Captain Kirk

De afgelopen dagen heeft iemand duizenden malafide packages naar de Python Package Index geüpload, met daarin een boodschap die voor supply-chain-aanvallen waarschuwt. Daarnaast werden in de npm-registry meerdere malafide packages ontdekt die informatie van gebruikers probeerden te stelen. Python is een populaire programmeertaal en PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Bij de nu waargenomen aanval op PyPI maakte de aanvaller gebruik van nog niet geclaimde namen van allerlei populaire packages. Eén van die packages was CuPy. De ontwikkelaars van deze software waren van plan om een package met de naam "cupy-cuda112" uit te brengen, maar deze naam werd door de aanvaller geclaimd. Die uploadde vervolgens zijn "cupy-cuda112" naar PyPI. In totaal werden er bijna 3600 van dergelijke packages waargenomen. Deze packages bieden geen enkele functionaliteit. Bij het uitvoeren wordt er een request naar een bepaald ip-adres doorgestuurd. Mogelijk gaat het hier om een beveiligingsonderzoeker die zo wil zien hoeveel mensen zijn packages hebben geïnstalleerd. Dat het mogelijk om onderzoek gaat blijkt uit een boodschap die de packages bevatten: "the purpose is to make everyone pay attention to software supply chain attacks, because the risks are too great." Vorige maand maakte onderzoeker Alex Birsan bekend hoe hij Apple, Microsoft en tientallen andere techbedrijven via slimme package-namen had gecompromitteerd. Deze bedrijven maken voor hun projecten en softwareontwikkeling vaak gebruik van interne packages. Birsan wist de namen van deze interne packages te achterhalen en registreerde die vervolgens bij publieke respositories zoals PyPI en het npm-registry. Hierdoor kan het gebeuren dat een ontwikkelaar de verkeerde package installeert, waardoor een aanvaller toegang tot de ontwikkelmachine krijgt. Naast PyPI had Birsan ook succes met de npm-registry. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. Kort na het onderzoek van Birsan verschenen er honderden soortgelijke packages in de npm-registry. Recentelijk werden er ook enkele packages ontdekt die de bash-geschiedenis en het bestand etc/schadow proberen te stelen en in sommige gevallen een reverse shell openen, meldt securitybedrijf Sonatype. bron: https://www.security.nl

Communicatiedienst Microsoft Teams gaat end-to-end encryptie ondersteunen, zo heeft Microsoft aangekondigd. In eerste instantie zal de beveiligingsoptie alleen voor één-op-ééngesprekken beschikbaar zijn, gevolgd door support voor online meetings op een later moment. Volgens het techbedrijf is de optie bedoeld voor gevoelige online gesprekken. Organisaties die van Microsoft Teams gebruikmaken kunnen zelf bepalen welke medewerkers end-to-end encryptie kunnen inschakelen. In de eerste helft van dit jaar zal Microsoft een test met end-to-end versleuteld bellen voor commerciële klanten beschikbaar maken. Vervolgens zal de support van end-to-end encryptie worden uitgebreid naar online meetings. Verder zal het straks mogelijk zijn voor organisaties om te bepalen waar hun Microsoft Teams-data wordt opgeslagen en kan de organisator van een Teams-call voor specifieke of alle deelnemers de video uitschakelen. Dit moet organisators, bijvoorbeeld in het onderwijs, meer controle geven en ongewenste verstoringen voorkomen, aldus Microsoft.

Een verlopen tls-certificaat was twee weken geleden verantwoordelijk voor de omvangrijke storing bij telefoondienst Google Voice. Door de storing konden gebruikers ruim vier uur lang niet bellen of gebeld worden. Google Voice is een voip-dienst die het Session Initiation Protocol (SIP) gebruikt voor telefoongesprekken over internet. Deze gesprekken worden door middel van tls-certificaten versleuteld. Door een probleem bij het updaten van de certificaatconfiguraties verliep het actieve tls-certificaat van de Google Voice-systemen, waardoor er geen verbinding meer kon worden opgezet. Clients waarbij de SIP-verbinding voor het verlopen van het certificaat al was opgezet hadden geen last van de storing. Hoeveel klanten zijn gedupeerd laat Google niet in een analyse van het incident weten (pdf). Naar aanleiding van het incident neemt Google verschillende maatregelen, zoals aanvullende proactieve waarschuwingen voor certificaten die op korte termijn gaan verlopen, aanvullende waarschuwingen voor tls-fouten in de Google Voice-systemen en het gebruik van een flexibelere infrastructuur voor het snel doorvoeren van configuratieaanpassingen. bron: https://www.security.nl

Excuus voor de late reactie. Door mijn werk kan ik niet hier iedere dag even zijn. Ik ben bang dat dan Netflix hardnekkig is en niet te verplaatsen is. Dat zie je vaker bij apps. Wat wel mogelijk zal zijn is de films die je download opslaan op de SD-kaart.

Heb je de SD-kaart eerst via je telefoon/tablet geschikt gemaakt voor het opslaan van apps. Volgens mij kun je bij Samsung kiezen tussen sd gebruiken voor opslag foto's e.d. of geschikt maken voor het device. In het laatste geval kun je daarna de sd niet meer in een ander apparaat gebruiken.

OnionShare, een tool voor het anoniem uitwisselen van bestanden op internet is uitgerust met een chatroomfunctie waarbij er niets wordt gelogd. Dit zou gebruikers meer bescherming moeten bieden dan bij bijvoorbeeld end-to-end vesleutelde chatapps zoals Signal het geval is, zegt ontwikkelaar Micah Lee. De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken. Volgens Lee verandert het de computer van gebruikers in een "anonieme dropbox". De tool is nu voorzien van de optie om een chatroom te starten. Hierbij wordt er een OnionShare-adres gegenereerd dat met iedereen kan worden gedeeld die voor de chatroom is uitgenodigd. Dit adres kan bijvoorbeeld via een versleutelde chatapp worden gedeeld. De link moet vervolgens in Tor Browser worden geopend waarna er via de chatroom kan worden gecommuniceerd. Lee stelt dat het gebruik van de chatroom minder sporen achterlaat dan een versleutelde chatapp. "Stel, je verstuurt een bericht naar een Signal-groep, dan belandt een kopie van je bericht op elk toestel. Zelfs als verdwijnende berichten staan ingeschakeld is het lastig om te bevestigen dat die echt van de toestellen en andere plekken zijn verwijderd waar ze zijn opgeslagen", aldus Lee. De ontwikkelaar stelt dat OnionShare-chatrooms nergens berichten opslaan. De chatrooms kunnen ook handig zijn voor mensen die anoniem en op veilige wijze met iemand willen chatten zonder de noodzaak om eerst een account aan te maken, gaat Lee verder. Als voorbeeld noemt hij een klokkenluider die via een wegwerpmailadres de OnionShare-link naar een journalist stuurt. Hierbij komt de anonimiteit niet in het geding, aldus de ontwikkelaar. OnionShare draait namelijk volledig op het Tor-netwerk. De nieuwste OnionShare is te downloaden via OnionShare.org. bron: https://www.security.nl

Er is een nieuwe versie van Kali Linux verschenen die van een groot aantal tools en updates is voorzien. Kali Linux is ontwikkeld voor digital forensics en penetratietesting. Het wordt beheerd en gefinancierd door securitybedrijf Offensive Security. De distributie beschikt over honderden tools voor het uitvoeren van penetratietests, security audits en digitaal forensisch onderzoek. Gisteren is de eerste release van 2021 verschenen. Aan deze versie zijn in totaal dertien nieuwe tools toegevoegd, waaronder airgeddon, PSKracker, gitleaks, DumpsterDiver, getallurls, altdns, DNSGen, massdns, httprobe, Arjun, WordlistRaider, chisel en assetfinder. Tevens bevat de nieuwe release updates voor desktopomgevingen Xfce en KDE en is de hardwareondersteuning uitgebreid. Kali Linux 2021.1 is te downloaden via Kali.org. bron: https://www.security.nl

VMware heeft een beveiligingsupdate uitgebracht die een zeer kritieke kwetsbaarheid vCenter-servers verhelpt. Aanvallers zoeken inmiddels actief naar kwetsbare servers op internet. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Een kwetsbaarheid in het vSphere-onderdeel van vCenter maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code met onbeperkte rechten op het systeem uit te voeren. De enige vereiste is toegang tot een kwetsbare server. Het beveiligingslek, aangeduid als CVE-2021-21972, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De kwetsbaarheid werd op 2 oktober vorig jaar door beveiligingsonderzoeker Mikhail Klyuchnikov van securitybedrijf Positive Technologies aan VMware gerapporteerd. Afgelopen dinsdag kwam VMware met een beveiligingsupdate om de kwetsbaarheid te verhelpen. Volgens zoekmachine Shodan zijn er 6700 vCenter-servers vanaf het internet toegankelijk, stelt securitybedrijf Tenable. Hoeveel van deze servers inmiddels zijn gepatcht is onbekend. Securitybedrijf Bad Packets meldt dat aanvallers inmiddels actief naar vCenter-servers zoeken. Daarnaast is op internet proof-of-concept exploitcode verschenen waarmee het beveiligingslek is te misbruiken. bron: https://www.security.nl

De Amerikaanse overheid heeft samen met overheidsinstanties uit Australië, Nieuw-Zeeland, Singapore en het Verenigd Koninkrijk een waarschuwing gegeven voor aanvallen op de Accellion File Transfer Appliance (FTA). Dit is een oplossing waarmee organisaties grote bestanden kunnen uitwisselen. Criminelen hebben gebruikgemaakt van kwetsbaarheden in FTA om bij organisaties wereldwijd in te breken en vervolgens allerlei gevoelige informatie te stelen. Vervolgens dreigen de aanvallers deze informatie te publiceren tenzij er wordt betaald. Zowel bedrijven als overheidsinstellingen zijn slachtoffer van de aanvallen geworden. Organisaties die met FTA werken wordt aangeraden om internettoegang van en naar het systeem te blokkeren en te controleren of aanvallers er toegang toe hebben gekregen. Zo wordt geadviseerd een forensisch disk-image voor verder onderzoek te maken. Andere aanbevelingen betreffen het auditen van FTA-gebruikersaccounts op ongeautoriseerde aanpassingen en het resetten van gebruikerswachtwoorden. Verder dienen organisaties de beschikbare beveiligingsupdates te installeren. De FTA-oplossing wordt eind april door Accellion uitgefaseerd. Organisaties moeten de oplossing voor 30 april vervangen, aangezien dit de risico's en kosten verkleint, aldus de waarschuwing van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Eerder lieten de centrale bank van Nieuw-Zeeland, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington en Amerikaanse supermarktketen Kroger weten dat ze slachtoffer van een aanval op de FTA-software waren geworden. bron: https://www.security.nl

Nu browsers allerlei maatregelen treffen om tracking van internetgebruikers tegen te gaan maken trackingbedrijven steeds vaker gebruik van CNAMES om mensen op het web te volgen. Een werkwijze die niet alleen het volgen van mensen in de hand werkt, maar ook tot het lekken van cookies en aanvallen kan leiden, zo claimen onderzoekers Yana Dimova, Gunes Acar, Lukasz Olejnik, Wouter Joosen en Tom Van Goethem. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website zijn van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Verschillende browsers besloten daarop tracking via third-party cookies tegen te gaan door domeinen van deze partijen te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven vonden een oplossing in het gebruik van first-party trackers, ook wel "dns delegation", "dns aliasing" of "cname cloaking" genoemd. De bedrijven vragen aan uitgevers en andere websites om een subdomein voor hun domein aan te maken, bijvoorbeeld tracking.example.tld. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, example.tld, worden de cookies van het subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. De onderzoekers ontdekten dertien bedrijven die zich met deze werkwijze bezighouden. Het gebruik van CNAME-gebaseerde tracking nam volgens de onderzoekers de afgelopen 22 maanden met 21 procent toe. Populaire trackers en minder populaire trackers kenden in dezelfde periode een afname van respectievelijk acht en drie procent. Op bijna tien procent van de tienduizend populairste websites op internet wordt CNAME-gebaseerde tracking toegepast. Naast het volgen introduceert CNAME-gebaseerde tracking ook andere privacyproblemen. "Verschillende trackers plaatsen vaak first-party cookies via de document.cookie interface. We ontdekten dat vanwege de manier waarop de webarchitectuur werkt, deze werkwijze tot het lekken van cookies kan leiden", aldus de onderzoekers. Cookies die voor example.tld worden geplaatst worden hierdoor ook naar tracking.example.tld gestuurd. Bij 95 procent van de websites die van deze trackers gebruikmaakt is er volgens de onderzoekers sprake van een cookielek. In de meeste gevallen wordt er geen gevoelige informatie gelekt, maar bij een aantal is dat wel het geval. De onderzoekers keken naar 103 websites waarop een CNAME-tracker aanwezig was en kon worden ingelogd. Dertien van deze websites lekken cookies met gevoelige informatie, zoals de naam van gebruikers, locatie, e-mailadressen en authenticatiecookie. Daarnaast blijkt dat veel CNAME-trackers via http en niet via https gaan. Dit maakt man-in-the-middle-aanvallen mogelijk en ondermijnt de integriteit van de primair bezochte website, omdat de JavaScript van de tracker via http in de context van de primaire website wordt geladen. "Dit suggereert dat deze werkwijze zeer gevaarlijk is. Het is schadelijk voor de webveiligheid en privacy", aldus onderzoeker Olejnik. Mozilla kondigde vorig jaar aan dat Firefox first-party trackingcookies blokkeert. Daarnaast kan ook de browserextensie UBlock Origin die blokkeren. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 86 gelanceerd waarmee de browserontwikkelaar naar eigen zeggen een einde aan cookie-gebaseerde tracking maakt. De nieuwe Firefox-versie is voorzien van Total Cookie Protection dat voor elke bezochte website een aparte "cookie jar" toepast, waardoor een trackingcookie van de ene website niet meer voor andere sites toegankelijk is. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection (ETP). Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. "Alleen wanneer Total Cookie Protection ziet dat je een provider wil gebruiken, geeft het die provider toestemming voor het gebruik van een cross-site cookie specifiek voor de op dat moment bezochte website. Dit soort tijdelijke uitzonderingen maken een sterke privacybescherming mogelijk zonder dat dit invloed op het browsen heeft", zegt Mozillas Tim Huang. Firefox 86 is beschikbaar via de automatische updatefunctie van de browser en Mozilla.org. bron: https://www.security.nl

De desktopversie van de end-to-end versleutelde chatapp Keybase liet afbeeldingen van gebruikers onversleuteld in de cache en directories op het systeem achter, ook als gebruikers de bestanden via de normale verwijderoptie of "explode" functie hadden verwijderd. Zo hebben beveiligingsonderzoekers ontdekt. Keybase heeft een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Het probleem deed zich voor bij zowel de Linux-, macOS- als Windowsversie. Tijdens onderzoek naar de app ontdekte onderzoeker John Jackson dat afbeeldingen die hij binnen de chatapp had verwijderd nog onversleuteld op het systeem waren achtergebleven. Keybase biedt gebruikers de optie om berichten te laten "exploderen" waardoor berichten uit de chat van gebruikers worden verwijderd. Ook bij deze optie bleken de bestanden op het systeem van gebruikers achter te blijven. "Normaliter worden gecachete of onversleutelde foto's niet als kwetsbaarheid beschouwt, maar in het geval van Keybase is dat wel het geval. Keybase staat bekend als een end-to-end versleutelde chatapp, wat inhoudt dat gesprekken tussen personen of groepen binnen de app niet onversleuteld op de schijf zouden moeten zijn opgeslagen", aldus Jackson. De onderzoeker rapporteerde de kwetsbaarheid aan Keybase, waarna het probleem in versie 5.6.0 voor macOS en Windows en versie 5.6.1 voor Linux werd verholpen. Lokaal opgeslagen en gecachete afbeeldingen worden automatisch door het updaten naar deze versie verwijderd. bron: https://www.security.nl

Een door SIDN Labs ontwikkeld open source en gratis platform voor het inspecteren van netwerkverkeer afkomstig van Internet of Things-apparaten is uitgebreid met een PCAP-reader om historisch netwerkverkeer te analyseren. Het platform heet SPIN, wat staat voor Security and Privacy for In-home Networks. SPIN, dat meestal op een thuisrouter wordt geïnstalleerd, visualiseert het dataverkeer, zodat de gebruiker kan zien wat erop zijn netwerk gebeurt. Via het platform is het ook mogelijk om verkeer van en naar specifieke endpoints of apparaten te blokkeren. "Naast het vergroten van de IoT-transparantie stelt SPIN gebruikers bovendien in staat om meer controle uit te oefenen over hun IoT-apparaten en de gegevens die ze delen, bijvoorbeeld door de apparaten te beletten verbinding te maken met bepaalde domeinen", zegt Caspar Schutijser van SIDN Labs. SPIN werd al in 2019 door SIDN Labs geïntroduceerd en is recentelijk uitgebreid met een PCAP-reader. PCAP is een bestandsindeling voor het opslaan van netwerkverkeer en kan door allerlei tools worden uitgelezen, zoals Wireshark en tcpdump. SPIN maakte het al mogelijk om live met het netwerkverkeer van IoT-apparaten mee te kijken, maar door het verkeer als PCAP-bestand op te slaan kan ook het historisch netwerkverkeer worden geanalyseerd. De PCAP-reader om PCAP-bestanden mee te lezen is toegevoegd aan SPIN versie 0.12, die op GitHub is te vinden. SPIN staat voorgeïnstalleerd op Valibox router images, beschikbaar voor GL-Inet routers, Raspberry Pi 3, en als een VirtualBox image. Het platform is getest op OpenWRT-, Debian- en Raspbian-systemen. Voor deze laatste systemen moeten gebruikers zelf de software compileren. bron: https://www.security.nl

Den Haag en Brussel moeten actie ondernemen tegen online manipulatie door Facebook, Google en YouTube, zo stelt burgerrechtenbeweging Bits of Freedom dat onderzoek naar de werkwijze van de techgiganten liet uitvoeren. Uit het onderzoek blijkt dat Facebook en Google allerlei manieren gebruiken om mensen op hun platformen te manipuleren (pdf). Het gaat dan bijvoorbeeld om de inzet van micro-targeting, het gebruik van algoritmen, het modereren van content, 'dark patterns' in de gebruikersinterface, profilering en geautomatiseerde contentfilters. Volgens onderzoeker Holly Robbins hoeven niet al deze tactieken op zichzelf een probleem te zijn. "We moeten echter concluderen dat de bedrijven achter de grootste socialmediaplatformen door hun marktdominantie, manipulatieve werkwijze en gebrek aan transparantie, een bedreiging voor onze vrijheid van meningsuiting, zelfbeschikking, ons publieke debat en daarom onze democratie vormen", aldus Robbins. "Miljoenen Nederlanders spenderen dagelijks uren op social media, platforms waar ze zonder schroom worden misleid en misbruikt", aldus Esther Crabbendam van Bits of Freedom. "Google, Facebook en YouTube bepalen feitelijk wie wel en niet het woord mag voeren én wat we wel en niet mogen delen. Dat is funest voor ons publieke debat." Als voorbeeld noemt ze het zonder waarschuwing verwijderen van content en het kapitaliseren van de aandacht van gebruikers. "En wie vragen heeft, kan eigenlijk nergens terecht. Er is geen klantenservice om je bij te melden. Van iedere andere winkel of dienstverlener zouden we zoiets niet pikken. Waarom van hen dan wel?", gaat Crabbendam verder. Bits of Freedom wil daarom actie van Den Haag en Brussel in de vorm van goede regelgeving en het doorbreken van het monopolie van de platforms. Naast de oproep heeft Bits of Freedom vandaag de "Korte Cursus Manipulatie" gelanceerd, waarin verschillende vormen van manipulatie worden besproken. Dit moet de Nederlandse internetgebruiker bewuster maken en mee de spelregels laten bepalen. "Sociale media bestaan bij gratie van hun gebruikers. Hoog tijd dus om de belangen van de gebruikers centraal te stellen", aldus de burgerrechtenbeweging. bron: https://www.security.nl

Gebruikers van WhatsApp moeten de nieuwe privacyvoorwaarden accepteren om de chatapp na 15 mei te kunnen blijven gebruiken. Dat meldt WhatsApp op de eigen website. Wie de voorwaarden niet accepteert kan na 15 mei geen berichten meer lezen of verzenden via de app. Voor een korte periode zal het nog wel mogelijk zijn om oproepen en meldingen te ontvangen. Gebruikers die de voorwaarden na 15 mei alsnog willen accepteren krijgen hiervoor 120 dagen de tijd. Accounts die de voorwaarden niet hebben geaccepteerd zullen namelijk door WhatsApp als inactief account worden bestempeld. "Uit beveiligingsoverwegingen, om gegevensbehoud te beperken en de privacy van onze gebruikers te waarborgen, worden WhatsApp-accounts na 120 dagen inactiviteit verwijderd", aldus de chatdienst. De nieuwe voorwaarden zorgen ervoor dat gegevens van WhatsApp-gebruikers buiten de Europese Unie met Facebook worden gedeeld. Daarnaast hebben de nieuwe regels gevolgen voor de communicatie van WhatsApp-gebruikers met bedrijven. Gebruikers kunnen via de chatapp met bedrijven communiceren, zoals luchtvaartmaatschappijen. Vanaf 15 mei kunnen bedrijven die berichten opslaan en gebruiken voor een advertentieprofiel en het verkopen van gepersonaliseerde advertenties. Vanwege de nieuwe voorwaarden kregen chatapps Telegram en Signal de afgelopen weken tientallen miljoenen nieuwe gebruikers erbij. bron: https://www.security.nl

De groep criminelen achter de Clop-ransomware heeft verschillende zerodaylekken in de File Transfer Appliance (FTA) van softwarebedrijf Accellion gebruikt voor het stelen van data en afpersen van bedrijven, overheden en andere organisaties. Dat laat securitybedrijf FireEye vandaag weten. De Clop-ransomwaregroep is ook verantwoordelijk voor de aanval op de Universiteit Maastricht eind 2019. De onderwijsinstelling betaalde de criminelen uiteindelijk 197.000 euro voor het ontsleutelen van de versleutelde data. FTA is een twintig jaar oude applicatie die organisaties gebruiken voor het uitwisselen van grote bestanden. De afgelopen weken zijn er meerdere datalekken gemeld waarbij kwetsbaarheden in FTA de oorzaak bleken. De centrale bank van Nieuw-Zeeland, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington en Amerikaanse supermarktketen Kroger lieten weten dat ze slachtoffer van een aanval op de FTA-software waren geworden. Begin deze maand meldde Accellion dat het de kwetsbaarheden waarvan de aanvallers gebruikmaakten heeft verholpen en het FTA op 30 april van dit jaar gaat uitfaseren. Nu zijn er meer details over de beveiligingslekken openbaar geworden en dat die al voor het verschijnen van de updates werden misbruikt door de Clop-ransomwaregroep. Drie van de vier verholpen kwetsbaarheden in FTA zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld, meldt securitybedrijf Tenable. FireEye laat daarnaast weten dat de Clop-ransomwaregroep de beveiligingslekken vorig jaar heeft gebruikt om bij organisaties in te breken. Bij verschillende van deze aanvallen werd er geen ransomware uitgerold, maar alleen data gestolen. De groep dreigde deze gegevens via de eigen website openbaar te maken, tenzij er zou worden betaald. Volgens FireEye zijn organisaties in onder andere Nederland slachtoffer van deze aanvallen geworden. Daarbij zijn er ook gegevens gepubliceerd van slachtoffers die niet betaalden. bron: https://www.security.nl

Een bij de Amerikaanse geheime dienst NSA gestolen exploit voor een kwetsbaarheid in Windows is jarenlang door een advanced persistent threat (APT)-groep uit China gebruikt, zo beweert securitybedrijf Check Point in een vandaag verschenen analyse. De kwetsbaarheid, CVE-2017-0005, werd op 14 maart 2017 door Microsoft gepatcht. Het beveiligingslek in de Windows-kernel maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. De kwetsbaarheid alleen is niet voldoende voor het overnemen van systemen en moet in combinatie met malware of een ander lek worden gebruikt dat het uitvoeren van code mogelijk maakt. Het beveiligingslek in kwestie werd al voor het uitkomen van de beveiligingsupdate aangevallen en was ontdekt door het Computer Incident Response Team van defensiebedrijf Lockheed Martin. De zeroday-aanval werd door Microsoft toegeschreven aan een vanuit China opererende groep aanvallers genoemd Zirconium, ook bekend als APT31. Onderzoekers van Check Point claimen nu dat de exploit niet door APT31 is ontwikkeld, maar door de Amerikaanse geheime dienst NSA. Het is een replica van een door de Equation Group ontwikkelde exploit genaamd "EpMe" die uit 2013 dateert, zo stellen ze. Equation Group is de naam die wordt gebruikt voor een eenheid van de NSA. De Epme-exploit is onderdeel van de tools die bij de NSA werden gestolen en in 2017 door een groep genaamd Shadow Brokers openbaar werd gemaakt. APT31 had echter al jaren eerder toegang tot de exploit, zo stellen de onderzoekers. Mogelijk is die bij een aanval van de NSA op een doelwit in handen van deze groep gekomen. Volgens de onderzoekers laat dit zien hoe gevaarlijk het is als exploits van een overheidsinstantie uitlekken en in verkeerde handen terechtkomen. bron: https://www.security.nl

Een zerodaylek in Windows 10 waarvoor Microsoft afgelopen dinsdag een beveiligingsupdate uitbracht is maandenlang onopgemerkt door aanvallers gebruikt. Dat stelt het securitybedrijf dat de kwetsbaarheid ontdekte en aan Microsoft rapporteerde. Via het beveiligingslek in de Windows-kernel, aangeduid als CVE-2021-1732, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. De kwetsbaarheid zou kunnen worden gecombineerd met een ander beveiligingslek dat het uitvoeren van code mogelijk maakt. Een andere mogelijkheid is dat het lek door malware wordt gebruikt. Afgelopen december ontdekte securitybedrijf DBAPPSecurity een aanval waarbij de kwetsbaarheid was aangevallen. De aanval was volgens het securitybedrijf het werk van een Advanced Persistent Threat (APT)-groep genaamd Bitter. De waargenomen exploit werkte tegen de laatste versie van Windows10 1909 (64-bits) en bleek al in mei 2020 te zijn gecompileerd. DBAPPSecurity detecteerde een zeer beperkt aantal aanvallen waarbij de kwetsbaarheid was ingezet. Alle slachtoffers bevinden zich in China. Voordat de exploit wordt uitgevoerd vindt er eerst een controle plaats op de aanwezigheid van bepaalde antivirussoftware en de gebruikte Windows 10-versie. Daarna wordt de exploit uitgevoerd. "Het in-the-wild exemplaar was gecompileerd in mei 2020 en door ons in december 2020 gevonden. Het wist tenminste zeven maanden te overleven", aldus het securitybedrijf. Verdere details over de waargenomen aanvallen, doelwitten en hoe de exploit precies is gebruikt zijn niet gegeven. De kwetsbaarheid werd op 29 december aan Microsoft gerapporteerd, dat afgelopen dinsdag de patch uitrolde. bron: https://www.security.nl

Het Tor Project heeft een anoniem ticketsysteem gelanceerd waar onderzoekers anoniem bugs kunnen melden zonder het prijsgeven van persoonlijke data. Op dit moment moeten bugmelders eerst een GitLab-account aanmaken om een gevonden probleem te rapporteren en moet een moderator het account goedkeuren. Dat is een obstakel voor mensen die eenmalig of zelden een bug melden en kan ervoor zorgen dat bugmeldingen verloren gaan. Daarnaast vinden veel Tor-gebruikers het niet fijn om hun e-mailadres voor een bugmelding te delen, zegt Maria Violante, ontwikkelaar van het anonieme ticketsysteem. Het systeem maakt geen gebruik van een gebruikersnaam en wachtwoord, maar van een 'code phrase' die uit zes willekeurige woorden bestaat. Met deze code phrase kunnen gebruikers inloggen en hun bugmelding doen of in al aanwezige projecten en meldingen zoeken. De Anonymous Ticket Portal is nog in ontwikkeling. Zo zijn er plannen om er een onion-service van te maken, zodat het direct vanaf het Tor-netwerk toegankelijk is. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt geeft op een doorsnee dag zo'n twee miljoen gratis tls-certificaten uit die websites gebruiken voor het opzetten van een beveiligde verbinding en identificatie. De organisatie is dankzij recent uitgevoerde werkzaamheden in staat om 200 miljoen certificaten op één dag uit te kunnen geven mocht dit noodzakelijk zijn geworden. Meer dan 240 miljoen domeinen maken gebruik van een door Let's Encrypt uitgegeven certificaat. Vorig jaar maart was de certificaatautoriteit van plan om zo'n drie miljoen actieve certificaten wegens een softwarebug. die zich bij de uitgifte voordeed, te vervangen. Het ging om zo'n 2,6 procent van alle certificaten van dat moment. "Wat als de bug gevolgen had gehad voor al onze certificaten?", stelt ISRG-directeur Josh Aas de vraag. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt. In dit geval zouden meer dan 150 miljoen certificaten voor meer dan 240 miljoen domeinen moeten worden vervangen. Om daar technisch klaar voor te zijn besloot Let's Encrypt onlangs verschillende aanpassingen en upgrades door te voeren. Zo is er een nieuwe databaseserver neergezet die over dual AMD EPYC 7542-processors beschikt, uitgerust met 64 fysieke cores en twee terabyte aan werkgeheugen. De vorige server was een dual Intel Xeon E5-2650 met 24 fysieke cores en één terabyte geheugen. Volgens Aas een prima machine, maar niet in staat om alle certificaten binnen een dag te vervangen. Naast de databaseserver kregen ook het interne netwerk, de beschikbare bandbreedte en de hardware security modules voor het signeren van certificaten een upgrade, aldus Aas in een beschrijving van de uitgevoerde werkzaamheden. bron: https://www.security.nl

Certificaatautoriteit GlobalSign heeft vorige week een in 2010 aangevraagd ssl-certificaat met zwakke encryptiesleutel uitgegeven, waarmee het de certificaatregels overtrad. Het certificaat is inmiddels ingetrokken, maar Google maakt zich zorgen of GlobalSign nog wel in staat is om op een veilige wijze certificaten uit te geven. Op 21 mei 2010 vroeg de eigenaar van het domein 'celticpapaya.com' een ssl-certificaat aan. Voordat een certificaatautoriteit een certificaat uitgeeft moet eerst de aanvrager bevestigen dat hij de eigenaar van het domein is. Dit kan door middel van een validatiemail worden gedaan. In dit geval werd de validatiemail niet meteen verstuurd, omdat het woord 'pay' in de domeinnaam voorkwam. Een medewerker van GlobalSign moest eerst een phishingcontrole uitvoeren voordat de validatiemail uitging. De eigenaar van het domein besloot zo'n vijftig minuten na zijn eerste bestelling opnieuw een certificaat voor het domein aan te vragen, mogelijk omdat hij de verwachte validatiemail nog niet had ontvangen. Na de phishingcontrole door de GlobalSign-medewerker werden de validatiemails op 24 mei 2010 voor beide bestellingen verstuurd. Op 27 mei 2010 bevestigde de domeinhouder de validatielink van de tweede bestelling en werd het certificaat uitgegeven. Door nog onbekende reden werd op 4 februari van dit jaar de validatielink in de validatiemail van de eerste bestelling uit 2010 geopend. Daarop werd deze eerste bestelling alsnog verwerkt en een certificaat met een RSA-1024 key uitgegeven. Het is sinds 2013 voor certificaatautoriteiten verboden om certificaten met een dergelijke key uit te geven. De gebruikte sleutel moet tegenwoordig minimaal 2048 bits zijn. Op het moment van de aanvraag in 2010 was het echter nog wel toegestaan om certificaten met een RSA-1024 key uit te geven. Acht uur na de uitgifte van het certificaat werd het door GlobalSign ingetrokken. Tevens werd er een onderzoek ingesteld hoe een bestelling voor een certificaat met een dergelijke zwakke sleutel ongemerkt kon worden afgehandeld. GlobalSign heeft nu een uitgebreid rapport over het incident gepubliceerd. Ryan Sleevi van Google heeft echter nog de nodige vragen en maakt zich ook zorgen. Sleevi houdt vanuit Google toezicht op certificaatautoriteiten en is bijvoorbeeld degene die aankondigt wanneer Chrome certificaten van bepaalde partijen gaat blokkeren vanwege het overtreden van de regels. In dit geval maakt Sleevi zich zorgen dat de infrastructuur van GlobalSign inmiddels zo complex is geworden dat de certificaatautoriteit mogelijk niet meer in staat is om op een veilige wijze en volgens de regels certificaten uit te geven. GlobalSign heeft nog niet op de vragen van Sleevi gereageerd. bron: https://www.security.nl

Antivirusbedrijf Emsisoft is slachtoffer van een datalek te geworden nadat een aanvaller toegang wist te krijgen tot een testsysteem met productiedata. Dit systeem bevatte veertien e-mailadressen van klanten bij zeven verschillende organisaties. Het testsysteem werd gebruikt om verschillende oplossingen voor de opslag en het beheer van loggegevens, afkomstig van de antivirussoftware van Emsisoft, te vergelijken. Om de opslagoplossingen te vergelijken maakte de virusbestrijder verschillende databases aan met loggegevens afkomstig van productiesystemen. Door een configuratiefout was één van deze databases van 18 januari tot 3 februari dit jaar toegankelijk voor "ongeautoriseerde derde partijen", aldus een verklaring van Emsisoft. Het bedrijf stelt dat tenminste één individu toegang tot de data in deze database heeft gekregen. De gestolen data bestaat voornamelijk uit technische logbestanden die de antivirussoftware bij normaal gebruik op de systemen bij gebruikers genereert en terugstuurt naar Emsisoft. Het onderzoek naar de aanval liet zien dat in de verzamelde logbestanden ook veertien e-mailadressen stonden. De e-mailadressen waren door de antivirussoftware aan de logbestanden toegevoegd na het scannen van kwaadaardige e-mails in de inboxes van gebruikers. Emsisoft heeft gedupeerde klanten over het datalek geïnformeerd. Naar aanleiding van het incident gaat het antivirusbedrijf toekomstige tests alleen nog uitvoeren op systemen die niet met internet zijn verbonden en geen data van productiesystemen bevatten. Tevens neemt het bedrijf maatregelen om configuratiefouten eerder te detecteren en worden er "fallback" beveiligingsmaatregelen geïmplementeerd mochten de primaire maatregelen falen. bron: https://www.security.nl

Tijdens de patchdinsdag van februari heeft Microsoft drie kwetsbaarheden in de tcp/ip-implementatie van Windows verholpen. Het techbedrijf verwacht dat de drie beveiligingslekken snel door aanvallers voor dos-aanvallen zullen worden misbruikt. Tevens kwam Microsoft vanavond met een update voor een actief aangevallen zerodaylek in Windows, waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. In totaal verhelpt Microsoft deze maand 56 kwetsbaarheden in onder andere Windows, Exchange Server, Microsoft Office, Skype for Business, Visual Studio, Windows Defender, Windows DirectX, Hyper-V en Windows Codecs Library. Het zijn echter de drie kwetsbaarheden in de tcp/ip-implementatie van alle ondersteunde Windowsversies waarvoor het Microsoft Security Response Center met een aparte waarschuwing komt. Het gaat om CVE-2021-24074, CVE-2021-24094 en CVE-2021-24086. De eerste twee kwetsbaarheden maken remote code execution mogelijk. Volgens Microsoft is het echter lastig om een functionele exploit voor deze twee beveiligingslekken te ontwikkelen, waardoor misbruik waarbij aanvallers willekeurige code op kwetsbare systemen kunnen uitvoeren op de korte termijn onwaarschijnlijk wordt geacht. Wel stelt Microsoft dat aanvallers voor de drie kwetsbaarheden snel denial of service-exploits zullen ontwikkelen waardoor een aanvaller met een minimale hoeveelheid netwerkverkeer een 'blue screen of death' kan veroorzaken. Organisaties worden dan ook opgeroepen om de beveiligingsupdates snel uit te rollen. "Het is belangrijk dat kwetsbare systemen vanwege het risico dat met de kwetsbaarheden samenhangt zo snel mogelijk worden gepatcht", laat Microsoft weten. Wanneer het installeren van de patches niet mogelijk is zijn er workarounds waarbij een server niet hoeft te worden herstart. bron: https://www.security.nl

Adobe waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Acrobat en Reader voor Windows en macOS waardoor een aanvaller in het ergste geval volledige controle over het onderliggende systemen kan krijgen. Alleen het openen van een kwaadaardig pdf-document volstaat om een aanvaller controle te geven. Het is jaren geleden dat er een zeroday-aanval op gebruikers van de pdf-software is ontdekt. De kwetsbaarheid werd door een anonieme onderzoeker aan Adobe gerapporteerd. Details over het beveiligingslek, aangeduid als CVE-2021-21017, zijn niet gegeven, behalve dat het kan leiden tot een heap-based buffer overflow waardoor een aanvaller willekeurige code kan uitvoeren. Volgens Adobe heeft het meldingen ontvangen dat de kwetsbaarheid op beperkte schaal is ingezet bij aanvallen op gebruikers van Adobe Reader op Windows. Naast het aangevallen zerodaylek werden 22 andere kwetsbaarheden in de pdf-software verholpen. Gebruikers krijgen het advies om "zo snel mogelijk" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.001.20135, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30190, Acrobat 2020 of Acrobat Reader 2020 versie 2020.001.30020 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen 72 uur. Tegelijkertijd kwam Microsoft vanavond tijdens de maandelijkse patchdinsdag met een update voor een actief aangevallen zerodaylek in Windows. Via dit beveiligingslek in Win32k (CVE-2021-1732) kan een aanvaller die al toegang tot een systeem heeft, bijvoorbeeld via de kwetsbaarheid in Acrobat en Adobe Reader, zijn rechten op het systeem verhogen. De update voor dit beveiligingslek wordt op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Een beveiligingsonderzoeker is erin geslaagd Apple, Microsoft, Shopify en tientallen andere techbedrijven en organisaties via slim vernoemde packages te compromitteren. Onderzoeker Alex Birsan ontving voor zijn aanval, die hij 'Dependency Confusion' noemt, in totaal 130.000 dollar aan beloningen. Ondanks de hoge beloningen was de aanval vrij eenvoudig van opzet. Ontwikkelaars maken voor hun projecten gebruik van allerlei interne packages. De namen van deze interne packages zijn vaak in JavaScript-bestanden te vinden, zo ontdekte Birsan. De onderzoeker scande de domeinnamen van de bedrijven in kwestie op zoek naar dergelijke bestanden. Daarin vond hij honderden interne namen van JavaScript-packages waar de projecten gebruik van maakten. Voor Python, de JavaScript-omgeving Node.js, Ruby, Azure en andere programmeertalen en platformen zijn er publieke repositories beschikbaar waar iedereen packages naar toe kan uploaden. Birsan ontdekte dat veel van de gevonden interne package-namen op de publieke repositories nog beschikbaar waren. Vervolgens registreerde hij deze namen bij de PyPI (Python Package Index), de npm-registry van Node.js, RubyGems en Azure Artifacts. Vervolgens plaatste hij onder alle geregistreerde namen packages met een 'phone home' functie. Zodra de packages werden geïnstalleerd stuurden die de gebruikersnaam, hostnaam, installatiepad en extern ip-adres naar Birsan. Zo kon de onderzoeker zien dat zijn 'malafide' packages onder andere op interne systemen van Apple, Microsoft en Shopify waren uitgevoerd. Birsan waarschuwde de getroffen bedrijven. Die beloonden hem voor zijn melding met in totaal 130.000 dollar. Birsan stelt dat in het geval van Python het probleem wordt veroorzaakt door een commandline-argument genaamd "--extra-index-url" die bij de installatie van packages kan worden gebruikt. In dit geval wordt eerst gekeken of de opgegeven package via een specifiek opgegeven (interne) package-index beschikbaar is. Is dat niet het geval, dan wordt erop de publieke Python Package Index gezocht. Vervolgens installeert de installer de package die wordt gevonden. Blijkt de packagenaam bij beide indexes aanwezig te zijn, wordt standaard de package met het hoogste versienummer geïnstalleerd. Het meeste succes had de onderzoeker met npm-packages voor Node.js. "Npm staat het toe dat willekeurige code automatisch bij de installatie van een package wordt uitgevoerd", merkt Birsan op. Hij benadrukt dat Python en Ruby net zo kwetsbaar voor de aanval zijn. Birsan denkt dat het vinden van interne package-namen in de toekomst voor nog meer kwetsbare systemen zal zorgen. Naar aanleiding van het onderzoek heeft Microsoft een whitepaper over de risico's van 'private package feeds' gepubliceerd. bron: https://www.security.nl