagina-elementen te matchen: we kunnen elementen met specifieke elementen kiezen, die aan een minimale tekstlengte voldoen, of met een bepaalde HTML ancestor. Al met al vergroot dit het soort ongewenste content dat we op het web kunnen blokkeren." Procedureel filteren is toegevoegd aan Brave versie 1.73 voor alle platforms. bron: https://www.security.nl

Palo Alto Networks is bang dat een kritieke kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait, op grotere schaal kan worden misbruikt nu exploitcode op internet is verschenen. Securitybedrijf Watchtowr, dat de exploit publiceerde, noemt het verbazingwekkend dat de betreffende kwetsbaarheden in de firewalls van Palo Alto Networks konden verschijnen. Vorige week waarschuwde Palo Alto Networks voor een actief misbruikte kwetsbaarheid in de managementinterface van PAN-OS, Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren. Maandag kwam het bedrijf met een beveiligingsupdate, alsmede de waarschuwing voor een tweede actief misbruikte kwetsbaarheid (CVE-2024-9474) die in combinatie met CVE-2024-0012 wordt gebruikt. Aanvallers gebruiken beide kwetsbaarheden om firewalls met malware te infecteren zoals webshells, om zo toegang tot het apparaat te behouden, aldus Palo Alto Networks. Dat heeft inmiddels een lijst met 23 ip-adressen gegeven die de aanvallers bij de eerder waargenomen aanvallen gebruikten. Het gaat in veel gevallen om ip-adressen van vpn-providers. Nu een exploit online is verschenen zal dit voor een 'bredere dreigingsactiviteit' kunnen zorgen, zo laat een update van het beveiligingsbulletin weten. Klanten worden opgeroepen de update te installeren en ervoor te zorgen dat de managementinterface van hun firewall niet vanaf het internet toegankelijk is. bron: https://www.security.nl

D-Link roept gebruikers op om kwetsbare end-of-life vpn-routers te vervangen en biedt korting bij de aanschaf van een wel ondersteund model. Een kritieke kwetsbaarheid in de producten maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code uit te voeren. D-Link heeft geen CVE-nummer van de kwetsbaarheid, maar laat weten dat het probleem speelt in zes modellen vpn-routers: DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N en DSR-1000N. Het gaat om een 'stack buffer overflow', maar verdere details zijn niet beschikbaar. De eerste vier van deze modellen worden sinds 1 mei van dit jaar niet meer door D-Link met beveiligingsupdates ondersteund. De DSR-500N en DSR-1000N zijn al sinds eind 2015 end-of-life. D-Link roept gebruikers op om de apparaten door wel ondersteunde routers te vervangen en biedt twintig procent korting bij de aanschaf van een wel ondersteund model. Gebruikers die de kwetsbare routers blijven gebruiken worden onder andere opgeroepen om een uniek wachtwoord voor de webinterface in te stellen. bron: https://www.security.nl

Microsoft gaat begin volgend jaar een nieuwe feature uitrollen genaamd 'Quick Machine Recovery' die ervoor moet zorgen dat Windowscomputers in het geval van problemen zoals een crash sneller te herstellen zijn. Ook wordt het mogelijk voor virusscanners en andere beveiligingssoftware om buiten de kernelmode van Windows te draaien. Daarnaast komt er een nieuwe feature genaamd Administrator Protection, waarmee Windowsgebruikers zonder adminrechten systeemaanpassingen of installaties kunnen uitvoeren. De features en aanpassingen zijn onderdeel van het 'Windows Resiliency Initiative' en moeten helpen om een wereldwijde computerstoring zoals de beveiligingssoftware van CrowdStrike veroorzaakte te voorkomen. Met Quick Machine Recovery kunnen systeembeheerders straks op afstand bepaalde fixes van Windows Update doorvoeren, ook als een Windowscomputer niet kan opstarten. Quick Machine Recovery zal begin volgend jaar als eerste via het Windows Insider Program beschikbaar komen. Kernelmode In juli 2025 wil Microsoft beginnen met het testen van een optie waardoor virusscanners en andere beveiligingssoftware niet meer altijd of volledig in kernelmode moeten draaien. Wanneer applicaties met kernelrechten crashen heeft dit grote gevolgen voor het systeem en maakt herstel lastiger, zoals het probleem met de software van CrowdStrike liet zien. De aanpassing moet volgens Microsoft ervoor zorgen dat zowel security geborgd is als eenvoudiger herstel in het geval van een crash of fout. Administrator Protection laat gebruikers bepaalde zaken waarvoor adminrechten zijn vereist, zoals systeemaanpassingen of de installatie van apps, zonder deze rechten uitvoeren. De aanpassing of installatie kan dan worden bevestigd door middel van Windows Hello, het biometrische authenticatiesysteem van Microsoft. Windows maakt dan een tijdelijk, geisoleerd admintoken aan om de taak uit te voeren. Een andere nieuwe feature die Microsoft vandaag aankondigde zijn 'safe deployment practices' voor beveiligingsproducten. Alle leden van het Microsoft Virus Initiative moeten verschillende 'deployment rings' en uitgebreide monitoring voor hun beveiligingsproducten toepassen. Dit moet voorkomen dat een defecte update voor een grote storing zorgt, omdat de fout dan in een vroeger stadium kan worden opgemerkt. Verder laat Microsoft weten dat het veiligere programmeertalen gaat gebruiken, waarbij implementaties van C++ uiteindelijk worden vervangen door Rust. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid om LoadMaster-loadbalancers van Progress Kemp aan te vallen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2024-1212) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Een loadbalancer verdeelt verkeer over beschikbare servers en kan ook aanvullende functionaliteit bieden, zoals een Web Application Firewall. Een kritiek beveiligingslek in de LoadMaster-loadbalancer maakt het mogelijk voor een ongeauthenticeerde aanvaller, die toegang tot de managementinterface heeft, om via een speciaal geprepareerd commando willekeurige systeemcommando's uit te voeren. Vanwege de ernst van het beveiligingslek liet de supportpagina van Kemp, dat in 2021 door softwarebedrijf Progress werd overgenomen, begin dit jaar een rode banner zien om klanten te waarschuwen. In het beveiligingsbulletin dat in februari verscheen liet Kemp ook weten dat het wachtwoordbeleid is aangepast en werden klanten opgeroepen hun accountwachtwoord te wijzigen. Het CISA geeft geen details over de waargenomen aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in VMware vCenter Server, waaronder een kritiek beveiligingslek dat het voor ongeauthenticeerde aanvallers mogelijk maakt om op afstand code op kwetsbare servers uit te voeren. Dat laat Broadcom weten, dat op 17 september met beveiligingsupdates voor beide kwetsbaarheden (CVE-2024-38812 en CVE-2024-38813) kwam. >VCenter Server is een oplossing om vanaf één gecentraliseerde plek virtual machines, meerdere ESXi-hosts en andere onderdelen te beheren. Zo kunnen organisaties hun virtuele omgevingen configureren, controleren en monitoren. VCenter maakt gebruik van DCE RPC, een protocol voor het aanroepen van een procedure op een remote machine alsof het een local procedure call is. Het DCE RPC-protocol binnen vCenter bevatte een heap-overflow kwetsbaarheid. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De tweede actief aangevallen kwetsbaarheid, CVE-2024-38813, maakt het mogelijk voor een aanvaller met netwerktoegang tot de vCenter-server om zijn rechten te verhogen naar die van root. Dit kan door het versturen van een speciaal geprepareerd netwerkpakket. Eind oktober maakte Broadcom bekend dat de in september uitgebrachte update voor CVE-2024-38812 onvoldoende is. Er werd een tweede update uitgebracht om het beveiligingslek volledig te verhelpen. Gisteren liet het bedrijf weten dat aanvallers inmiddels actief misbruik van CVE-2024-38812 en CVE-2024-38813 maken. Details over de aanvallen zijn niet gegeven. bron: https://www.security.nl

Oracle heeft buiten de vaste patchcyclus om een noodupdate uitgebracht voor een actief aangevallen kwetsbaarheid in Agile Product Lifecycle Management (PLM). De aanvallen vonden al voor het uitkomen van de patch plaats. Oracle Agile PLM is een platform dat bedrijven moet helpen bij de levenscyclus van een product, zoals het ontwerp, de ontwikkeling, lancering en beheer. De oplossing draait op een eigen applicatieserver en bevat allerlei informatie over nog te ontwerpen, ontwikkelen en lanceren producten. Een kwetsbaarheid in Oracle PLM maakt het mogelijk voor ongeauthenticeerde aanvallers met toegang tot de oplossing om vertrouwelijke bestanden te stelen. Oracle werd door securitybedrijf CrowdStrike ingelicht dat de kwetsbaarheid bij aanvallen werd ingezet. De impact van het beveiligingslek, aangeduid als CVE-2024-21287, is op een schaal van 1 tot en met 10 beoordeeld met 7.5. Oracle roept bedrijven op om de update zo snel mogelijk te installeren. Oracle geeft geen details over de waargenomen aanvallen of technische details over de kwetsbaarheid, behalve dat het beveiligingslek op afstand is te misbruiken, waarbij de aanvaller niet over een gebruikersnaam en wachtwoord hoeft te beschikken. bron: https://www.security.nl