Captain Kirk

Miljoenen Internet of Things-apparaten en industriële systemen zijn kwetsbaar voor aanvallen door beveiligingslekken in de gebruikte TCP/IP-stack, zo meldt securitybedrijf Forescout op basis van eigen onderzoek. Voor het onderzoek werd ernaar de veiligheid van verschillende TCP/IP-stacks gekeken. Dit is software die basale netwerkcommunicatie voor alle IP-verbonden apparaten implementeert. Het onderzoek richtte zich specifiek op de dns (domain name system)-clients van verschillende TCP/IP-stacks en hoe die met dns-verkeer omgaan. Volgens de onderzoekers is dns een complex protocol en kan een verkeerde implementatie ervan allerlei kwetsbaarheden opleveren waar aanvallers misbruik van kunnen maken. Zo biedt het dns-protocol een feature genaamd "message compression" waarmee dns-berichten worden gecomprimeerd. Dns response packets bevatten vaak dezelfde domeinnaam of een deel daarvan. Via message compression kan het herhaaldelijk gebruik van dezelfde naam worden voorkomen waardoor het dns-bericht kleiner wordt. De onderzoekers ontdekten dat de TCP/IP-stacks van FreeBSD, Nucleus NET, NetX en IPNet dns message compression niet goed implementeren, wat tot kwetsbaarheden leidt. In totaal gaat het om negen beveiligingslekken die de naam NAME:WRECK hebben gekregen en tot remote code execution, denial of service of dns-cache poisoning kunnen leiden. FreeBSD, Nucleus NET en NetX hebben updates uitgebracht. Het is echter de vraag of die uiteindelijk bij alle kwetsbare IoT-apparaten terechtkomen. Zo moet de leverancier van de apparatuur updates beschikbaar stellen en moeten beheerders die vaak handmatig installeren. In een rapport over de kwetsbaarheden beschrijven de onderzoekers een aanvalsscenario waarbij een aanvaller eerst toegang tot het netwerk van een organisatie moet zien te krijgen. Vervolgens zou de aanvaller een interne, malafide DHCP-server moeten opzetten om zo andere apparaten in het netwerk aan te vallen. Om zich tegen eventuele aanvallen te beschermen krijgen organisaties het advies om apparaten met kwetsbare TCP/IP-stacks in kaart te brengen, netwerksegmentatie toe te passen, apparaten zo in te stellen dat alleen interne dns-servers worden gebruikt, beschikbare updates meteen te installeren en het netwerkverkeer op malafide packets te monitoren. bron: https://www.security.nl

Wereldwijd kunnen gebruikers van de vpn-oplossing van Pulse Secure door een verlopen certificaat niet inloggen. Het probleem speelt bij Pulse Connect Secure (PCS) en Pulse Policy Secure (PPS) voor Windows en zorgt ervoor dat gebruikers een certificaatfoutmelding krijgen. Vanwege de coronapandemie wordt de vpn-oplossing door tal van werknemers gebruikt om vanuit huis te kunnen werken. Pulse Secure werkt op het moment aan een oplossing, zo blijkt uit een document over het probleem. Als tijdelijke workaround wordt aangeraden om de Pulse Desktop Client te gebruiken en die niet via de browser te starten. Het probleem speelt niet bij de Linux- en macOS-versies. Sommige gebruikers melden dat de foutmelding is te verhelpen door het aanpassen van de systeemdatum. bron: https://www.security.nl

Microsoft stopt volgende maand de ondersteuning van Windows 10 Home en Pro versie 1909 wat inhoudt dat gebruikers geen beveiligingsupdates meer ontvangen. Verder zullen alle edities van Windows 10 versies 1809, op de LTSC-versies na, en Windows 10 versie 1803 vanaf 11 mei niet meer worden ondersteund, zo laat Microsoft nogmaals weten. Twee keer per jaar brengt de softwaregigant een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Windows 10 versie 1909 verscheen op 12 november 2019. Voor Windows 10 Enterprise, Education en IoT Enterprise hanteert Microsoft een ander supportbeleid. Feature-updates die in de tweede helft van het jaar verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in de eerste helft van het jaar uitkomen kunnen 18 maanden op beveiligingsupdates rekenen. Ook gebruikers van deze versies zullen na de supportperiode naar een nieuwere Windows 10-versie moeten upgraden om updates te blijven ontvangen. Windows 10 Enterprise en Education versies 1803 en 1809 verschenen respectievelijk op 30 april 2018 en 13 november 2018. Oorspronkelijk zou de support van versie 1803 op 10 november 2020 eindigen, maar Microsoft besloot dit vanwege de coronapandemie met zes maanden te verlengen. Dit moest organisaties meer tijd geven om naar een nieuwere Windows 10-versie te upgraden. De LTSC-release van Windows 10 is bedoeld voor systemen en omgevingen waar functionaliteit en features lange tijd hetzelfde moeten blijven en alleen beveiligingsupdates worden geïnstalleerd. Het gaat dan bijvoorbeeld om medische systemen, industriële procescontrollers en luchtverkeersleidingssystemen. Deze systemen zijn vaak voor één specifiek doel ontwikkeld. Om deze systemen te ondersteunen kwam Microsoft met de Windows 10 Long Term Servicing Channel (LTSC)-release. Gedurende tien jaar blijven de features en functionaliteit van deze versie ongewijzigd. Alleen beveiligingsupdates worden beschikbaar gemaakt. Microsoft besloot afgelopen februari om de support van nieuwe Windows 10 Enterprise LTSC-versies tot vijf jaar te beperken. Windows 10 versie 1809 LTSC blijft echter tot en met 2028 ondersteund. bron: https://www.security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een website gelanceerd waarop Chrome-gebruikers kunnen zien of ze deelnemen aan het recent gestarte FLoC-experiment van Google, waarmee het techbedrijf een nieuwe trackingtechnologie test. Volgens de EFF is FLoC een verschrikkelijk idee en moet Google hiermee stoppen en de technologie uit de browser verwijderen. Bij Federated Learning of Cohorts (FLoC) worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Volgens de Amerikaanse burgerrechtenbeweging EFF zullen deze cohort-id's veel nieuwe informatie prijsgeven wat handig is voor fingerprinters die aan de hand van allerlei informatie een fingerprint van gebruikers maken om hen vervolgens op het web te volgen. Daarnaast doen Chrome-gebruikers uit Australië, Brazilië, Canada, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de Verenigde Staten standaard aan de proef mee, tenzij ze zelf het accepteren van third-party cookies in de browser hebben uitgeschakeld. De proef vindt plaats onder 0,5 procent van de Chrome-gebruikers in de eerder genoemde landen. Het Google-team achter FLoC heeft echter gevraagd om hier 5 procent van te maken, zodat advertentiebedrijven hun modellen beter met de nieuwe data kunnen trainen. Google heeft FLoC bedacht zodat het mogelijk blijft om zonder cookies gerichte advertenties te tonen. Het aantal mensen in een cohort is echter klein genoeg zodat adverteerders zeer gericht kunnen blijven adverteren, zo laat de EFF weten. Google stelt dat het browsegedrag lokaal op het systeem van de gebruiker blijft en alleen het cohort-id wordt gedeeld, waardoor de privacy van de gebruiker beter zou zijn beschermd. "We verwerpen het idee dat "omdat het op je apparaat staat is het privé." Als de data wordt gebruikt om iets over jou af te leiden, wie je bent en hoe je kunt worden benaderd, en dat wordt gedeeld met andere websites en adverteerders, is het helemaal niet privé", aldus de EFF. De burgerrechtenbeweging vindt dat Google door middel van FLoC de status quo van surveillancekapitalisme in stand houdt, met een zweem van gebruikerskeuze. Google claimt ook dat FLoC gebruikers in staat stelt om bij het bezoeken van websites anoniem te blijven, maar voor zover bekend is dat niet waar, aldus de EFF. Ook hekelt de burgerrechtenbeweging het feit dat gebruikers niet goed worden ingelicht en FLoC standaard staat ingeschakeld. "Dit is niet het zoveelste Chrome-experiment. Dit is een fundamentele aanpassing aan de browser en hoe mensen worden misbruikt voor hun data. Het feit dat Google na alle kritiek en zorgen ervoor heeft gekozen om de waarschuwingen te negeren zegt genoeg waar het bedrijf met betrekking tot onze privacy staat", besluit de EFF. Via de nu gelanceerde website Am I FLoCed laat de EFF aan Chrome-gebruikers zien of FLoC voor hun browser staat ingeschakeld. bron: https://www.security.nl

Criminelen maken op grote schaal gebruik van de contactformulieren van websites om op een unieke wijze malware te verspreiden, zo stelt Microsoft. Volgens het bericht dat de aanvallers via het contactformulier achterlaten heeft de betreffende website zich schuldig gemaakt aan copyrightschending. Als de afbeeldingen in kwestie niet snel worden verwijderd dreigt de afzender met juridische stappen. De afbeeldingen zijn via een meegestuurde link te bekijken. De link wijst echter naar een Google-pagina die alleen toegankelijk is wanneer de gebruiker via zijn Google-account inlogt. Volgens Microsoft kan het gebruik van een contactformulier met een Google-url die alleen via authenticatie toegankelijk is ervoor zorgen dat beveiligingssoftware het bericht niet als kwaadaardig detecteert. Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload dat een js-bestand bevat. Dit bestand, wanneer geopend door het slachtoffer, downloadt de IcedID-malware. Deze malware kan het netwerk van de getroffen organisatie verder verkennen, inloggegevens stelen en aanvullende malware installeren, zoals ransomware. Op internet zijn vele duizenden reacties te vinden die de aanvallers via het contactformulier van de betreffende website hebben achtergelaten en waarin met juridische stappen wordt gedreigd. Microsoft raadt organisaties aan om hun gebruikers over social engineering-aanvallen als deze voor te lichten. bron: https://www.security.nl

Ik heb even de vraag neergelegd bij mijn collega's alhier.

Ok, dan zijn we een stapje verder. Ik denk dan toch dat we ergens een conflict hebben zitten welke door het spelletje veroorzaakt wordt. Ik wet niet of we daar achter kunnen komen. Je zou eens kunnen kijken wat er gebeurd wanneer je de muis los koppelt bij het spelen van het spelletje. Wanneer dan hetzelfde gebeurd, moeten we denk ik even de hulp inroepen van de echte kenners hier, die op dit terrein meer thuis zijn.

Je zou eens kunnen kijken of de muis ook vast loopt wanneer je enkel het spelletje speelt of Youtube draait. Ik begrijp dat je geen vastloper hebt wanneer je alleen met je werkpog's bezig bent, maar alleen wanneer je even een pauze neemt en dan Youtube of een spelletje speelt?

Wanneer de laptop stil is, denk ik iet aan een warmteprobleem. Dan zou je echt de fan wel horen.Heb je meerdere vensters open staan wanneer je muis vast loopt?

De op privacy gerichte zoekmachine DuckDuckGo heeft een nieuwe versie van de eigen browser-extensie ontwikkeld die een nieuwe trackingmethode in Google Chrome blokkeert. In de nieuwste versie van Chrome is Google een proef gestart met Federated Learning of Cohorts (FLoC), een nieuwe technologie voor het gericht tonen van advertenties. Bij FLoC worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar het browsegedrag en plaatst de gebruiker vervolgens in een cohort. Het kan dan gaan om de url's, de inhoud van die pagina's of andere factoren. Deze informatie blijft lokaal op het systeem. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Volgens de Amerikaanse burgerrechtenbeweging EFF zullen deze cohort-id's veel nieuwe informatie prijsgeven wat handig is voor fingerprinters die aan de hand van allerlei informatie een fingerprint van gebruikers maken om hen vervolgens op het web te volgen. Daarnaast doen Chrome-gebruikers uit Australië, Brazilië, Canada, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de Verenigde Staten standaard aan de proef mee, tenzij ze zelf het accepteren van third-party cookies in de browser hebben uitgeschakeld. Tijdens de proef zullen trackers de FLoC-id's naast third-party cookies kunnen verzamelen. "Dit houdt in dat alle trackers die op dit moment van cookies gebruikmaken om je gedrag op een deel van het web te monitoren ook je FLoC cohort-id zullen ontvangen. Het cohort-id is een directe weerspiegeling van je gedrag op het web. Dit kan een aanvulling zijn op de gedragsprofielen waar veel trackers al gebruik van maken", waarschuwde Bennett Cyphers van de EFF al eerder. De proef zal op dit moment onder 0,5 procent van de Chrome-gebruikers in de eerder genoemde landen worden uitgevoerd. Het Google-team achter FLoC heeft echter gevraagd om hier 5 procent van te maken, zodat advertentiebedrijven hun modellen beter met de nieuwe data kunnen trainen. DuckDuckGo heeft de eigen Chrome-extensie van een update voorzien zodat die de "FLoC interactions" op een website blokkeert. Deze versie moet echter nog door Google worden goedgekeurd en is op het moment van schrijven nog niet in de Chrome Web Store te vinden. De huidige versie van de DuckDuckGo Privacy Essentials-extensie in de Chrome Web Store is versie 2021.4.1. De versie die FLoC-tracking kan blokkeren heeft versienummer 2021.4.8. DuckDuckGo verwacht dat die snel in de Chrome Web Store zal verschijnen. In de tussentijd kunnen gebruikers ervoor kiezen om Google Chrome niet te gebruiken of de instellingen van de browser aan te passen, zo adviseert de zoekmachine. "We zijn teleurgesteld dat, ondanks de publiek geuite zorgen over FLoC die niet zijn verholpen, Google al begonnen is om FLoC aan gebruikers op te dringen zonder hen hier uitdrukkelijk toestemming om te vragen", laat DuckDuckGo verder weten. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die ondersteuning van de Trusted Platform Module (TPM) introduceert waardoor het mogelijk wordt om encryptiesleutels fysiek aan de computer in kwestie te koppelen. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography. De gebruiker heeft hierbij een public en een private key. Andere gebruikers die met de gebruiker versleuteld willen communiceren kunnen hiervoor zijn public key gebruiken. Het versleutelde bericht is vervolgens alleen door middel van de bijbehorende private key te ontsleutelen. Het is dan ook belangrijk dat de private key niet in handen van een aanvaller komt. Zo kan de key worden beveiligd met een passphrase. Om de private key verder te beschermen biedt GnuPG 2.3 nu TPM-ondersteuning. De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. De meeste moderne laptops beschikken over een TPM. Gebruikers van GnuPG en een computer met een TPM kunnen hun key in de TPM laden. Vervolgens zal de TPM met de ingeladen key berichten ontsleutelen of signeren. Dit gebeurt binnen de TPM en niet op de laptop. De key wordt op zo'n manier geladen dat alleen één specifieke TPM, die de sleutel genereerde, die kan gebruiken. Hierdoor is de key zowel bij het gebruik als in rust beveiligd, zo stelt GnuPG-ontwikkelaar James Bottomley. Zelfs wanneer een aanvaller het private key bestand en de passphrase weet, kan hij nog steeds geen gebruik van de key maken, omdat die fysiek aan de laptop van de gebruiker is gekoppeld. "De TPM beschermt niet tegen elke aanval. Met name wanneer er fysieke toegang is kan iemand in theorie de chip open maken en de secret wrapping keys uit het interne NVRam halen. Dit houdt echter in dat je altijd je TPM via de clear operation moet opschonen voordat je je laptop wegdoet", aldus Bottomley. bron: https://www.security.nl

Gegevens van 500 miljoen LinkedIn-gebruikers worden te koop aangeboden op internet. De dataset bevat LinkedIn ID, naam, e-mailadres, telefoonnummer, geslacht, links naar socialmediaprofielen, functieomschrijving en andere werkgerelateerde informatie, zo meldt de website CyberNews. LinkedIn laat in een reactie weten dat de aangeboden data afkomstig is van een aantal websites en bedrijven. Het bevat daarnaast publiek toegankelijke profielgegevens van LinkedIn-gebruikers. Het lijkt erop dat deze gegevens via scraping van LinkedIn zijn verzameld, aldus het zakelijke sociale netwerk. Volgens LinkedIn is er geen sprake van een datalek bij het bedrijf en bevat de dataset voor zover nu bekend geen private accountgegevens van gebruikers. LinkedIn heeft nog niet laten weten of het gebruikers die in de aangeboden dataset voorkomen gaat waarschuwen. Onlangs verscheen ook een dataset met de gegevens van 533 miljoen Facebookgebruikers op internet die door misbruik van een Facebookfunctie waren verkregen. Facebook is niet van plan om deze mensen over het datalek te informeren. bron: https://www.security.nl

Tijdens de laatste dag van de Pwn2Own-wedstrijd hebben beveiligingsonderzoekers verschillende zerodaylekken in Microsoft Exchange, Parallels Desktop, Ubuntu Desktop en Windows 10 getoond. Een aantal van de gedemonstreerde kwetsbaarheden was echter al door andere onderzoekers gevonden. Pwn2Own is een jaarlijks terugkerende wedstrijd waar beveiligingsonderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire software. Details over de beveiligingslekken worden niet openbaar gemaakt, maar gedeeld met de betreffende leverancier, zodat die een beveiligingsupdate kan ontwikkelen. Op de derde en laatste dag van het evenement lieten onderzoekers Benjamin McBride van L3Harris Trenchant, Alisa Esage en Da Lao onafhankelijk van elkaar een succesvolle zeroday-aanval tegen virtualisatiesoftware Parallels Desktop zien. Het lukte de drie onderzoekers om door middel van een kwetsbaarheid het onderliggende besturingssysteem vanuit Parallels Desktop over te nemen. Het beveiligingslek dat Esage gebruikte was echter al door een andere onderzoeker gerapporteerd bij het Zero Day Initiative, dat Pwn2Own organiseert. Onderzoekers Billy Jheng Bing-Jhong van STAR Labs en onderzoeker Vincent Dehors toonden beiden een succesvolle aanval tegen Ubuntu Desktop, waarbij ze de rechten van een standaard gebruiker konden verhogen naar root. De kwetsbaarheid die Jheng Bing-Jhong gebruikte was echter al bij Ubuntu bekend en zal binnenkort worden gepatcht. Onderzoekers Fabien Perigaud van Synacktiv en Marcin Wiazowski lieten zien hoe ze via een use-after-free bug in Windows 10 de rechten van een standaard gebruiker kunnen verhogen naar die van system. De kwetsbaarheid waarvan Perigaud gebruikmaakte was echter al bekend bij Microsoft. Op de eerste en tweede dag lieten onderzoekers al succesvolle aanvallen tegen Microsoft Exchange zien en op de derde dag was dat weer het geval. Het lukte Steven Seeley van Source Incite om op afstand een volledig gepatchte Exchange-server over te nemen. De onderzoeker gebruikte twee onbekende kwetsbaarheden voor zijn aanval. Een deel van de aanval vond plaats via een "man-in-the-middle aspect", wat niet is toegestaan. De aanval werd dan ook als een 'partial win' bestempeld. In totaal ontvingen onderzoekers voor hun aanvallen de afgelopen drie dagen in totaal 1,2 miljoen dollar aan prijzengeld. Wanneer de gedemonstreerde kwetsbaarheden worden verholpen is onbekend. bron: https://www.security.nl

Cisco waarschuwt bedrijven en organisaties voor een kritieke kwetsbaarheid in vier type routers voor het mkb waardoor een aanvaller de apparaten op afstand kan overnemen. Doordat de routers end-of-life zijn zal Cisco geen beveiligingsupdates uitbrengen om het beveiligingslek te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-1459, is aanwezig in de Cisco Small Business RV110W, RV130, RV130W en RV215W routers. Het probleem wordt veroorzaakt doordat de webinterface van de apparaten niet goed omgaat met het valideren van gebruikersinvoer. Door het versturen van speciaal geprepareerde http requests kan een aanvaller code als root op de router uitvoeren. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De vier type routers worden sinds december niet meer door Cisco ondersteund. Om de aanval uit te kunnen voeren moet de webinterface voor een aanvaller toegankelijk zijn. Cisco adviseert dan ook om remote management uit te schakelen. De optie staat standaard niet ingeschakeld. Verder wordt bedrijven aangeraden om te upgraden naar de RV132W, RV160, of RV160W routers die nog wel beveiligingsupdates ontvangen. In januari waarschuwde Cisco nog voor 61 kwetsbaarheden die in de RV110W, RV130, RV130W en RV215W aanwezig zijn. Voor zover bekend zijn er nog geen exploits die misbruik van CVE-2021-145 maken. bron: https://www.security.nl

Facebook gaat de 533 miljoen gebruikers waarvan de persoonsgegevens vorige week op straat kwamen te liggen niet waarschuwen. Dat laat het bedrijf in een reactie tegenover persbureau Reuters weten. Volgens een woordvoerder kan Facebook niet achterhalen welke gebruikers het moet informeren. Daarnaast kunnen gebruikers niets aan de situatie doen en gaat het om publiek beschikbare informatie. Op een forum werd vorige week een dataset aangeboden met data van 533 miljoen Facebookgebruikers, waaronder 5,4 miljoen Nederlanders en 3,1 miljoen Belgen. Het gaat om verschillende soorten gegevens, zoals naam, telefoonnummer, woonplaats, geboortedatum en in sommige gevallen ook e-mailadres. Op de eigen website meldt Facebook dat een aanvaller de data heeft verkregen door middel van scraping en er niet is ingebroken op systemen van het bedrijf. Facebook denkt dat de data voor september 2019 is gescrapet door middel van de "contact importer". De feature moest het eenvoudig maken voor gebruikers om hun vrienden op Facebook te vinden door hun contactlijsten te importeren. Een aanvaller maakte hier misbruik van door een grote hoeveelheid telefoonnummers in te voeren en zo bijbehorende informatie van Facebookgebruikers te verzamelen. Nadat het bedrijf ontdekte dat de feature werd misbruikt zijn er aanpassingen aan de contact importer doorgevoerd. bron: https://www.security.nl

Google heeft een exploit gepubliceerd voor twee Bluetooth-kwetsbaarheden in de Linux-kernel waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om op afstand en zonder interactie van het slachtoffer code met kernelrechten op kwetsbare systemen uit te voeren. Daarnaast is er een uitgebreide analyse online verschenen waarin Google-engineer Andy Nguyen de twee kwetsbaarheden en een derde beveiligingslek in detail beschrijft. De drie kwetsbaarheden, CVE-2020-24490, CVE-2020-12352 en CVE-2020-12351, hebben de naam "BleedingTooth" gekregen en zijn aanwezig in BlueZ, de officiële Linux Bluetooth protocol stack. Vorig jaar werden de beveiligingslekken in de Linux-kernel verholpen, waarop Nguyen nu de details en exploit openbaar heeft gemaakt. CVE-2020-24490 betreft een buffer overflow in BlueZ waardoor een denial of service of het uitvoeren van code mogelijk is. Dit lek werd in versie 4.19 van de Linux-kernel geïntroduceerd. Via CVE-2020-12352, een informatielek, is het mogelijk om de geheugenlay-out te achterhalen. De derde kwetsbaarheid, CVE-2020-12351, laat een aanvaller zijn rechten verhogen. Het beveiligingslek is sinds Linux-kernel 4.8 in de kernel aanwezig. Door de drie beveiligingslekken te combineren is remote code execution mogelijk. De nu gepubliceerde exploit laat een aanvaller calculator op het aangevallen systeem starten. De exploit is getest op een Dell XPS 15 met Ubuntu 20.04.1 LTS. Vanwege het werk van Nguyen werd besloten om de Bluetooth High Speed feature in de Linux-kernel standaard uit te schakelen en zo het aanvalsoppervlak te verkleinen. Door deze beslissing wordt de "heap primitive" verwijderd die de onderzoeker als onderdeel van zijn aanval gebruikte voor het alloceren van geheugen. Hieronder een videodemonstratie van de aanval. bron: https://www.security.nl

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade hebben drie kritieke kwetsbaarheden in Zoom gevonden waardoor het mogelijk is om systemen van gebruikers op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. De twee onderzoekers van it-bedrijf Computest demonstreerden hun aanval op Zoom tijdens de jaarlijkse Pwn2Own-wedstrijd. Voor hun demonstratie ontvingen de onderzoekers 200.000 dollar. Pwn2Own is een driedaagse wedstrijd die jaarlijks in Vancouver wordt gehouden. Vanwege de coronapandemie is besloten om deelnemers, net als vorig jaar, op afstand te laten deelnemen. Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Microsoft Teams op afstand zijn te compromitteren levert 200.000 dollar op. Tijdens de tweede dag van Pwn2Own demonstreerden Keuper en Alkemade hun aanval op de chatfunctie van Zoom. Door het combineren van drie kwetsbaarheden wisten ze zonder enige interactie van het slachtoffer code op het systeem uit te voeren. Verdere details zijn niet bekendgemaakt. Informatie over de beveiligingslekken wordt nu gedeeld met Zoom, zodat het bedrijf een beveiligingsupdate kan ontwikkelen. "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen", aldus Keuper. Google Chrome, Microsoft Edge, Exchange en Parallels Desktop De demonstratie van de Nederlandse beveiligingsonderzoekers was niet de enige aanval die vandaag werd getoond. Onderzoeker Jack Dates van RET2 Systems wist door middel van drie kwetsbaarheden in virtualisatiesoftware Parallels Desktop het onderliggende besturingssysteem over te nemen. De demonstratie werd beloond met 40.000 dollar. Bruno Keith en Niklas Baumstark van Dataflow Security wisten een exploit voor Google Chrome en Microsoft Edge te ontwikkelen. Door middel van een "type mismatch" bug lukte het de onderzoekers om code binnen beide browsers uit te voeren. De aanval, waarbij het voldoende is om alleen een malafide of gecompromitteerde website te bezoeken, leverde Keith en Baumstark in totaal 100.000 dollar op. Vervolgens lieten onderzoekers van Team Viettel een succesvolle aanval tegen Microsoft Exchange zien. Het lukte de onderzoekers om een volledig gepatchte Exchange-server op afstand over te nemen. Aangezien een aantal van de gebruikte kwetsbaarheden al tijdens de eerste dag van Pwn2Own door een ander securitybedrijf was gedemonstreerd werd de demonstratie van Team Viettel als een 'partial win' bestempeld. Morgen staat de laatste dag van Pwn2Own gepland, met aanvallen tegen Ubuntu Desktop, Windows 10, Parallels Desktop en Microsoft Exchange. bron: https://www.security.nl

De Belgische privacytoezichthouder GBA heeft Facebookgebruikers in het land waarvan de persoonsgegevens zijn gelekt opgeroepen om een klacht in te dienen. Vorige week kwamen de gegevens van 533 miljoen Facebookgebruikers op straat te liggen, waaronder ruim 3,1 miljoen Belgen. Het gaat om verschillende soorten gegevens, zoals naam, telefoonnummer, woonplaats, geboortedatum en in sommige gevallen ook e-mailadres. Naar aanleiding van het datalek heeft de Belgische Gegevensbeschermingsautoriteit (GBA) de Ierse privacytoezichthouder benaderd, aangezien het Europese hoofdkantoor van Facebook zich in Ierland bevindt. De GBA vindt dat Facebook zijn verantwoordelijkheid moet nemen en zo snel mogelijk volledige opheldering moet geven. De sociale netwerksite liet weten dat de gegevens al in het verleden zijn gestolen en de gebruikte kwetsbaarheid is verholpen, maar heeft nog altijd niet uitgelegd wat er precies heeft plaatsgevonden. "Facebook moet zijn gebruikers accuraat informeren over de precieze impact voor hen en de mogelijke maatregelen die zij kunnen nemen", aldus de Gegevensbeschermingsautoriteit. Die waarschuwt dat de gestolen data onder andere kan worden gebruikt om Facebookgebruikers op te lichten. Gebruikers worden dan ook opgeroepen om alert te zijn. Daarnaast adviseert de GBA om een klacht in te dienen. "Wist u dat als uw persoonsgegevens openbaar zijn gemaakt als gevolg van een gegevenslek, u altijd een klacht kunt indienen bij de Gegevensbeschermingsautoriteit? Zelf als de verantwoordelijkheid voor het lek bij een organisatie ligt waarvan het hoofdkantoor zich niet in België bevindt, zorgt de GBA ervoor dat uw klacht wordt behandeld." bron: https://www.security.nl

Criminelen maken misbruik van een bekende kwetsbaarheid in Fortinet vpn-servers om bedrijven met ransomware te infecteren, zo waarschuwt antivirusbedrijf Kaspersky. Het lek, CVE-2018-13379, bevindt zich in de FortiOS SSL VPN webportal. FortiOS is het besturingssysteem dat in de netwerkoplossingen van Fortinet wordt gebruikt, zoals firewalls en vpn-servers. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden, waaronder de "sslvpn_websession". Dit bestand bevat de inloggegevens van ingelogde vpn-gebruikers in plain text. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit. Zodra aanvallers toegang hebben wordt vanaf de gecompromitteerde vpn-server de rest van het bedrijfsnetwerk aangevallen. Hiervoor gebruiken de aanvallers onder andere de Mimikatz-tool. Daarmee kunnen de inloggegevens worden gestolen van gebruikers die recentelijk op het gecompromitteerde systeem hebben ingelogd. Kaspersky ontdekte een aanval waarbij aanvallers op deze manier de inloggegevens van het domeinbeheerdersaccount in handen kregen. Via dit account werden de overige systemen in het netwerk besmet en konden de aanvallers de Cring-ransomware uitrollen. Onlangs waarschuwde ook de FBI voor misbruik van het betreffende beveiligingslek in FortiOS, alsmede twee andere kwetsbaarheden. Organisaties worden dan ook opgeroepen om hun systemen te updaten. bron: https://www.security.nl

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers verschillende zerodaylekken in Microsoft Exchange, Microsoft Teams, Apple Safari, Windows 10 en Ubuntu Desktop gedemonstreerd. Het securitybedrijf dat vorig jaar een zeer kritieke kwetsbaarheid in Exchange ontdekte, waar de afgelopen maanden op zeer grote schaal misbruik van is gemaakt, lukte het weer om de mailserversoftware te compromitteren. Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Teams zijn te compromitteren levert 200.000 dollar op. Een zelfde beloning wordt uitgekeerd voor aanvallen tegen Microsoft Exchange en het Windows remote desktopprotocol. Aanvallen in Microsoft Edge Chromium en Google Chrome waardoor er volledige controle over het onderliggende systeem kan worden verkregen zijn goed voor elk 150.000 dollar. Een aanval tegen de virtualisatiesoftware Microsoft Hyper-V, waarbij het hostsysteem vanuit het gastsysteem kan worden overgenomen, levert 250.000 dollar op. De hoogste beloning is echter weggelegd voor een succesvolle aanval tegen een Tesla Model 3. Een aanval via de tuner, wifi, bluetooth of modem op het infotainmentsysteem kan onderzoekers 500.000 dollar rijker maken. Met aanvullende aanvallen, waarbij bijvoorbeeld de autopiloot permanent wordt gecompromitteerd, kan dit bedrag worden verhoogd naar zelfs 600.000 dollar. Eerste dag Tijdens de eerste dag van het driedaagse evenement zijn er verschillende succesvolle aanvallen gedemonstreerd. Als eerste liet onderzoeker Jack Dates van RET2 Systems zien hoe hij door middel van een integer overflow in Safari en een out-of-bounds write willekeurige code met kernelrechten op macOS kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De aanval leverde Dates 100.000 dollar op. Securitybedrijf DEVCORE, dat in januari nog een zeer kritieke kwetsbaarheid in Exchange aan Microsoft rapporteerde, lukte het opnieuw om Exchange succesvol aan te vallen. Door middel van een authentication bypass en een privilege escalation kwetsbaarheid kunnen ze een volledig gepatchte versie van Exchange op afstand en zonder interactie van gebruikers overnemen. De demonstratie van de zeroday-aanval werd beloond met 200.000 dollar. Vervolgens demonstreerde een onderzoeker met het alias OV een succesvolle aanval tegen Microsoft Teams. Door een combinatie van kwetsbaarheden lukte het de onderzoeker om willekeurige code op het systeem van gebruikers uit te voeren. Ook deze aanval werd beloond met 200.000 dollar. Na deze demonstratie lieten onderzoekers van Team Viettel zien hoe ze op een volledig gepatchte versie van Windows 10 door middel van een integer overflow de rechten van een normale gebruiker kunnen verhogen naar die van het systeem. De aanval leverde 40.000 dollar op. De laatste succesvolle demonstratie van dag één werd getoond door onderzoeker Ryota Shiga van Flatt Security. Hij liet zien hoe een standaard lokale gebruiker op Ubuntu Desktop door middel van een out-of-bounds 'access bug' root kan worden. Details over de gedemonstreerde kwetsbaarheden zijn niet openbaar gemaakt. Die worden gedeeld met de betreffende leveranciers, zodat die beveiligingsupdates kunnen ontwikkelen. Pas daarna kunnen de onderzoekers ervoor kiezen om de details te publiceren. Tijdens de tweede dag van het evenement, dat later vandaag begint, staan onder andere aanvallen tegen Zoom Messenger, Parallels Desktop, Google Chrome, Microsoft Edge en Microsoft Exchange gepland. bron: https://www.security.nl

Smartphones van fabrikant Gigaset zijn met malware besmet nadat aanvallers een officiële updateserver wisten te compromitteren. Getroffen toestellen ontvingen vorige week donderdag een malafide update die ongewenste adware-apps installeerde en de browser van de telefoon kaapte. Zo werden binnen de browser allerlei vensters met advertenties geopend. Ook werden Facebook-accounts van gebruikers overgenomen. Verder bleek de malware WhatsApp-accounts te blokkeren, sms-berichten te versturen, het toestel traag te maken en voor een lege batterij te zorgen. Bij gebruikers die de malware via Android Debug Bridge (ADB) wisten te verwijderen werd die na een aantal uur weer opnieuw geïnstalleerd, meldt de website Borncity. Gigaset laat tegenover de website weten dat aanvallers een updateserver wisten te compromitteren die inmiddels is opgeschoond. Verder meldt Gigaset dat het op korte termijn met een oplossing voor getroffen gebruikers komt. Volgens de smartphonefabrikant zijn alleen oudere toestellen door de malafide updates getroffen. De fabrikant gaat ervan uit dat de GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 en GS4-modellen niet besmet zijn geraakt. Gigaset komt vandaag of morgen met aanvullende informatie over het incident. bron: https://www.security.nl

De Europese tak van Office Depot heeft via een onbeveiligde Elasticsearch-database gegevens van klanten gelekt, alsmede gevoelige interne data. Dat meldt beveiligingsonderzoeker Jeremiah Fowler. De database, die voor iedereen op internet zonder wachtwoord toegankelijk was, bevatte klantnamen, telefoonnummers, adresgegevens en andere informatie, alsmede de bestelgeschiedenis. De database telde volgens Fowler in totaal 924.000 records. Naast klantgegevens werden er ook ssh-inloggegevens van medewerkers aangetroffen en informatie met ip-adressen en poorten die voor verdere aanvallen tegen het bedrijf gebruikt hadden kunnen worden. De database werd op 3 maart door Fowler gevonden, die vervolgens Office Depot waarschuwde. Op 5 maart ontving de onderzoeker bericht van de kantoorartikelenleverancier dat de database was beveiligd. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. bron: https://www.security.nl

Meer dan 2,5 miljoen e-mailadressen van Facebookgebruikers die bij het bedrijf werden gestolen en gepubliceerd op internet zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. De gestolen e-mailadressen zijn onderdeel van een dataset die de gegevens van 533 miljoen Facebookgebruikers bevat. Deze data is volgens Facebook in 2019 gestolen door middel van een kwetsbaarheid die in augustus van dat jaar werd verholpen. De gegevens werden eerder dit jaar al te koop aangeboden op internet, maar verschenen vorige week op een forum waar ze konden worden gedownload. Het gaat onder andere om geboortedatum, werkgever, geslacht, geografische locatie, namen, telefoonnummers en relatiestatus. Van 2,5 miljoen gebruikers staat ook hun e-mailadres in de dataset. De e-mailadressen zijn nu toegevoegd aan Have I Been Pwned (HIBP), meldt beveiligingsonderzoeker Troy Hunt, de man achter de datalekzoekmachine. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor actief misbruik van drie bekende kwetsbaarheden in FortiOS, het besturingssysteem dat in de netwerkoplossingen van fabrikant Fortinet wordt gebruikt, zoals firewalls en vpn-systemen. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812. Volgens de FBI maken meerdere Advanced Persistent Threat (APT)-groepen gebruik van de kwetsbaarheden om toegang tot de netwerken van overheden en bedrijven te krijgen om vervolgens data te stelen of ransomware-aanvallen uit te voeren. De FBI zag vorige maand deze groepen scans op poorten 4443, 8443 en 10443 uitvoeren, om zo kwetsbare Fortinet-apparaten te vinden (pdf). CVE-2018-13379 is een kwetsbaarheid in de FortiOS SSL VPN webportal. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit. CVE-2019-5591 is een beveiligingslek in FortiOS waardoor een ongeauthenticeerde aanvaller op hetzelfde subnet gevoelige informatie kan onderscheppen door zich voor te doen als de LDAP-server. De impact van deze kwetsbaarheid is beoordeeld met een 7,5. Voor dit beveiligingslek is sinds 26 juli 2019 een beveiligingsupdate beschikbaar. Vorig jaar juli kwam Fortinet met een patch voor de derde kwetsbaarheid, CVE-2020-12812. Via dit beveiligingslek kan een aanvaller inloggen zonder dat een tweede factor moet worden opgegeven, ook al staat dit wel ingeschakeld. Dit probleem doet zich voor wanneer tweefactorauthenticatie staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de tweefactorauthenticatie omzeilen. Deze kwetsbaarheid heeft een impactscore van 9,8. Aangezien beveiligingsupdates voor de genoemde kwetsbaarheden al geruime tijd beschikbaar zijn, adviseert de FBI om de patches meteen te installeren. Verder wordt een reeks van algemene beveiligingsadviezen gegeven om de beveiliging van systemen te verbeteren. bron: https://www.security.nl

Op internet zijn de privégegevens van 533 miljoen Facebookgebruikers gelekt, waaronder meer dan 5,4 miljoen Nederlanders en 3,1 miljoen Belgen, zo meldt beveiligingsonderzoeker Alon Gal van securitybedrijf Hudson Rock op Twitter. Het gaat om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. "Kwaadwillenden zullen de informatie zeker voor social engineering, scams, hacking en marketing gebruiken", aldus Gal. Facebook laat in een reactie weten dat het om oude gegevens gaat die in 2019 zijn gestolen. Het onderliggende probleem waardoor de datadiefstal mogelijk was is in augustus van dat jaar verholpen. Om wat voor kwetsbaarheid het gaat laat Facebook niet weten. Axios meldt dat Facebook destijds een functie uitschakelde waardoor het mogelijk was om meerdere telefoonnummers in te voeren en via een algoritme te kijken welk nummer bij een specifieke gebruiker hoorde. De gestolen data werd eerder dit jaar nog te koop aangeboden, maar is nu gratis op een forum beschikbaar gemaakt. bron: https://www.security.nl