Captain Kirk

Zeker tienduizend WordPress-sites zijn nog altijd kwetsbaar voor aanvallen omdat een beschikbare beveiligingsupdate niet is geïnstalleerd. De websites maken gebruik van The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. De kwetsbaarheid werd al voor het uitkomen van een beveiligingsupdate aangevallen. Op 9 maart kwamen de ontwikkelaars van de add-on met een patch. Volgens securitybedrijf Wordfence heeft een kleine zestig procent van de websites de update inmiddels geïnstalleerd. Zeker tienduizend websites hebben dat niet gedaan en lopen daardoor risico. Wordfence claimt dat het miljoenen aanvallen heeft waargenomen waarbij aanvallers het hadden voorzien op het beveiligingslek in The Plus Addons. Zodra aanvallers een website hebben gecompromitteerd voegen ze onder andere JavaScript toe die bezoekers naar malafide websites doorstuurt. bron: https://www.security.nl

Een Amerikaanse organisatie is bijna een jaar lang gecompromitteerd geweest door aanvallers die de vpn-wachtwoorden van thuiswerkers hadden bemachtigd en een kwetsbaarheid in de software van SolarWinds gebruikten voor de installatie van een backdoor. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens het CISA staat deze aanval en de gebruikte Supernova-malware los van de wereldwijde supply-chain-aanval via de software van SolarWinds die vorig jaar werd ontdekt. Microsoft waarschuwde eind december vorig jaar al voor de Supernova-malware die wordt geïnstalleerd via een kwetsbaarheid in het Orion-platform van SolarWinds. Via dit lek kan een ongeauthenticeerde aanvaller commando's op de Orion-server uitvoeren en zo de backdoor installeren. Microsoft stelde destijds al dat de aanval met de Supernova-malware los stond van de supply-chain-aanval en was uitgevoerd door een andere groep aanvallers. Het CISA heeft nu meer details over de aanval op één van de getroffen organisaties gegeven. De aanvallers wisten van maart 2020 tot en met februari 2021 via de Pulse Secure vpn-server van deze organisatie in te loggen op het bedrijfsnetwerk. Hierbij maakten de aanvallers gebruik van geldige vpn-wachtwoorden van thuiswerkers. Voor deze accounts was geen multifactorauthenticatie ingesteld. Hoe de aanvallers deze wachtwoorden hebben bemachtigd is onbekend. Daarnaast gebruikten de aanvallers Amerikaanse ip-adressen om verbinding met de vpn-server te maken. "Zo konden ze zich voordoen als thuiswerkers", laat het CISA in de analyse weten. De ip-adressen in kwestie waren van routers die zeer vermoedelijk door de aanvallers zijn gecompromitteerd. Nadat er toegang tot het netwerk was verkregen maakten de aanvallers verbinding met de SolarWinds Orion-server. Via de kwetsbaarheid in de software, die inmiddels is gepatcht, werd de Supernova-backdoor geïnstalleerd. Via de backdoor brachten de aanvallers vervolgens het netwerk in kaart en konden allerlei gevoelige informatie en inloggegevens stelen. Het CISA geeft in de analyse verschillende details over de aanvallers en malware, waaronder ip-adressen. Organisaties die de Supernova-malware in hun netwerk aantreffen wordt opgeroepen om dit incident als een andere aanval dan de supply-chain-aanval te beschouwen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS wil dat er een verbod komt op gezichtsherkenning en andere vormen van biometrische identificatie in de openbare ruimte. Dat laat de EDPS weten naar aanleiding van een wetsvoorstel van de Europese Commissie om misbruik van kunstmatige intelligentie tegen te gaan. Het wetsvoorstel van de Europese Commissie stelt onder andere dat alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten. De Europese Toezichthouder voor gegevensbescherming (EDPS) had eerder opgeroepen tot een compleet verbod van biometrische identificatie in openbare ruimtes, waaronder gezichtsherkenning, maar daar is geen gehoor aan gegeven. De EDPS zegt zich dan ook te zullen blijven inzetten voor een strengere aanpak van technologie waarmee menselijke kenmerken in de openbare ruimte automatisch worden herkend, zoals gezicht, beweging, vingerafdruk en stem. "Een strengere aanpak is noodzakelijk, gegeven dat biometrische identificatie op afstand, waar AI op ongekende wijze aan kan bijdragen, zeer grote risico's met zich meebrengt wat betreft een vergaande en ondemocratische inbreuk op het privéleven", aldus de EDPS. De toezichthouder zal het voorstel van de Europese Commissie nauwgezet en uitgebreid analyseren, waarbij de nadruk ligt op tools en systemen die een risico voor de fundamentele rechten op databescherming en privacy vormen. bron: https://www.security.nl

Tientallen webshops van het bedrijf DutchDo uit Kerkrade zijn getroffen door een datalek nadat een aanvaller toegang tot de database kreeg, zo blijkt uit een e-mail die het bedrijf naar klanten heeft gestuurd. De gelekte gegevens betreffen in ieder geval adresgegevens en e-mailadres, maar op Twitter laten gedupeerde klanten weten dat in het bericht dat zij ontvingen ook de diefstal van hun IBAN-nummer wordt gemeld. DutchDo exploiteert meer dan dertig verschillende webshops, zoals Adapters.nl, Coaxkabel.nl, Externehardeschijf.nl, Ventilators.nl en Wifiversterken.nl, zo meldt Opgelicht?!. Het bedrijf waarschuwt klanten dat de gestolen gegevens voor spam en phishingaanvallen kunnen worden gebruikt. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Verdere details over de aanval zijn niet gegeven. Op Twitter wordt verder gemeld dat DutchDo en AlleKabels, waar onlangs bleek dat de gegevens van 3,6 miljoen klanten waren gestolen, dezelfde holding hebben. bron: https://www.security.nl

Twitter heeft per ongeluk een e-mail naar gebruikers verstuurd waarin hen werd gevraagd om hun Twitteraccount te bevestigen. Veel gebruikers dachten dat het om een phishingaanval of scam ging, mede omdat de e-mail onverwachts kwam. De e-mail had als onderwerp "Confirm your Twitter account" met de Twitternaam van de gebruiker en bevatte een grote knop genaamd "Confirm Now". Via het officiële Twitter Support-account laat de microbloggingdienst weten dat het om een fout ging en het bericht niet verstuurd had moeten worden. Twittergebruikers die de e-mail hebben ontvangen hoeven hun account niet te bevestigen en kunnen het bericht negeren. bron: https://www.security.nl

Met de volgende versie van Google Chrome kan de browser inloggegevens tussen aanverwante websites delen. Wanneer de gebruiker een account heeft op de website example.com kan Chrome straks aanbieden om daarmee ook in te loggen op example.co.uk als deze site van dezelfde achterliggende partij is, zo heeft Google bekendgemaakt. Op dit moment biedt Chrome deze optie niet aan, wat ervoor kan zorgen dat hetzelfde wachtwoord voor verschillende domeinen in de browser wordt opgeslagen. Chrome 91 biedt gebruikers straks de optie om een opgeslagen wachtwoord voor alle aanverwante websites in te voeren die via Digital Asset Links (DALs) aan elkaar zijn gekoppeld. Het Digital Asset Links (DAL)-protocol maakt het mogelijk voor een app of website om een verifieerbare verklaring over andere apps of websites te maken. Zo kan website A aangeven dat de inloggegevens die Chrome voor de site heeft opgeslagen ook voor website B zijn te gebruiken, zodat gebruikers niet op website B hoeven in te loggen als ze al op website A zijn ingelogd. Bedrijven, organisaties of andere partijen die meerdere websites met hetzelfde accountsysteem hebben kunnen vanaf Chrome 91 ervoor zorgen dat de browser aan gebruikers aanbiedt om opgeslagen inloggegevens voor de ene website ook voor aanverwante websites te gebruiken. Hiervoor moeten de websites in kwestie wel een DAL-koppeling maken, wat is te doen door het toevoegen van een JSON-bestand. Chrome 91 staat gepland voor 25 mei. bron: https://www.security.nl

Eigenaren van een QNAP NAS-systeem die gebruikmaken van Hybrid Backup Sync (HBS 3) zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een aanvaller op afstand toegang tot het apparaat kan krijgen. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Er zijn echter beveiligingsupdates beschikbaar gesteld en QNAP adviseert gebruikers om naar de laatste versie van HBS 3 te updaten. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn de afgelopen dagenb het doelwit geworden van een aanval met de Qlocker-ransomware die bestanden voor losgeld versleutelt. Volgens QNAP maken de aanvallers gebruik van een recent verholpen kwetsbaarheid om systemen met de ransomware te infecteren. Het kritieke beveiligingslek, aangeduid als CVE-2020-36195, is aanwezig in de multimedia console en media streaming add-on en maakt het mogelijk voor aanvallers om op afstand volledige toegang tot een kwetsbaar NAS-systeem te krijgen en ransomware uit te voeren. Vorige week kwam QNAP met een waarschuwing voor de kwetsbaarheid en liet weten in welke versies van de applicaties en QTS die is verholpen. De ransomware maakt gebruik van het archiveringsprogramma 7-Zip om bestanden op het NAS-systeem te versleutelen en eist 450 euro voor het ontsleutelen van de data. Op het forum van Bleeping Computer hebben zich al honderden slachtoffers van de ransomware gemeld. Onderzoekers hebben mogelijk een manier gevonden waardoor slachtoffers kosteloos hun bestanden kunnen ontsleutelen, maar dit wordt nog verder onderzocht. bron: https://www.security.nl

Antivirusbedrijf Trend Micro waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de beveiligingssoftware van de virusbestrijder. Het beveiligingslek CVE-2020-24557 bevindt zich in Trend Micro Apex One, Apex One as a Service en OfficeScan XG. Via de kwetsbaarheid kan een aanvaller bepaalde beveiligingsfeatures uitschakelen, bepaalde Windows-features uitschakelen of misbruiken of zijn rechten verhogen. Een aanvaller moet wel toegang tot het systeem hebben om misbruik van de kwetsbaarheid te kunnen maken. Mogelijk is de kwetsbaarheid in de beveiligingssoftware gecombineerd met een ander beveiligingslek of is er via malware misbruik van gemaakt. Trend Micro kwam vorig jaar augustus met een beveiligingsupdate voor het beveiligingslek, maar maakte gisteren bekend dat de kwetsbaarheid actief wordt aangevallen. Klanten die de update nog niet hebben geïnstalleerd worden dan ook opgeroepen dit zo snel mogelijk te doen. Ook het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een waarschuwing voor het aangevallen lek gegeven. Het is niet de eerste keer dat Trend Micro Apex One en OfficeScan het doelwit van aanvallen zijn. Vorig jaar liet de virusbestrijder nog weten dat zerodaylekken in de beveiligingssoftware actief waren misbruikt, mogelijk bij Mitsubishi Electric. bron: https://www.security.nl

De criminelen achter de REvil-ransomware claimen te hebben ingebroken op het netwerk van Quanta Computer, een bedrijf dat onder andere levert aan Apple, Cisco, Dell, HP en Lenovo. Daarbij zouden grote hoeveelheden vertrouwelijke tekeningen en gigabytes aan persoonlijke data zijn buitgemaakt en versleuteld. De aanvallers eisen 50 miljoen dollar voor het ontsleutelen van de gegevens en het niet publiceren van de gestolen data. Om de leverancier onder druk te zetten heeft de REvil-groep via de eigen website inmiddels verschillende afbeeldingen van een nieuwe laptop openbaar gemaakt, waaronder de binnenkant van wat lijkt een Macbook, zo laat Bloomberg weten. De criminelen zeggen dat ze de komende dagen meer bestanden zullen publiceren tenzij Apple betaalt. Quanta Computer erkent dat er een aanval op een "klein aantal" Quanta-servers heeft plaatsgevonden, maar geeft geen verdere informatie over de aard van deze aanval, behalve dat die geen wezenlijke impact op de bedrijfsvoering van de leverancier heeft. bron: https://www.security.nl

De Europese Commissie heeft vandaag nieuwe regels gepresenteerd voor kunstmatige intelligentie en de toepassingen waarvoor de technologie mag worden ingezet. Zo wil Brussel dat AI-systemen die een duidelijke bedreiging vormen voor de veiligheid, bestaansmiddelen en rechten van mensen, worden verboden. Het gaat dan om systemen of toepassingen die menselijk gedrag manipuleren en systemen die "sociale scoring" door overheden mogelijk maken. Zo wordt in China een sociaal kredietscoresysteem gebruikt dat bijhoudt hoe mensen zich gedragen. Als gevolg van bijvoorbeeld bepaalde overtredingen kunnen mensen een lagere score krijgen, wat weer maatschappelijke gevolgen kan hebben. Daarnaast wil de EC "strenge verplichtingen" voor AI-systemen waarvan het risico als "hoog" wordt bestempeld. Zo zullen alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten, zoals het zoeken naar een vermist kind, opsporen van een dader of verdachte van een ernstig misdrijf en het voorkomen van een aanslag. Er moet dan vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databases. Bij het gebruik van AI-systemen zoals chatbots moeten gebruikers zich ervan bewust zijn dat ze contact hebben met een machine. De Europese Commissie verwacht dat de meeste AI-systemen in de categorie "minimaal risico" vallen, zoals op AI-gebaseerde videospellen of spamfilters. "Voor kunstmatige intelligentie is vertrouwen een must, geen luxe. Met deze baanbrekende regels neemt de EU het voortouw bij de ontwikkeling van nieuwe mondiale normen om ervoor te zorgen dat iedereen AI kan vertrouwen", zegt Margrethe Vestager, Eurocommissaris voor Mededinging. "Door normen vast te stellen kunnen we de weg vrijmaken voor wereldwijde ethische technologie en ervoor zorgen dat de EU concurrerend blijft." bron: https://www.security.nl

Tijdens de tweede patchronde van 2021 heeft Oracle beveiligingsupdates beschikbaar gemaakt die in totaal 390 kwetsbaarheden in een groot aantal producten van het bedrijf verhelpen. Oracle roept organisaties op om de patches meteen te installeren. Vijf van de beveiligingslekken scoren op een schaal van 1 tot en met 10 wat betreft de ernst een 10. Tevens zijn er 25 kwetsbaarheden met een impactscore van 9,8. Via dergelijke beveiligingslekken kan een aanvaller kwetsbare systemen op afstand overnemen. De meeste beveiligingslekken (70) zijn verholpen in de E-Business Suite-software van Oracle, zoals Applications Framework, Marketing, Email Center en iStore. In de MySQL-software van het bedrijf zijn 49 kwetsbaarheden gepatcht, terwijl in de Fusion Middleware 45 beveiligingslekken tot het verleden behoren. Het gaat onder andere om twee kritieke kwetsbaarheden in Oracle WebLogic Server. WebLogic-lekken worden vaak kort na het uitkomen van de patches aangevallen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update zonder enige vertraging te installeren en ondersteunde versies van de software te blijven gebruiken. In tegenstelling tot bijvoorbeeld Adobe en Microsoft die maandelijks patches uitbrengen doet Oracle dit eens per kwartaal. De volgende patchronde staat gepland voor 20 juli van dit jaar. bron: https://www.security.nl

Netwerkbeveiligingsleverancier SonicWall heeft beveiligingsupdates beschikbaar gemaakt voor drie actief aangevallen zerodaylekken waar voor zover bekend al sinds maart misbruik van wordt gemaakt. De kwetsbaarheden zijn aanwezig in de Email Security-oplossing van SonicWall. Deze oplossing moet organisaties tegen allerlei soorten aanvallen via e-mail beschermen en kan als een fysieke server, virtual appliance, software-installatie of gehoste SaaS-oplossing worden uitgerold. Het product biedt een beheerdersinterface. Deze interface hoeft niet vanaf het internet toegankelijk te zijn. Toch zijn er volgens securitybedrijf FireEye zevenhonderd beheerdersinterfaces publiek toegankelijk. In maart ontdekten onderzoekers van FireEye dat de SonicWall Email Security (ES) applicatie die op een Windows-server van een klant draaide was gecompromitteerd. Verder onderzoek wees uit dat de aanvallers voor deze aanval drie zerodaylekken hadden gebruikt. Via de kwetsbaarheden installeerden de aanvallers een backdoor, benaderden bestanden en e-mails en bewogen zich lateraal door het netwerk van de aangevallen organisatie. De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2021-20021. Op een schaal van 1 tot en met 10 wat betreft de impact is dit beveiligingslek met een 9,4 beoordeeld. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder enige authenticatie een eigen beheerdersaccount toe te voegen en zo op de beheerdersinterface in te loggen. De SonicWall Email Security-applicatie biedt ingelogde beheerders de mogelijkheid om een aanvullende beheerder van een andere Microsoft Active Directory Organization Unit (AD OU) in te stellen. Bij verzoeken naar deze feature werd echter niet gekeken of de persoon die het verzoek deed wel op de applicatie was ingelogd. Zodoende kan een aanvaller zonder enige authenticatie een verzoek sturen en zo een eigen beheerdersaccount aanmaken. De andere twee zerodaylekken zijn alleen door een geauthenticeerde aanvaller te misbruiken en maken het mogelijk om bestanden te lezen en te uploaden. Bij de waargenomen aanval maakten de aanvallers eerst een beheerdersaccount aan. Vervolgens werden gehashte wachtwoorden van een lokaal aangemaakt beheerdersaccount bemachtigd en een webshell geïnstalleerd om toegang tot het systeem te behouden. Bij de aangevallen organisatie bleek dat het lokale beheerderswachtwoord voor meerdere hosts in het domein werd gebruikt. Hierdoor konden de aanvallers zich via dit account lateraal door de organisatie bewegen. Verder maakten de aanvallers gebruik van al aanwezige applicaties om niet op te vallen. Zo werd een al geïnstalleerde versie van archiveringsprogramma 7-Zip gebruikt om e-mails op het aangevallen systeem te archiveren en vervolgens te stelen. SonicWall stelt dat het van groot belang is dat organisaties de beschikbaar gestelde beveiligingsupdates installeren. bron: https://www.security.nl

Hey Joska, lukt het met de stappen van abbs? Laat het even weten.

Een aanvaller die toegang tot de ontwikkelomgeving van softwarebedrijf Codecov wist te krijgen is erin geslaagd om twee maandenlang malware in een script van het bedrijf te verbergen dat wachtwoorden, tokens en keys van klanten buitmaakte. Dat heeft Codecov via de eigen website bekendgemaakt. Codecov is de aanbieder van Bash Uploader, een script waarmee klanten hun "code coverage" rapporten voor analyse naar Codecov kunnen sturen. Op 31 januari wist een aanvaller toegang tot een Google Cloud Storage (GCS) key van Codecov te krijgen en kon zo het script aanpassen. Zodra klanten het script uitvoeren kon er allerlei vertrouwelijke informatie zoals credentials, tokens of keys naar een server van de aanvaller worden gestuurd. Volgens Codecov heeft probleem zich voorgedaan door een fout bij het proces dat voor het maken van Docker-images wordt gebruikt. Hierdoor kon de aanvaller de eerder genoemde key achterhalen en zo toegang krijgen om het Bash Uploader-script aan te passen. De malafide aanpassing werd op 1 april ontdekt door een klant die de shasum van het script op GitHub vergeleek met die van de gedownloade Bash Uploader. Die waardes bleken niet overeen te komen. Het onderzoek dat volgde wees uit dat het script al twee maanden eerder was aangepast. De Bash Uploader wordt ook binnen andere tools van Codecov gebruikt. Het softwarebedrijf heeft gedupeerde klanten gewaarschuwd en adviseert om credentials, tokens en keys van ontwikkelomgevingen waar Bash Uploader is gebruikt te wijzigen. bron: https://www.security.nl

Google maakt technische details van gevonden kwetsbaarheden vanaf nu later bekend wanneer leveranciers binnen de gestelde deadline met een patch komen. Onderzoekers van Google zoeken actief naar kwetsbaarheden in de producten en programma's van andere bedrijven. Wanneer er een beveiligingslek wordt gevonden krijgt de leverancier in kwestie van Google negentig dagen de tijd om de gevonden kwetsbaarheid te verhelpen. Ongeacht of de leverancier een beveiligingsupdate voor de kwetsbaarheid heeft uitgerold maakte Google de technische details van de kwetsbaarheid altijd op de negentigste dag na de initiële bugmelding bekend. Leveranciers konden een verlenging van veertien dagen aanvragen, maar het was aan Google om dit toe te staan. Het techbedrijf heeft nu besloten om dit beleid iets aan te passen. Wanneer de gerapporteerde kwetsbaarheid binnen negentig dagen door de leverancier wordt gepatcht zal Google de technische details pas dertig dagen na het beschikbaar komen van de beveiligingsupdate openbaar maken. Dit moet voorkomen dat gebruikers al worden aangevallen voordat ze de beschikbare patch hebben kunnen installeren. De details van Google kunnen aanvallers namelijk helpen bij het ontwikkelen van een exploit. Mocht de leverancier in kwestie na negentig dagen het probleem nog niet hebben verholpen, dan zullen de details nog steeds op de negentigste openbaar worden gemaakt, zoals altijd het geval was. In het geval van actief aangevallen zerodaylekken maakte Google de details al na zeven dagen na de initiële melding aan de leverancier bekend. Komt de leverancier binnen zeven dagen met een beveiligingsupdate dan zal Google vanaf nu wederom de details pas na dertig dagen openbaar maken. Is er na zeven dagen geen patch gepubliceerd, dan maakt Google de details wederom zoals voorheen meteen bekend. Volgens Google zorgt het nieuwe beleid ervoor dat leveranciers negentig dagen de tijd hebben om een update te ontwikkelen en er vervolgens dertig dagen voor de uitrol van de update beschikbaar is. Het techbedrijf verwacht, gebaseerd op de huidige patchtijden dat deze verhouding waarschijnlijk volgend jaar zal worden aangepast naar 84 dagen voor het ontwikkelen van de patch en 28 dagen voor het uitrollen. bron: https://www.security.nl

De privacy-extensie HTTPS Everywhere, die ervoor zorgt dat websites die https ondersteunen standaard over https worden geladen, ook al tikt de gebruiker in de adresbalk http of opent een link die met http begint, gaat de Smarter Encryption van DuckDuckGo integreren. Dat laat de Amerikaanse burgerrechtenbeweging EFF weten die HTTPS Everywhere ontwikkelde. Om te kijken of websites https ondersteunen maakt HTTPS Everywhere gebruik van lijsten. Periodiek worden deze lijsten handmatig door de extensie-ontwikkelaars bijgewerkt. Wanneer een website geen https biedt wordt die gewoon via http geladen. Steeds meer websites maken echter gebruik van https en de meeste browsers blokkeren inmiddels mixed-content, waarbij bijvoorbeeld http-content op een https-site wordt geladen. De noodzaak van HTTPS Everywhere wordt daardoor steeds kleiner en het project zal op termijn worden uitgefaseerd. Om ervoor te zorgen dat de gebruikte lijsten met websites tot het einde van de extensie up-to-date blijven gaat de EFF samenwerken met DuckDuckGo. De zoekmachine heeft een eigen browser-extensie genaamd Privacy Essentials die onder andere een soortgelijke functionaliteit als HTTPS Everywhere biedt genaamd Smarter Encryption. In plaats van lijsten met https-sites handmatig bij te houden maakt DuckDuckGo gebruik van crawlers om te kijken of websites https ondersteunen. Daardoor bevat Smarter Encryption inmiddels veel meer domeinen dan HTTPS Everywhere. Gebruikers van HTTPS Everywhere hoeven niets te doen om van de Smarter Encryption-dataset gebruik te maken en kunnen de extensie voorlopig gewoon blijven gebruiken. De EFF is van plan om de HTTPS Everywhere-rulesets eind dit jaar uit te faseren, waarna de ondersteuning van HTTPS Everywhere volledig wordt gestaakt. Wanneer dit precies is zal de EFF op een later moment bekendmaken. bron: https://www.security.nl

Vanaf 9 mei aanstaande maakt Microsoft voor alle grote diensten en processen, zoals tls-certificaten, het signeren van code en hashen van bestanden, gebruik van het SHA-2-algoritme en zal het zwakkere SHA-1-algoritme volledig zijn uitgefaseerd. Dat heeft het techbedrijf zelf aangekondigd. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren. Microsoft besloot in 2019 het veiligere SHA-2-algoritme voor het signeren van Windows-updates te gebruiken en verwijderde vorig jaar augustus alle Windows-gesigneerde SHA-1-content van het Microsoft Download Center. Op 9 mei aanstaande zal Microsoft de eigen SHA-1 Trusted Root Certificate Authority laten verlopen. Volgens het techbedrijf heeft dit alleen gevolgen voor SHA-1-certificaten die aan de Microsoft SHA-1 Trusted Root Certificate Authority zijn gekoppeld. Het zal geen gevolgen hebben voor enterprise of zelfgesigneerde SHA-1-certificaten. Toch krijgen organisaties die van dergelijke certificaten gebruikmaken het advies om op SHA-2 over te stappen. "We verwachten dat het verlopen van het SHA-1-certificaat geen noemenswaardige problemen zal opleveren. Alle grote applicaties en diensten zijn getest en we hebben een uitgebreide analyse uitgevoerd van mogelijke problemen en oplossingen", zegt Microsofts Rommel Degracia. Het kan echter zijn dat gebruikers desondanks toch met problemen te maken krijgen. Zo kunnen gebruikers een foutmelding krijgen bij het installeren van een driver, kan Smart Screen het starten van bepaalde applicaties blokkeren of kan er een melding bij het installeren van een applicatie verschijnen. bron: https://www.security.nl

De Ierse privacytoezichthouder is een onderzoek gestart naar het grote datalek bij Facebook waardoor de persoonsgegevens van 533 miljoen gebruikers op straat kwamen te liggen. Dat meldt de Data Protection Commission (DPC) op de eigen website. De toezichthouder is het onderzoek uit eigen beweging gestart nadat de media berichtte over de dataset van 533 miljoen gebruikers die op internet werd aangeboden. De DPC heeft inmiddels over het datalek contact met Facebook gehad en meerdere vragen gesteld met betrekking tot het naleven van de AVG door Facebook. Daarop kwam het techbedrijf met een reactie. Aan de hand van de door Facebook gegeven antwoorden stelt de DPC dat Facebook mogelijk één of meerdere onderdelen van de AVG heeft overtreden of nog altijd overtreedt. De Ierse privacytoezichthouder gaat nu onderzoeken of Facebook zich bij het verwerken van persoonlijke data via de verschillende diensten die het aanbiedt wel aan de verplichtingen als verwerkingsverantwoordelijke heeft gehouden of dat er andere onderdelen van de AVG met betrekking hiertoe zijn overtreden. Eerder liet Facebook al weten dat het de 533 miljoen slachtoffers van het datalek niet gaat waarschuwen. Ook besloot het bedrijf de DPC niet proactief over de situatie te informeren. bron: https://www.security.nl

Google heeft Chrome 90 gelanceerd waarmee https voortaan het standaard protocol in de adresbalk is. Daarnaast zijn er 37 kwetsbaarheden in de browser verholpen. Wanneer gebruikers een url in de adresbalk invoerden, zonder http of https op te geven, maakte Chrome eerst altijd via http verbinding. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden. Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom besloot Google om met de lancering van Chrome 90 https standaard in de adresbalk te gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", liet Google eerder over de aanpassing weten. Tevens zijn er 37 kwetsbaarheden met de nieuwste Chrome-versie verholpen, waarvan de impact als "high" is beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist. Een kwetsbaarheid in de permissies van Chrome, waardoor een aanvaller code binnen de browser kan uitvoeren, leverde onderzoekers Gengming Liu en Jianyu Chen van Tencent Keen Security Lab een beloning van 20.000 dollar op. De overige beveiligingslekken die onderzoekers bij Google rapporteerden en nu zijn verholpen waren goed voor beloningen van tussen de 500 en 10.000 dollar. Chrome 90.0.4430.72 is beschikbaar voor Linux, macOS en Windows. De update naar de nieuwste versie zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

De aanvallers die gameontwikkelaar Capcom vorig jaar november met ransomware infecteerden wisten via een oude vpn-server die als back-up werd gebruikt binnen te komen. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Voordat de aanvallers hun ransomware uitrolden maakten ze allerlei persoonlijke informatie buit van medewerkers, sollicitanten, aandeelhouders en klanten. Het ging om data van 390.000 mensen. Naar aanleiding van de aanval werd er een onderzoek ingesteld. Daaruit blijkt dat de aanvallers via een oudere vpn-server wisten binnen te komen die als back-up bij een Noord-Amerikaanse dochteronderneming was geplaatst. Zowel Capcom als de dochteronderneming maakten gebruik van een nieuwer vpn-systeem, maar vanwege de coronapandemie werd besloten een oudere vpn-server als back-up achter de hand te houden. Deze server werd vervolgens het doelwit van de aanval. Om wat voor aanval het precies ging is niet bekendgemaakt. Nadat de aanvallers toegang tot de oude vpn-server hadden gekregen wisten ze systemen van zowel de Amerikaanse dochteronderneming als Capcom in Japan te infecteren. Vervolgens werden allerlei gegevens gestolen. Capcom meldt dat het bezig was om allerlei beveiligingsmaatregelen te treffen, zoals een security operations center (SOC) en endpoint detection and response (EDR), maar die waren vanwege de coronapandemie nog niet geïmplementeerd. De aanvallers besloten de ransomware op 1 november uit te rollen, wat voor problemen met mail- en fileservers zorgde. Capcom wist de systemen naar eigen zeggen snel te herstellen en heeft het losgeld dat de aanvallers vroegen niet betaald. Daarop maakten die de gestolen gegevens openbaar. Inmiddels is de oude vpn-server verwijderd en heeft Capcom een SOC-service geïntroduceerd die externe verbindingen monitort en wordt door middel van EDR verdachte activiteiten op systemen gedetecteerd. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin twee kwetsbaarheden zijn verholpen waarvoor exploits op internet zijn te vinden. Eén van de kwetsbaarheden werd vorige week tijdens de Pwn2Own-hackwedstrijd gedemonstreerd. De impact van beide beveiligingslekken is door Google als "high" bestempeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist. Patch gap Kwetsbaarheid CVE-2021-21220 is aanwezig in de V8 JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Dit lek werd kort na de Pwn2Own-wedstrijd in de V8-engine gepatcht, maar de oplossing was nog niet doorgevoerd in Chrome, wat ook wel een "patch gap" wordt genoemd. Er is sprake van een patch gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. Iets waar ook Google Chrome in het verleden vaker mee te maken kreeg. Aan de hand van de aanpassingen die binnen V8 waren doorgevoerd kon een beveiligingsonderzoeker de kwetsbaarheid achterhalen en een exploit ontwikkelen, die hij vervolgens openbaar maakte. Ook in het geval van CVE-2021-21206 is een exploit online, maar details hierover ontbreken. Dit beveiligingslek, dat door een anonieme onderzoeker aan Google werd gerapporteerd, is aanwezig in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Updaten naar Chrome 89.0.4389.128 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Tijdens de patchcyclus van april heeft Microsoft in totaal 108 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows dat actief werd aangevallen voordat de beveiligingsupdates beschikbaar waren. Daarnaast zijn er vier kwetsbaarheden in Azure en Windows gepatcht die al voor de patchronde bekend waren, maar waar volgens Microsoft geen misbruik van is gemaakt. Het zerodaylek, aangeduid als CVE-2021-28310, is een out-of-bounds (OOB) write kwetsbaarheid in het bestand dwmcore.dll, dat onderdeel van de Desktop Window Manager (dwm.exe) is. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen om vervolgens code met systemrechten uit te voeren. Het lek alleen is niet voldoende om een systeem over te nemen en moet met een ander beveiligingslek worden gecombineerd. De kwetsbaarheid werd gevonden door antivirusbedrijf Kaspersky dat onderzoek deed naar een ander zerodaylek, waarvoor in februari een update verscheen. Via dat zerodaylek kon een aanvaller ook zijn rechten verhogen. Deze eerste zeroday was ontdekt door securitybedrijf DBAPPSecurity en zou door een Advanced Persistent Threat (APT)-groep genaamd Bitter zijn misbruikt. Kaspersky denkt dat de exploit voor CVE-2021-28310 mogelijk door meerdere actoren is misbruikt en waarschijnlijk is ingezet in combinatie met een browser-exploit om uit de sandbox van de browser te ontsnappen of systeemrechten voor verdere toegang te krijgen. Het lukte de virusbestrijder niet om de gehele exploitketen in handen te krijgen, waardoor het onbekend is wat voor soort kwetsbaarheden de aanvallers hebben gebruikt. De beveiligingsupdate voor de kwetsbaarheid zal op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor twee kritieke kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen. Voor zover bekend is er nog geen misbruik van de beveiligingslekken gemaakt, maar Microsoft houdt er wel rekening mee dat dit zal gebeuren. De kwetsbaarheden, aangeduid als CVE-2021-28480 en CVE-2021-28481, zijn beide op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De Amerikaanse geheime dienst NSA ontdekte en rapporteerde de beveiligingslekken aan Microsoft. Onderzoekers van het techbedrijf hadden de kwetsbaarheden echter onafhankelijk van de NSA ook al gevonden. Verdere details over de lekken zijn niet door Microsoft gegeven. Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren, mede gezien de aanvallen die de afgelopen maanden op Exchange-servers plaatsvonden. "Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn", aldus Microsoft. "Het is echt belangrijk dat onze klanten de laatste versie van de software gebruiken die up-to-date beveiligingsupdates heeft." Organisaties die van Exchange Online gebruikmaken zijn al beschermd en hoeven geen verdere actie te ondernemen. bron: https://www.security.nl

De nieuwe trackingtechnologie die Google aan Chrome heeft toegevoegd schaadt de privacy van gebruikers, maakt het eenvoudiger om mensen te volgen en geeft een verkeerde voorstelling van wat privacy inhoudt en waarom het belangrijk is, zo stelt browserontwikkelaar Brave, die de technologie in de eigen browser en op de eigen websites heeft uitgeschakeld. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Onlangs heeft Google FLoC bij miljoenen gebruikers zonder hun toestemming of medeweten ingeschakeld. Volgens Brendan Eich, ceo van Brave, is FLoC een stap in de verkeerde richting. "Het ergste van FLoC is dat het de privacy van gebruikers echt schaadt, onder het mom van privacyvriendelijk te zijn." Google presenteert FLoC als een alternatief voor trackingcookies dat gericht adverteren mogelijk maakt op een privacyvriendelijkere manier. Volgens Eich is dit onzin en is FLoC "by design" ontworpen om de privacy van gebruikers te schaden. Zo deelt FLoC informatie over het browsegedrag van de gebruiker met websites en adverteerders, die anders geen toegang tot deze informatie zouden hebben. "FLoC vertelt websites over jouw browsegeschiedenis op een nieuwe manier die browsers op dit moment nog niet toepassen", merkt Eich op. De Brave-ceo benadrukt dat privacy meer is dan de afwezigheid van het volgen van gebruikers over meerdere websites en er eigenlijk rekening moet worden gehouden met het idee van "vertel anderen niets over wat je van me weet zonder mijn toestemming". Iets waar Google in het geval van FLoC geen rekening mee houdt. FLoC maakt het daarnaast eenvoudiger voor websites en trackers om mensen op basis van de doorgegeven cohorten over het web te volgen. Eich hekelt ook de manier waarop Google met gevoelige categorieën omgaat, zoals medische klachten, politieke partijen en seksuele geaardheid. Om te bepalen of een FLoC-cohort gevoelig is moet Google eerst informatie over dit cohort verzamelen. Daarnaast noemt de Brave-ceo het idee van Google om een wereldwijde lijst met "gevoelige categorieën" op te stellen onlogisch en immoreel. Zowel websites als gebruikers doen standaard aan FLoC mee. "We vermoeden dat Google FLoC opt-out heeft gemaakt voor gebruikers en websites omdat Google weet dat een opt-in privacyschendend systeem nooit de schaal zou bereiken die het interessant voor adverteerders maakt om te gebruiken", gaat Eich verder. Hij roept dan ook alle websites op om FLoC uit te schakelen. Afsluitend stelt de Brave-ceo dat het web dringend behoefte heeft aan een radicale aanpassing waar de gebruiker bij elke nieuwe feature centraal wordt gesteld. "In plaats daarvan kijken FLoC en de "Privacy Sandbox" alleen hoe het voor adverteerders kan werken op een manier die gebruikers tolereren of niet opmerken", besluit Eich. bron: https://www.security.nl