Captain Kirk

Hostingbedrijf No Support Linux Hosting heeft wegens een succesvolle aanval op de servers besloten om na meer dan elf jaar de deuren te sluiten. Duizenden websites moeten een nieuw heenkomen zoeken. Het in 2009 opgerichte hostingbedrijf richtte zich op experts en ging er prat op dat het geen supportvragen beantwoordde. Doordat het alleen experts bediende en geen hobbyisten of amateurs kon het naar eigen zeggen een lagere prijs rekenen. In een vrij beknopte verklaring op de eigen website meldt het hostingbedrijf dat het gisteren getroffen is door een aanval waarbij alle servers werd gecompromitteerd die het voor de bedrijfsvoering gebruikt. Het gaat onder andere om webserver, beheerserver en de klantendatabase. Vanwege de aanval zegt No Support Linux Hosting dat het niet meer in staat is om hostingdiensten aan te bieden. Klanten worden opgeroepen om meteen back-ups van hun websites en databases via het beheerderspaneel te downloaden. Verdere details over de aanval zijn niet bekendgemaakt. In 2011 kreeg het hostingbedrijf naar eigen zeggen ook met een aanval te maken waardoor de websites van klanten verloren gingen. bron: https://www.security.nl

Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd. Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld. De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn. De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt. bron: https://www.security.nl

Gameontwikkelaar CD Projekt Red, bekend van games zoals The Witcher en Cyberpunk 2077, is slachtoffer van een ransomware-aanval geworden. Bij de aanval zijn ook bedrijfsgegevens buitgemaakt, zo laat de gameontwikkelaar via Twitter weten. Volgens de verklaring wist een aanvaller toegang tot het interne netwerk te krijgen en zijn er gegevens van de CD Projekt capital group gestolen. Tevens werden verschillende systemen met ransomware besmet en versleuteld. CD Projekt Red stelt dat de back-ups onaangetast zijn en het al begonnen is met het herstellen van systemen. De aanvaller dreigt de gestolen gegevens openbaar te maken tenzij het bedrijf een niet nader genoemd losgeldbedrag betaald. Het zou onder andere om broncode van de gameontwikkelaar gaan, alsmede financiële documenten en andere bedrijfsgegevens. CD Projet Red zegt geen losgeld te zullen betalen en ook niet met de aanvaller te zullen onderhandelen. Het onderzoek naar de aanval loopt nog, maar er zouden voor zover bekend geen persoonsgegevens van spelers zijn buitgemaakt. De lokale privacytoezichthouder en autoriteiten zijn inmiddels ingelicht. Verdere details over de ransomware en hoe de aanvaller toegang wist te krijgen zijn niet bekendgemaakt. bron: https://www.security.nl

Een softwarebug was de oorzaak dat de versleutelde e-maildienst ProtonMail en andere Proton-diensten vorige week maandag een uur lang onbereikbaar waren. Dat beschrijft de e-mailprovider in een analyse van de storing. Maandagochtend 1 februari had Proton onderhoud aan de databasehardware gepland staan, die ook succesvol werd uitgevoerd. Voor het onderhoud werden de API-servers in een offline mode gezet. Elke server heeft een lokale cache met belangrijke configuratiegegevens. Deze data verloopt na drie a vier minuten, waarna de server een nieuwe configuratie ophaalt. Normaliter zijn de verlooptijden van de servers gespreid. Het inschakelen van de offline mode zorgde er echter voor dat de servers nagenoeg werden gesynchroniseerd. Normaliter is de configuratiecache niet vereist wanneer de offline mode van de server wordt ingeschakeld. Een bug in de applicatiecode zorgde ervoor dat de requests van ingelogde gebruikers deze data ten onrechte toch nodig hadden, zelfs in de offline mode. Nadat de configuatiecache van elke server na een paar minuten was verlopen werden er requests naar de database gestuurd die nog steeds offline was. Volgens ProtonMail duurt het afhandelen van requests normaliter milliseconden, maar bleven die nu tien seconden op een timeout wachten. Dit had een domino-effect waardoor het geheugen en de processors van de servers zo zwaar werden belast dat ze niet meer reageerden. Alleen door middel van een handmatige hard reboot waren de servers te herstellen. Dit nam echter enige tijd in beslag. Sommige van de servers die online kwamen hadden nog een verkeerde configuratie, wat inhield dat engineers elke server moest controleren voordat alle diensten konden worden hersteld. ProtonMail stelt dat het incident heeft laten zien dat de infrastructuur en code uitgebreider moet worden getest voor uitzonderlijke omstandigheden, zoals wanneer bepaalde services offline zijn. Daarnaast onderstreept de storing de noodzaak om vaker te testen. De offline mode waar ProtonMail gebruik van maakte was in het verleden vaker getest, maar sinds de laatste test en het incident op 1 februari is het aantal gebruikers flink toegenomen. Volgens de mailprovider had er dan ook meer getest moeten worden. Verder gaat ProtonMail ervoor zorgen dat engineers tijdens onderhoud 'on-call' zijn mocht er iets onverwachts gebeuren. bron: https://www.security.nl

Het Duitse testlab AV-Test dat al meer dan vijftien jaar lang antivirussoftware vergelijkt en test is overgenomen door de Swiss IT Security Group. Dat laten beide bedrijven in een persbericht weten (pdf). Het is inmiddels al de vijftiende overname van de Swiss IT Security Group, dat zich onder andere bezighoudt met consultancy, netwerkbeveiliging, onderzoek, mobiliteitsoplossingen, clouddiensten en toegangsbeheer. Het securitybedrijf wil de diensten van AV-Test aan de eigen klanten gaan aanbieden. Naast het testen van malware houdt het testlab zich ook bezig met malware-analyse, biedt het een grote database met verzamelde malware-exemplaren en test het ook Internet of Things-oplossingen. AV-Test telt 28 medewerkers, de Swiss IT Security Group meer dan vijfhonderd. De oprichters van AV-Test gaan bij het Zwitserse securitybedrijf aan de slag. Een overnamebedrag is niet bekendgemaakt. bron: https://www.security.nl

Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product, zo stelt Microsoft. Berichtgeving van Reuters dat Microsofts eigen producten door de aanvallers voor verdere aanvallen zijn gebruikt is onjuist, aldus het techbedrijf. Bij de aanval op SolarWinds wisten aanvallers toegang tot de ontwikkelomgeving van het bedrijf te krijgen en konden zo updates voor het SolarWinds Orion-platform van een backdoor voorzien. Door middel van deze backdoor kregen de aanvallers weer toegang tot allerlei bedrijven en overheidsinstanties. Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) meldde dat de aanvallers naast de SolarWinds-backdoor ook andere aanvalsvectoren gebruikten. Microsoft bevestigt dat. Het gaat onder andere om spearphishing, webshells, password spraying en 'delegated credentials'. Microsoft zegt zelf geen initiële toegangsvector voor de SolarWinds-aanvallers te zijn geweest. "Data die bij Microsoft-diensten wordt gehost, waaronder e-mail, was soms een doelwit bij deze aanvallen, maar de aanvaller had dan op een andere manier al inloggegevens verkregen", laat de techgigant in een update over het incident weten. bron: https://www.security.nl

Microsoft stopt volgende maand de ondersteuning van Edge Legacy, wat gevolgen voor organisaties kan hebben die de browser op kioskcomputers gebruiken. Volgende maand op 9 maart eindigt de support van Edge Legacy dat standaard met Windows 10 wordt meegeleverd. De maand daarna op 13 april zal Microsoft tijdens de maandelijkse patchdinsdag de browser door Edge Chromium vervangen, de versie van Edge die op de open source Chromium-browser is gebaseerd. Om te voorkomen dat kioskcomputers straks niet meer werken adviseert Microsoft organisaties om Edge Chromium voor 13 april te installeren en de kioskmode in te schakelen. "Als je de kioskmode in de nieuwe Microsoft Edge niet voor de Windows 10-updates van april inschakelt zul je met verstoringen van het kioskgebruik te maken krijgen", aldus Microsoft, dat op deze pagina uitlegt hoe organisaties naar de nieuwe browser kunnen overstappen. Sinds Microsoft Edge Chromium uitbracht is het marktaandeel van de browser gestegen en is inmiddels met zo'n acht procent bijna gelijk aan dat van Firefox, aldus cijfers van marktvorser StatCounter. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Firefox, Firefox ESR en Tor Browser maakt het mogelijk voor aanvallers om code op systemen van gebruikers uit te voeren waarbij er in het ergste geval volledige controle over het onderliggende systeem kan worden verkregen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist. Het beveiligingslek bevindt zich in de Angle graphics library. Tijdens het verwerken van gecomprimeerde textures kan een aanvaller een buffer overflow veroorzaken waardoor remote code execution mogelijk is. Gebruikers krijgen het advies om te updaten naar Firefox 85.0.1, Firefox ESR 78.7.1 of Tor Browser 10.0.11. Dit kan zowel via de automatische updatefunctie als Mozilla.org of TorProject.org. bron: https://www.security.nl

Bij de recent onthulde aanvallen tegen beveiligingsonderzoekers is ook een zerodaylek in Internet Explorer gebruikt. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. Eind januari kwamen Google en Microsoft met informatie over een groep aanvallers die het had voorzien op beveiligingsonderzoekers. Die werden door de aanvallers uitgenodigd om aan beveiligingsonderzoek deel te nemen. Het "onderzoek" dat de onderzoekers ontvingen was in werkelijkheid malware. Daarnaast gebruikten de aanvallers vermoedelijk een zerodaylek in Google Chrome. Verschillende onderzoekers die met volledig gepatchte versies van Windows 10 en Chrome een blog van de aanvallers bezochten raakten met malware besmet. Nu meldt securitybedrijf ENKI dat de aanvallers ook een zerodaylek in Internet Explorer gebruikten. Verschillende onderzoekers van ENKI ontvingen een MHTML-bestand met de naam "Chrome_85_RCE_Full_Exploit_Code". Dit bestand vraagt om toestemming voor het uitvoeren van JavaScript, om zo alle content te kunnen tonen. Wanneer dit wordt toegestaan downloadt het script een zeroday-exploit voor Internet Explorer. Via het beveiligingslek kan een aanvaller willekeurige code op het systeem uitvoeren. Aangezien de kwetsbaarheid nog niet is verholpen geeft ENKI geen verdere details. Mitja Kolsek, ceo van securitybedrijf Acros Security, stelt dat het om een zeer betrouwbare 'zero-click' kwetsbaarheid in de browser gaat. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de desktopversie van Chrome die actief is aangevallen voordat de patch beschikbaar was. Het zerodaylek bevindt zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript. Het is niet de eerste keer dat Google Chrome met een zeroday in V8 te maken krijgt. Vorig jaar februari en twee keer in november was het ook raak. Afgelopen december besloot Google om hogere beloningen uit te keren aan beveiligingsonderzoekers die kwetsbaarheden in V8 rapporteren. Het nu verholpen zerodaylek wordt aangeduid als CVE-2021-21148 en veroorzaakt een heap buffer overflow in de JavaScript-engine. Verdere details over de kwetsbaarheid of waargenomen aanvallen zijn niet gegeven. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Gebruikers krijgen het advies om te updaten naar Google Chrome versie 88.0.4324.150, die beschikbaar is voor Linux, macOS en Windows. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update komen. Op 2 februari kwam Google ook al met een Chrome-update, toen volgde Microsoft op 4 februari met een patch voor Edge. bron: https://www.security.nl

Cisco heeft een waarschuwing gegeven voor zeven ernstige kwetsbaarheden in verschillende vpn-routers waardoor de apparaten op afstand zijn over te nemen. Het gaat om de Cisco Small Business RV160, RV160W, RV260, RV260P en RV260W vpn-routers. De beveiligingslekken zijn op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld. De problemen worden veroorzaakt doordat http requests niet goed worden gevalideerd. Door het versturen van een speciaal geprepareerd http request naar de webinterface kan een aanvaller willekeurige code met rootrechten op het apparaat uitvoeren. Cisco adviseert bedrijven die met de betreffende routers werken om de beschikbaar gestelde firmware-update te installeren. Workarounds zijn niet beschikbaar. bron: https://www.security.nl

Stormshield, naar eigen zeggen het toonaangevende cybersecuritybedrijf van Frankrijk, is getroffen door een datalek. Ook zijn de aanvallers ervandoor gegaan met de broncode van de netwerkbeveiligingsproducten. Dat meldt Stormshield op de eigen website. Volgens het bedrijf ontdekte het onlangs ongeautoriseerde toegang tot een supportportaal voor klanten en partners. De aanvallers hebben mogelijk toegang tot accountgegevens gekregen die persoonlijke data bevatten. Uit voorzorg is besloten om van alle klantenaccounts het wachtwoord te resetten. Klanten van de betreffende accounts zijn daarnaast ingelicht. Verder onderzoek naar de aanval wees uit dat de aanvallers ook toegang hebben gekregen tot delen van de broncode van de firewall-, vpn- en andere netwerkbeveiligingsoplossingen van Stormshield. Er zijn geen aanwijzingen gevonden dat de aanvallers de broncode hebben aangepast of hebben gebruikt voor het aanvallen van Stormshield-oplossingen. Een tweede voorzorgsmaatregel die Stormshield heeft genomen is het vervangen van het certificaat dat wordt gebruikt voor het signeren van de software-updates voor de netwerkproducten. Verdere details over de aanval zijn niet bekendgemaakt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in wifi-chips van chipfabrikant Realtek kunnen een aanvaller op afstand roottoegang tot de wifi-module geven, zo ontdekten beveiligingsonderzoekers van beveiligingsbedrijf Vdoo. Via de wifi-module zou het vervolgens mogelijk zijn om de applicatieprocessor van het apparaat aan te vallen. De Realtek RTL8195AM, RTL8711AM, RTL8711AF en RTL8710AF zijn wifi-modules die in allerlei soorten embedded devices voor een groot aantal sectoren worden gebruikt. Onderzoekers van Vdoo ontdekten dat het mogelijk is om tijdens de WPA2-handshake in het ergste geval een stack-based buffer overflow te veroorzaken, waardoor een aanvaller de wifi-module volledig kan overnemen. De aanvaller hoeft daarbij niet het wifi-wachtwoord (PSK) van het wifi-netwerk te weten. De kwetsbaarheid (CVE-2020-9395) doet zich voor in de 4-way handshake van het WPA2-protocol. Deze handshake wordt uitgevoerd als een client verbinding met een beveiligd wifi-netwerk wil maken en wordt gebruikt om te bevestigen dat de client en het access point over de juiste inloggegevens beschikken. Tijdens deze handshake kan een aanvaller een speciaal geprepareerd EAPoL-Key packet versturen dat een stack-based buffer overflow veroorzaakt en de aanvaller code met rootrechten op de wifi-module laat uitvoeren. EAPoL is een authenticatieprotocol dat wordt gebruikt om toegang tot een netwerk te krijgen. De aanval werkt zowel tegen clients als access points. Wanneer de wifi-module is gecompromitteerd kan de aanvaller proberen om ook de applicatieprocessor van het apparaat aan te vallen, aangezien hij volledige controle over het wifi-verkeer heeft. Realtek heeft beveiligingsupdates voor het probleem uitgebracht. bron: https://www.security.nl

Google heeft een kritieke kwetsbaarheid in Chrome verholpen die remote code execution mogelijk maakt. Het beveiligingslek is aanwezig in het onderdeel van de browser dat wordt gebruikt voor het verwerken van betalingen. Het gaat om een zogeheten 'use after free'. Verdere details worden niet door Google gegeven, behalve dat de kwetsbaarheid (CVE-2021-21142) is ontdekt en gemeld door beveiligingsonderzoeker Khalil Zhani. De onderzoeker kreeg voor zijn bugmelding een beloning van 20.000 dollar. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker vereist. Vorig jaar oktober kreeg Google echter ook met een kritieke kwetsbaarheid in het betalingsonderdeel te maken. Naast de kritieke kwetsbaarheid heeft Google ook vijf andere beveiligingslekken in de browser verholpen, waaronder in de extensies, 'tab groups', het verwerken van fonts en navigatie. Deze lekken zijn echter minder ernstig van aard. Updaten naar Chrome 88.0.4324.146 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. Aangezien deze update een kritiek beveiligingslek verhelpt zal Google proberen om de patch binnen dertig dagen onder alle gebruikers uit te rollen. Update Microsoft zal naar verwachting ook een nieuwe versie van Edge Chromium uitbrengen, maar doet dit meestal na de release van Google Chrome. Op deze pagina is een overzicht van de Chromium-updates voor Microsoft Edge te vinden. bron: https://www.security.nl

Netwerkbeveiliger SonicWall waarschuwt voor een actief aangevallen zerodaylek in de SMA 100 series gateway (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v). Een beveiligingsupdate is nog niet beschikbaar. De kwetsbaarheid raakt zowel fysieke als virtuele SMA-appliances met firmwareversie 10.x. Eerdere firmwareversies zijn niet kwetsbaar. Wereldwijd zouden duizenden apparaten risico lopen op aanvallen. De SMA 100 is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. SonicWall biedt allerlei oplossingen voor het beveiligen van netwerken. Eind januari liet het securitybedrijf weten dat de interne systemen doelwit van een aanval waren geworden waarbij mogelijk één of meerdere zerodaylekken in de eigen SonicWall-producten zijn gebruikt. Het onderzoek dat volgde stelde dat het mogelijk om een zeroday in de SMA 100 ging, maar vorige week maakte SonicWall nog bekend dat de aanwezigheid van een dergelijke kwetsbaarheid in de gateway nog altijd niet was bevestigd. Securitybedrijf NCC Group meldde dit weekend via Twitter dat het mogelijk het betreffende zerodaylek in de SMA 100 had ontdekt. Details werden vervolgens naar SonicWall gestuurd. Daarop laat de netwerkbeveiliger via de eigen website weten dat er inderdaad een zerodaylek in de gateway-oplossing aanwezig is. Later vandaag wordt er een beveiligingsupdate verwacht. In de tussentijd wordt aangeraden om multifactorauthenticatie in te schakelen en de wachtwoorden van gebruikers te resetten. Een andere oplossing die wordt aangeraden is het downgraden naar een eerdere firmwareversie. bron: https://www.security.nl

Even op in haken, lees ook dat er besteld is bij dezelfde firma. Het is dan verstandig deze firma ook op de hoogte te brengen. Zij weten dan in het vervolg dat de aankopen onder jou naam, geen aankopen of bestellingen van jou zijn. Kijk ook eens of je mailadres gebruikt wordt door derde: https://haveibeenpwned.com/ Zoals geadviseerd, is aanpassen van wachtwoorden sowieso verstandig.

Mocht het verschijnsel toch terug keren, kijk dan eerst even in de pc naar stof. Met name in de ventilatoren en koeldelen op de processor. Vaak is de oorzaak van je probleem inderdaad de warmte. Die kun je eenvoudig met een busje perslucht schoon blazen.

Verschillende aanbieders van end-to-end versleutelde diensten, waaronder e-mailproviders ProtonMail en Tutanota, hebben de Europese Unie gevraagd om af te zien van de encryptieresolutie van de Europese Raad. In de resolutie staat dat opsporingsdiensten toegang tot versleutelde data zouden moeten hebben. De resolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Hoewel de Europese Raad het niet expliciet noemt wordt er gevraagd om een backdoor, zo stellen ProtonMail, Threema, Tresorit en Tutanota. "Dit bedreigt de rechten van miljoenen Europeanen en ondermijnt een wereldwijde verschuiving naar het gebruik van end-to-end encryptie", aldus de vier bedrijven. Bij end-to-end encryptie hebben alleen de afzender en ontvanger toegang tot de inhoud van berichten. Een backdoor waardoor een derde partij kan meekijken zou per definitie inhouden dat er geen sprake meer is van end-to-end encryptie. De bedrijven stellen dat het begrijpelijk is om politiediensten meer tools te willen geven voor de bestrijding van criminaliteit. De resolutie is echter te vergelijken met politie die de sleutel van elke woning heeft, alleen dan digitaal. Het zou daarnaast tot grotere privacyschendingen kunnen leiden. Mochten de voorstellen doorgang vinden dan volgt de EU de ergste surveillancestaten ter wereld, zonder dat dit extra veiligheid oplevert, aldus Martin Blatter, ceo van versleutelde chatdienst Threema. De bedrijven willen dat er stappen worden genomen om te voorkomen dat de voorstellen te ver gaan en dat de privacy van Europeanen beschermd blijft. bron: https://www.security.nl

QNAP adviseert gebruikers van een NAS-systeem om SSH en Telnet uit te schakelen wanneer ze deze diensten niet gebruiken. Aanleiding voor het advies is een kwetsbaarheid in sudo waardoor lokale gebruikers rootrechten kunnen krijgen. Het beveiligingslek is aanwezig in Unix en Linux-gebaseerde besturingssystemen, waaronder QTS, QuTS en QES van QNAP. Een aanvaller die misbruik van de kwetsbaarheid wil maken moet eerst toegang tot het systeem zien te krijgen, maar dat zou via SSH of Telnet kunnen. Daarom adviseert QNAP als voorlopige bescherming tegen deze kwetsbaarheid om beide diensten uit te schakelen. De NAS-fabrikant werkt aan beveiligingsupdates en zal naar eigen zeggen zo snel als mogelijk met meer informatie komen. bron: https://www.security.nl

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, zo meldt een beveiligingsonderzoeker op Twitter. Gisteren lieten Politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. "De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd", aldus de aankondiging. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten. Een beveiligingsonderzoeker met het alias 'milkream' analyseerde de update en ontdekte dat die op 25 april Emotet van besmette pc's verwijdert. Twee securitybedrijven die zich met onderzoek naar Emotet bezighouden bevestigen dit tegenover ZDNet. Organisaties worden opgeroepen om hun netwerken te controleren. Hoewel Emotet niet meer actief is, kan andere malware die het installeerde zoals TrickBot en QakBot dat wel zijn. bron: https://www.security.nl

Bij de internationale politieoperatie tegen het Emotet-botnet heeft de Oekraïense politie invallen gedaan bij personen die met de malware in verband worden gebracht. Tijdens de huiszoekingen, die werden gefilmd, zijn goud, zilver, geld, bankpassen, servers, computers, harde schijven en andere apparatuur in beslag genomen, alsmede opslagmedia met gestolen inloggegevens en informatie over besmette organisaties. Het Emotet-botnet speelde een belangrijke rol in het faciliteren van cybercrime en wordt voor enkele grote ransomware-uitbraken verantwoordelijk gehouden. Politiediensten wisten de drie hoofdservers van het Emotet-botnet in kaart te brengen, waarvan er twee in Nederland stonden. De hoofdservers werden deze week overgenomen, waardoor het botnet volledig is ontregeld. Daarnaast hebben de autoriteiten een update ontwikkeld die automatisch door besmette systemen wordt gedownload en de malware in quarantaine plaatst. Tijdens het onderzoek kwam de Oekraïense politie twee verdachten op het spoor die verantwoordelijk zouden zijn voor het beheer van het Emotet-botnet. Of deze personen ook zijn aangehouden laat het persbericht van de politie niet weten. Wel melden de Oekraïense autoriteiten dat er leden zijn geïdentificeerd van een internationale groep cybercriminelen die het Emotet-netwerk voor cyberaanvallen gebruikte. De verdachten hangen in de Oekraïne een gevangenisstraf van twaalf jaar boven het hoofd. Het Britse National Crime Agency (NCA) meldt dat er wereldwijd minstens zevenhonderd servers waar Emotet gebruik van maakte offline zijn gehaald. Het onderzoek laat verder zien dat de bende achter Emotet over een periode van twee jaar op één cryptovalutaplatform meer dan 10 miljoen dollar had staan. Tevens zou de groep in deze zelfde periode bijna 500.000 dollar hebben uitgegeven aan het onderhoud van de criminele infrastructuur. bron: https://www.security.nl

De Nederlandse politie heeft vandaag een tool gelanceerd waarmee honderdduizenden slachtoffers van de Emotet-malware kunnen controleren of hun inloggegevens door de malware zijn gestolen. De politie wist tijdens een internationale operatie controle over het Emotet-netwerk te krijgen. Vervolgens ontwikkelden de autoriteiten een update die de malware op besmette machines in quarantaine plaatst. Geïnfecteerde computers zullen deze update automatisch downloaden en uitvoeren. De Emotet-malware had verschillende doeleinden, zoals het installeren van aanvullende malware, waaronder ransomware. De malware wist ook op besmette systemen gebruikersnamen en wachtwoorden van e-mailaccounts buit te maken. Deze inloggegevens gebruikte Emotet onder andere om zichzelf naar contacten van het slachtoffer te sturen. Tijdens de operatie om Emotet uit te schakelen werden 600.000 e-mailadressen met wachtwoorden door de politie aangetroffen. Door middel van de 'Emotet-checker' kunnen internetgebruikers controleren of de inloggegevens van hun e-mailaccount tussen deze dataset zit. Via de website van de politie kan een e-mailadres worden ingevoerd. Wanneer blijkt dat dit e-mailadres is gecompromitteerd ontvangt de gebruiker een e-mail van de politie. Wanneer het e-mailadres niet in de gestolen data voorkomt wordt er geen bericht verstuurd. "Dit betekent alleen dat uw gegevens niet voorkomen in de datasets die wij in beslag genomen hebben. Maar: uw computer kan besmet zijn door een ander botnet dat we nog niet opgerold hebben. Verander daarom regelmatig uw wachtwoorden en controleer ook andere checksites. Bijvoorbeeld deze: haveibeenpwned.com", aldus de politie. Het is niet voor het eerst dat de Nederlandse politie een dergelijke e-mailchecker online zet. In juli 2017 werd dit ook al een keer gedaan nadat gestolen inloggegevens van 60.000 e-mailadressen waren ontdekt. bron: https://www.security.nl

Tijdens een internationale politieoperatie zijn de hoofdservers van het beruchte Emotet-botnet overgenomen en vervolgens gebruikt om de malware bij één miljoen computers in quarantaine te plaatsen. Twee van de hoofdservers stonden in Nederland. De politie kon deze servers dankzij de hackbevoegdheid binnendringen, zo laat het Openbaar Ministerie vandaag weten. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Wereldwijd zouden één miljoen computers met Emotet besmet zijn. Volgens het Openbaar Ministerie maakte de criminele organisatie achter Emotet gebruik van honderden servers om de malware te verspreiden. Sommige servers werden gebruikt om besmette machines te besturen en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden. Tijdens een onderzoek naar de malware werd de gehele infrastructuur in kaart gebracht. Daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. Deze week lukte het de autoriteiten om de controle over het Emotet-netwerk over te nemen en de malware te deactiveren. Op de Nederlandse hoofdservers is een software-update geplaatst voor alle besmette computersystemen. Die halen de update daar automatisch op, waarna de Emotet-malware in quarantaine wordt geplaatst. Emotet-checker Tevens heeft de politie de Emotet-checker gelanceerd waarmee eindgebruikers en systeembeheerders van bedrijven en organisaties kunnen nagaan of Emotet op hun systemen wachtwoorden en gebruikersnamen heeft gestolen. Tijdens het onderzoek trof de politie 600.000 e-mailadressen met wachtwoorden aan die de malware had buitgemaakt. Tijdens operatie "LadyBird" werkten de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. bron: https://www.security.nl

Back-updienst Backblaze heeft het jaarlijkse overzicht van de betrouwbaarheid van harde schijven gepubliceerd, waaruit blijkt dat het bedrijf vorig jaar met minder uitgevallen hard disks te maken kreeg. Met meer dan 162.000 harde schijven die het vorig jaar voor de aangeboden cloudopslag gebruikte, beschikt Backblaze over uitgebreide data wat betreft de uitval van verschillende fabrikanten en modellen. Uit het overzicht blijkt dat er vorig jaar in totaal 1302 harde schijven uitvielen. Daarvan was het grootste deel van fabrikant Seagate afkomstig. De meeste disks waar Backblaze gebruik van maakt zijn echter ook van Seagate. Wordt er gekeken naar de "annualized failure rate" (AFR) dan kent Seagate nog altijd meer uitval dan Toshiba, HGST en Western Digital. Volgens de back-updienst kunnen er pas bij harde schijven die bij elkaar meer dan 250.000 dagen in gebruik zijn geweest conclusies over de uitval worden getrokken. Dan blijkt juist dat een 6TB-model van Seagate vorig jaar de minste uitval kende (AFR van 0,23 procent), gevolgd door vier modellen van HGST met een uitval van respectievelijk 0,27, 0,27, 0,29 en 0,31 procent. Seagate kent echter ook de hoogste uitval. Een 4TB-model spant de kroon met een percentage van 1,41, gevolgd door een 10TB-model met een AFR van 1,33 procent. De gemiddelde uitval voor alle schijfmodellen bedroeg vorig jaar 0,93 procent. In 2019 was dat nog 1,89 procent. De verbetering is te danken aan een "groepsinzet", aldus de back-updienst. Zo presteerden 4TB-, 6TB-, 8TB- en 10TB-schijven als groep veel beter dan een jaar eerder. En werden er 30.000 grotere schijven van 14TB, 16TB en 18TB toegevoegd die als groep een lagere uitval lieten zien. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Sudo geeft lokale gebruikers de mogelijkheid om rootrechten te krijgen. Het beveiligingslek is al sinds juli 2011 in Sudo aanwezig. Er zijn beveiligingsupdates verschenen om het probleem te verhelpen, zo meldt securitybedrijf Qualys dat het beveiligingslek ontdekte. Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. In het geval van CVE-2021-3156, of "Baron Samedit", zoals de kwetsbaarheid wordt aangeduid, kan elke lokale gebruiker zonder authenticatie rootrechten krijgen. Het gaat dan ook om gebruikers die niet in het bestand /etc/sudoers voorkomen, waarin staat welke gebruikers toegang tot het sudo-commando hebben. Het probleem wordt veroorzaakt doordat Sudo backslashes in command-line argumenten niet goed escapet wat een heap-based buffer overflow kan veroorzaken, zo leggen de Sudo-ontwikkelaars uit. Het beveiligingslek werd in juli 2011 in Sudo geïntroduceerd en raakt alle legacy versies van 1.8.2 tot en met 1.8.31p2 en alle stabiele versies van 1.9.0 tot en met 1.9.5p1 in de standaardconfiguratie. De ontwikkelaars van Sudo hebben versie 1.9.5p2 uitgebracht waarmee het probleem wordt verholpen. De onderzoekers van Qualys hebben exploits ontwikkeld die tegen Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2) werken, maar de onderzoekers merken op dat waarschijnlijk ook andere besturingssystemen en distributies kwetsbaar zijn. In deze video wordt de kwetsbaarheid gedemonstreerd. Gebruikers die willen testen of hun systeem kwetsbaar is moeten als non-root user inloggen en het commando "sudoedit -s /" uitvoeren, aldus Qualys. Als het systeem kwetsbaar is verschijnt er een foutmelding die begint met "sudoedit:". Is het systeem gepatcht dan verschijnt een foutmelding die begint met "usage:". bron: https://www.security.nl