Captain Kirk

Er is vandaag een nieuwe versie van Firefox verschenen die gebruikers tegen supercookies beschermt. Ook is de ondersteuning van Adobe Flash Player volledig uit de browser verwijderd en zijn er dertien kwetsbaarheden verholpen. Tevens is het in de wachtwoordmanager nu mogelijk om alle opgeslagen inloggegevens met één muisklik te verwijderen, terwijl voorheen slechts één login per keer kon worden verwijderd. De supercookies waar Mozilla het over heeft zijn volgens de browserontwikkelaar veel lastiger voor gebruikers om te blokkeren en verwijderen. Bij het verwijderen van de normale cookies blijven de supercookies gewoon in de browser achter. De afgelopen jaren hebben trackers verschillende manieren gevonden om hun supercookies in de browser op te slaan, zoals Flash storage, ETags en HSTS-flags. In Firefox 85 zijn nu verschillende aanpassingen doorgevoerd waardoor trackers de cache-gebaseerde supercookies niet meer op meerdere websites kunnen gebruiken om gebruikers te volgen. Een voorbeeld van supercookies waar Firefox mee te maken heeft zijn verborgen in de image cache. Daarin worden afbeeldingen van bezochte websites opgeslagen. Wanneer de gebruiker dezelfde website opnieuw bezoekt laadt Firefox de afbeelding uit de image cache. Sommige trackers maken hier misbruik van door een unieke identifier voor de gebruiker aan een gecachete afbeelding van een website toe te voegen. Vervolgens wordt die identifier op een andere website opgehaald door dezelfde afbeelding te embedden. Om dit te voorkomen gebruikt de nieuwste Firefoxversie voor elke bezochte website een aparte image cache. Wanneer een gebruiker de eerder bezochte website opnieuw bezoekt worden de gecachete afbeeldingen nog steeds geladen, maar wordt de cache niet onder meerdere websites gedeeld. Ook voor andere caches, zoals de HTTP cache, favicon cache, HSTS cache, OCSP cache, style sheet cache, font cache, DNS cache, HTTP Authentication cache, Alt-Svc cache en TLS certificate cache, maakt Firefox gebruik van partitionering. "Systematische netwerkpartitionering maakt het lastiger voor trackers om de anti-trackingfeatures van Firefox te omzeilen, maar we hebben nog veel meer werk te verrichten om onze verdediging te versterken", zegt Steven Englehardt van Mozilla. Verder is er nu officieel een einde aan de ondersteuning van Adobe Flash Player gekomen. Het is niet meer mogelijk om de browserplug-in in Firefox in te schakelen. Eerder namen ook Google Chrome en Microsoft Chromium Edge afscheid van Flash. Met de lancering van Firefox 85 zijn tevens dertien kwetsbaarheden in de browser verholpen. Geen van deze beveiligingslekken is als kritiek aangemerkt. In verschillende gevallen stelt Mozilla dat de kwetsbaarheden met voldoende moeite gebruikt zouden kunnen worden door een aanvaller om willekeurige code op het systeem uit te voeren. Updaten naar Firefox 85 kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

De Privacy Sandbox die Google in 2019 aankondigde kan third-party cookies in de toekomst vervangen, zo laat het techbedrijf vandaag weten. Er zou dan kunnen worden gekeken naar het browsegedrag van mensen om ze relevante informatie te tonen. Third-party cookies zijn volgens Google de voornaamste manier om internetgebruikers op het web te volgen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Als oplossing presenteerde Google de Privacy Sandbox. Die zou ervoor moeten zorgen dat websites geld aan gerichte advertenties kunnen blijven verdienen terwijl gelijkertijd de privacy van gebruikers wordt beschermd. Het wordt omschreven als een "veilige omgeving" die personalisatie mogelijk maakt. Informatie van gebruikers wordt anoniem samengevoegd en veel meer gebruikersgegevens blijven alleen op het toestel van de gebruiker. Met de lancering van Chrome 89 zal Google een zogeheten origin trial starten waarbij de Federated Learning of Cohorts API (FLoC) wordt getest. Bij FLoC worden "grote groepen" mensen met hetzelfde browsegedrag samengevoegd, waarna ze gerichte advertenties te zien krijgen. Het browsegedrag blijft daarbij op de computer van de gebruiker. Volgens Google kan het FLoC-algoritme net zo effectief zijn als third-party cookies bij het tonen van gerichte advertenties. Het "FLoC-cohort" is een korte naam die wordt gedeeld door een groep van duizenden mensen die hetzelfde browsegedrag vertonen. De browser gebruikt machine learning om een cohort te ontwikkelen, gebaseerd op de websites die een gebruiker bezoekt. Het kan dan gaan om de url's, de inhoud van die pagina's of andere factoren. Deze informatie blijft lokaal op het systeem. Het enige dat de browser prijsgeeft is het gegenereerde cohort. De browser zorgt ervoor dat de cohorten goed worden verspreid, zodat elk cohort duizenden mensen vertegenwoordigt. Het aantal cohorten zou klein moeten zijn, zodat ze geen gedetailleerde informatie kunnen bevatten. Daarbij wijst Google ook naar korte cohortnamen, zoals "43A7". FLoC zou voor minstens 95 procent voor dezelfde conversie zorgen als bij cookiegebaseerde advertenties. In totaal ontving Google meer dan dertig voorstellen voor het uitfaseren van third-party cookies. Vijf verschillende voorstellen voor een Privacy Sandbox zijn nu beschikbaar om te worden getest of zullen dat binnenkort zijn. Naast de test met FLoC-gebaseerde cohorten in Chrome 89 zal Google in het tweede kwartaal FLoC-gebaseerde cohorten met adverteerders in Google Ads gaan testen. "De Privacy Sandbox is de beste weg voorwaarts om de privacy van internetgebruikers te beschermen en tegelijkertijd ervoor te zorgen dat uitgevers hun content kunnen financieren en adverteerders de juiste personen kunnen bereiken", zegt Chetna Bindra van Google. bron: https://www.security.nl

De nieuwste versie van Microsoft Edge is voorzien van een wachtwoordgenerator en datalekmonitor. Ook ondersteunt de browser nu Secure DNS en biedt gebruikers meer opties voor cookiebeheer en toegang van websites tot de webcam, microfoon en locatie. Dat heeft Microsoft aangekondigd. Volgens het techbedrijf kiezen gebruikers vaak zwakke wachtwoorden en hergebruiken die op meerdere websites. Microsoft Edge 88 is daarom voorzien van een wachtwoordgenerator die voor gebruikers wachtwoorden genereert en in de browser opslaat. Een andere nieuwe optie in de browser is de "Password Monitor". Die kijkt of de door gebruikers opgeslagen wachtwoorden in de browser onderdeel van een bekend datalek zijn. In dit geval krijgen gebruikers een waarschuwing om hun wachtwoord te wijzigen. Hierbij krijgt Microsoft geen informatie over de gebruikersnaam en het wachtwoord van de gebruiker, zo stelt het techbedrijf in een blogpost. Om de wachtwoorden van gebruikers te kunnen vergelijken met gelekte wachtwoorden maakt de browser gebruik van "homomorphic encryption". Dit is een vorm van encryptie waarbij er berekeningen op versleutelde data worden uitgevoerd, zonder de data eerst te ontsleutelen. Het versleutelde resultaat van de berekening wordt naar de browser teruggestuurd, die het lokaal op het systeem van de gebruiker ontsleutelt. Naast nieuwe opties voor wachtwoorden biedt Edge 88 ook meer opties wat betreft cookiebeheer en de toegang tot camera, microfoon en locatie door websites. Nu is het per website mogelijk om in te stellen of die bijvoorbeeld de locatie van de gebruiker mogen weten en is dit vervolgens ook weer aan te passen. Verder is het nu mogelijk om alleen third-party cookies te verwijderen. Voorheen was het alles of niets en konden gebruikers alleen kiezen om al hun cookies weg te gooien. Als laatste is er ondersteuning voor Secure DNS toegevoegd. De feature zorgt ervoor dat dns-verzoeken via een https-verbinding plaatsvinden. Dit moet aanpassingen aan of inspectie van het dns-verzoek voorkomen. Edge zal DNS-over-HTTPS automatisch inschakelen als de dns-provider van de gebruiker dit ondersteunt. Gebruikers kunnen de optie indien gewenst ook uitschakelen. bron: https://www.security.nl

QNAP waarschuwt gebruikers vandaag voor de dovecat-malware die een cryptominer op kwetsbare NAS-systemen installeert. De aanwezigheid van de malware is te herkennen aan twee processen genaamd Dovecat en dedpma. Slachtoffers van de malware laten weten dat deze processen de processor van hun NAS honderd procent belast. Dit komt door een bitcoinminer die de malware installeert, aldus QNAP. De malware is ook op NAS-systemen van Synology aangetroffen, maar deze fabrikant heeft nog geen waarschuwing afgegeven. Hoe systemen besmet raken is onbekend. QNAP zegt aan een oplossing te werken die de dovecat-malware van systemen verwijdert. Gebruikers krijgen het advies om de laatste versie van de QTS-firmware te installeren, een firewall te gebruiken, een sterker beheerderswachtwoord te kiezen, SSH en Telnet uit te schakelen wanneer die niet worden gebruikt en standaard poorten 80, 443, 8080 en 8081 te vermijden. bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval waren zeer bedreven in operationele security en deden veel moeite om hun sporen te wissen en niet te worden opgemerkt. Dat stelt Microsoft in een nieuwe analyse van de technieken en tactieken die de aanvallers toepasten om onder de radar te blijven. De aanvallers wisten, voor zover nu bekend, in 2019 toegang te krijgen tot systemen van SolarWinds en voegden vervolgens een backdoor toe aan updates voor het Orion Platform van het softwarebedrijf. Via deze backdoor werd bij een select aantal slachtoffers aanvullende malware geïnstalleerd. De malware had als doel het laden van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren. Volgens Microsoft deden de aanvallers al het mogelijke om het laden van Cobalt Strike te scheiden van het SolarWinds-proces. Mocht de aangevallen organisatie de aanwezigheid van Cobalt Strike ontdekken, dan zou de backdoor in SolarWinds mogelijk onopgemerkt blijven. Het is niet de enige maatregel die de aanvallers namen om niet op te vallen. Zo werd voor elke besmette computer een aparte Cobalt Strike-dll gebruikt. Ook gebruikte mapnamen, bestandsnamen, exportfunctienamen, command & control-domeinen, http-requests, tijden, bestandsmetadata, configuraties en gestarte processen waren voor elke machine uniek. Zelfs de archiefbestanden die via 7-Zip werden gemaakt waren van een uniek wachtwoord voorzien, en ook voor de gegenereerde logbestanden gebruikten de aanvallers unieke namen. Volgens Microsoft doen aanvallers zelden zoveel moeite per besmette machine en moest het identificatie van alle besmette computers binnen een netwerk voorkomen. De tools en bestanden waar de aanvallers mee werkten werden altijd hernoemd en in mappen geplaatst die zich voordeden als bestanden en programma's die al op het systeem aanwezig waren. Veel van de activiteiten op de geïnfecteerde systemen waren handwerk aan de kant van de aanvallers. Voordat ze aan de slag gingen werd eerst het loggen van events uitgeschakeld en na afloop weer ingeschakeld. Op een soortgelijke manier werden er firewallregels gebruikt wanneer er verkeer plaatsvond dat zou kunnen opvallen. Deze regels werden na afloop van de activiteiten weer verwijderd. Het lateraal bewegen door de getroffen organisatie vond pas plaats nadat bepaalde beveiligingssoftware eerst was uitgeschakeld. Microsoft vermoedt dat de aanvallers ook timestaps van bestanden hebben aangepast en "professionle wisprocedures" toepasten om het achterhalen van gebruikte bestanden te bemoeilijken. Tijdlijn Voor zover nu bekend werd in februari vorig jaar voor het eerst een backdoor aan de updates van SolarWinds toegevoegd. Deze update werd in maart uitgerold. De backdoor werd pas twee weken na de installatie bij organisaties actief. Microsoft denkt dat de aanvallers een maand bezig waren om hun slachtoffers te selecteren en voor elke organisatie een aparte Cobalt Strike-dll te maken, alsmede de command en control-infrastructuur op te zetten. In juni besloten de aanvallers hun backdoor weer uit de code van SolarWinds te verwijderen. Dit geeft mogelijk aan dat de aanvallers voldoende interessante doelwitten hadden gevonden en hun doel veranderde van het verspreiden van de backdoor naar het actief zijn op de netwerken van geselecteerde organisaties, aldus Microsoft. bron: https://www.security.nl

In de populaire mediaspeler VLC zijn verschillende kwetsbaarheden aanwezig waardoor in het ergste geval remote code execution mogelijk is en een aanvaller volledige controle over systemen kan krijgen. Het openen van een speciaal geprepareerd mediabestand of stream is hiervoor voldoende. Het openen van een dergelijk bestand of stream kan voor verschillende read buffer overflows zorgen. Volgens VLC-ontwikkelaar VideoLAN zal de mediaspeler in de meeste gevallen crashen. Er kan echter niet worden uitgesloten dat het combineren van de kwetsbaarheden het mogelijk maakt om gebruikersinformatie te stelen of zelfs code met de rechten van de gebruiker uit te voeren. VideoLAN heeft een beveiligingsupdate uitgebracht en adviseert gebruikers om te updaten naar VLC 3.0.12. Wanneer dit niet mogelijk is wordt aangeraden om geen bestanden van onbetrouwbare bronnen te openen of onbetrouwbare websites te bezoeken totdat de patch is uitgerold. Om de aanvalsvector via websites te blokkeren kunnen ook de VLC-browserplug-ins worden uitgeschakeld. bron: https://www.security.nl

Tijdens de eerste patchronde van 2021 heeft Oracle in totaal 329 kwetsbaarheden in een groot aantal producten verholpen. Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren. Zo zijn er zes zeer ernstige kwetsbaarheden in Oracle WebLogic Server opgelost. In tegenstelling tot bijvoorbeeld Adobe en Microsoft die maandelijks patches uitbrengen doet Oracle dit eens per kwartaal. De meeste problemen zijn dit keer in de Oracle Fussion Middleware-applicaties gerepareerd. Het gaat onder andere om Oracle Data Integrator, Oracle WebLogic Server en BI Publisher. Zes van de beveiligingslekken in WebLogic Server zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. In het verleden zijn kwetsbaarheden in WebLogic Server met een dergelijke impact vrij kort na het verschijnen van de updates aangevallen. In de financiële applicaties van Oracle, zoals Banking Platform, Banking Extensibility Workbench en FLEXCUBE Universal Banking, behoren vijftig kwetsbaarheden tot het verleden. Hierna volgt Oracle MySQL, waar 43 kwetsbaarheden in werden verholpen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren en ondersteunde versies van de software te blijven gebruiken. De volgende patchronde staat gepland voor 20 april 2021. bron: https://www.security.nl

Verschillende kwetsbaarheden in chatapps Signal, Facebook Messenger, Google Duo, JioChat en Mocha maakten het mogelijk om gebruikers te bespioneren. De beveiligingslekken, die vorig jaar al werden verholpen, zijn gevonden door onderzoeker Natalie Silvanovich van Google Project Zero. Ze heeft nu een uitgebreide analyse van de gevonden problemen openbaar gemaakt. De kwetsbaarheden in de "signalling state" van de chatapps, het proces dat komt kijken bij het opzetten van een gesprek, maakten het mogelijk voor een aanvaller om de microfoon en camera van het slachtoffer in te schakelen, zonder dat die hiervoor iets hoefde te doen. Zo kon de omgeving van het slachtoffer worden afgeluisterd of gefilmd. "In theorie zou het vrij eenvoudig moeten zijn dat er pas audio of video wordt doorgegeven wanneer de gebelde persoon opneemt", laat Silvanovich weten. "Wanneer ik echter naar echte applicaties keek bleken ze de transmissie op allerlei verschillende manieren mogelijk te maken. Veel van deze manieren zorgden voor kwetsbaarheden waardoor gesprekken konden worden opgezet zonder interactie van de gebelde persoon." In het geval van Signal gebruikte Silvanovich hiervoor een aangepaste Androidversie van de Signal-app. Daarmee was het mogelijk om een audioverbinding met het slachtoffer op te zetten, zonder dat die het inkomende gesprek hoefde te accepteren. De iOS-versie beschikte over een zelfde probleem, maar daar lukte het door een fout in de gebruikersinterface niet om de aanval uit te voeren. De kwetsbaarheid werd in september 2019 door Signal verholpen. In Facebook Messenger vond Silvanovich vorig jaar oktober een kwetsbaarheid die een soortgelijke aanval mogelijk maakte. Wederom kon er een audioverbinding worden opgezet zonder dat het slachtoffer moest opnemen. Facebook verhielp het probleem in november. Een aanvaller kon bij gebruikers van Google Duo een videostream inschakelen en zo ongemerkt meekijken, ontdekte de onderzoeker in september. Hierbij werd echter geen audio doorgegeven. Google kwam in december met een oplossing. Naast de bovengenoemde chatapplicaties keek Silvanovich ook naar Viber en Telegram, maar ontdekte daar geen problemen. Ze vraagt zich af waarom dergelijke kwetsbaarheden zo vaak bij chatapps voorkomen. Ze vermoedt dat de oorzaak ligt een gebrek aan bewustzijn over dit soort beveiligingslekken en de complexiteit die komt kijken bij het opzetten van gesprekken tussen gebruikers van chatapps. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin de support voor Adobe Flash Player volledig is verwijderd. Daarnaast is er een kritieke kwetsbaarheid in de browser verholpen die remote code execution mogelijk maakte. Op 31 december vorig jaar stopte Adobe al de ondersteuning van Flash Player. Sinds 12 januari blokkeert de browserplug-in het afspelen van Flash-content. Browserontwikkelaars volgen nu door de support voor de verouderde technologie volledig uit hun browsers te verwijderen. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. Daarnaast werd het geplaagd door een lange geschiedenis van beveiligingsproblemen. Naast het verwijderen van de ondersteuning voor Adobe Flash Player zijn er ook 36 kwetsbaarheden verholpen. Eén van deze beveiligingslekken is als kritiek aangemerkt en maakt het mogelijk voor een aanvaller om volledige controle over het onderliggende systeem te krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Veel details over de kwetsbaarheid (CVE-2021-21117) zijn niet gegeven, behalve dat die in een onderdeel aanwezig is genaamd Cryptohome. Het beveiligingslek werd ontdekt door onderzoeker Rory McNamara die Google op 10 oktober over het probleem informeerde. Voor zijn bugmelding ontving de onderzoeker 30.000 dollar. Naast de bovengenoemde kritieke kwetsbaarheid zijn in de nieuwe Chrome-versie 35 andere beveiligingslekken met een lagere impact verholpen. Het gaat onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Op de meeste systemen zal Chrome automatisch naar versie 88.0.4324.96 updaten. bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren. Dat liet Microsoft op 15 december aan Malwarebytes weten. Op dezelfde dag werd ook securitybedrijf CrowdStrike door Microsoft geïnformeerd dat het door de SolarWinds-aanvallers was aangevallen. Het onderzoek dat Malwarebytes na de melding uitvoerde liet zien dat de aanvallers een "e-mailbeveiligingsproduct" binnen de Office 365-omgeving hadden gebruikt waarmee er toegang tot een beperkte hoeveelheid interne bedrijfsmails werd verkregen. Om welk beveiligingsproduct het gaat is niet bekendgemaakt. Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen. Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen. "Voor veel organisaties is het beveiligen van Azure-omgevingen een uitdagende taak, zeker wanneer er met third-party applicaties of resellers wordt gewerkt", zegt Marcin Kleczynski van Malwarebytes. De interne en productiesystemen van het securitybedrijf zijn niet gecompromitteerd. bron: https://www.security.nl

Bij het onderzoek naar de wereldwijde SolarWinds-aanval is nieuwe malware ontdekt, zo meldt securitybedrijf Symantec in een analyse. De malware wordt Raindrop genoemd en werd geïnstalleerd nadat aanvallers al toegang tot de systemen van slachtoffers hadden gekregen. Het uiteindelijke doel van Raindrop is de installatie van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren. Raindrop is het vierde malware-exemplaar dat met de supply-chain-aanval in verband wordt gebracht. Aanvallers wisten in 2019 toegang tot de systemen van SolarWinds te krijgen. Begin 2020 werden updates voor het Orion Platform van SolarWinds voorzien van een backdoor genaamd Sunburst. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop. De Teardrop-malware werd gebruikt voor het laden van Cobalt Strike. Nu maakt Symantec melding van Raindrop. Een groot verschil met Teardrop is dat Raindrop niet werd geïnstalleerd via de Sunburst-backdoor. In plaats daarvan werd de malware gebruikt in netwerken waar al tenminste één machine was geïnfecteerd. Symantec is bekend met een getroffen organisatie waar twee machines via de Orion-updates besmet raakten. Elf dagen later werd op een derde computer, waar nog niet eerder verdachte activiteiten op waren waargenomen, een exemplaar van de Raindrop-malware aangetroffen. Een ander verschil tussen Raindrop en Teardrop is dat de eerstgenoemde is gecompileerd als een dll-bestand, dat als basis een aangepaste versie van het archiveringsprogramma 7-Zip gebruikt. De broncode van 7-Zip wordt niet gebruikt en is alleen bedoeld om de kwaadaardige functionaliteit die aanvallers hebben toegevoegd te verbergen. Volgens Symantec is de ontdekking van Raindrop een belangrijk stap in het onderzoek naar de SolarWinds-aanval, aangezien het meer inzicht geeft in wat de aanvallers deden nadat ze de eerste machine van een organisatie hadden besmet. "Terwijl Teardrop werd gebruikt op computers die door de Sunburst-backdoor waren besmet, verscheen Raindrop op andere plekken in het netwerk en werd door de aanvallers gebruikt om zich lateraal te bewegen en andere computers aan te vallen", aldus Symantec. Naast Sunburst, Teardrop en Raindrop werd vorige week nog de Sunspot-malware ontdekt. Deze malware werd gebruikt bij de aanval op SolarWinds zelf en had als doel het toevoegen van de Sunburst-backdoor aan de Orion-updates. bron: https://www.security.nl

Bij een aanval op Nitro Software die vorig jaar plaatsvond zijn de gegevens van 77 miljoen gebruikers gestolen. Het softwarebedrijf is onder andere de ontwikkelaar van Nitro PDF Reader, een alternatief voor Adobe Acrobat. Ook biedt het bedrijf software voor het signeren van pdf-documenten aan. De aanval vond afgelopen september plaats en werd in oktober door Nitro Software aan de Australian Securities Exchange (ASX) gerapporteerd. Details over het aantal getroffen gebruikers werden echter niet gegeven. Vandaag meldt beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned dat het om meer dan 77 miljoen accounts gaat. De gestolen accountdata bestaat onder andere uit e-mailadressen, namen en met bcrypt gehashte wachtwoorden. In totaal bevat de dataset meer dan zeventig miljoen e-mailadressen die nu aan Have I Been Pwned zijn toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 59 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Organisaties die van Transport Layer Security (TLS) gebruikmaken moeten hun leverancier vragen om TLS 1.3 te gaan ondersteunen, om zo beter op de toekomst te zijn voorbereid, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid vandaag. TLS is het meestgebruikte protocol voor beveiligde verbindingen op internet. Het gaat dan bijvoorbeeld om het beveiligen van web en e-mailverkeer. In het verleden publiceerde het NCSC al ict-beveiligingsrichtlijnen voor het gebruik van TLS. Vandaag is er een update voor deze richtlijnen uitgekomen. Daarin wordt geadviseerd om bij het inkopen, opstellen en beoordelen van configuraties voor TLS rekening te houden met TLS 1.3. Dit is de nieuwste versie van het protocol. "TLS 1.3 is inmiddels goed beschikbaar in recente versies van softwarebibliotheken", aldus het NCSC. Op basis van nieuwe inzichten heeft het besloten om TLS 1.2 in veiligheidsniveau af te schalen van Goed naar Voldoende. TLS 1.3 houdt de beoordeling Goed. TLS 1.2 is volgens de overheidsinstantie nog steeds veilig, maar minder toekomstvast dan TLS 1.3. "TLS 1.2 is minder robuust dan TLS 1.3 tegen toekomstige doorontwikkeling van aanvalstechnieken", stelt het NCSC. Zo zijn verschillende zwakkere elementen van TLS 1.2 niet in TLS 1.3 opgenomen. Daarnaast bevat TLS 1.3 minder kwetsbare configuratie-opties dan TLS 1.2, waardoor TLS 1.3 eenvoudiger veilig te configureren is. Verschillende categorieën aanvallen die tegen TLS 1.2 en eerdere versies werken zijn zodoende niet meer van toepassing op TLS 1.3. Daarom wordt organisaties aangeraden om hun leverancier te vragen TLS 1.3 te gaan ondersteunen. bron: https://www.security.nl

Criminelen zijn erin geslaagd het forum van softwarebedrijf IObit te compromitteren en hebben vervolgens een geraffineerde ransomware-aanval op gebruikers uitgevoerd. Forumgebruikers ontvingen een e-mail die van IObit afkomstig leek en een gratis jaarlicentie leek aan te bieden. De link in de e-mail wees naar een pagina gehost op het officiële IObit-forum en bevatte een zip-bestand genaamd "free-iobit-license-promo.zip" dat daar ook werd gehost. Zodra gebruikers het bestand openen verschijnt er een melding van de "IObit License Manager" waarin de gebruiker wordt opgeroepen zijn computer niet uit te schakelen. In werkelijkheid gaat het om de DeroHE-ransomware die bestanden op het systeem versleutelt. De melding is slechts bedoeld om de ransomware meer tijd gegeven de bestanden te versleutelen, meldt Bleeping Computer. Voor het ontsleutelen van bestanden moeten slachtoffers honderd dollar in de cryptovaluta Dero betalen betalen. Eén forumgebruiker laat via Twitter weten hoe de ransomware 121.000 bestanden op zijn systeem versleutelde. "Meestal ben ik best tech savvy en weet om geen vreemde software te draaien, maar alles zag er legitiem uit (e-mail, adres, artwork, url) dus downloadde ik de "freebie" patch die mijn IObit-software zou registreren", aldus de getroffen gebruiker. IObit heeft nog niet op de aanval gereageerd. Wel is het forum voor onderhoudswerkzaamheden offline gehaald. bron: https://www.security.nl

Bij een aanval die afgelopen zaterdag plaatsvond op het OpenWRT-forum zijn de gegevens van 27.000 gebruikers gestolen. De aanvaller wist door middel van een gecompromitteerd beheerdersaccounts een kopie van de gebruikerslijst te downloaden. Deze lijst bevat e-mailadressen, aliassen en andere statistische informatie. De forumbeheerders denken dat de aanvaller de database niet heeft buitgemaakt. Uit voorzorg is besloten om de wachtwoorden van alle forumgebruikers te resetten en alle API-keys te flushen. Volgens de forumbeheerders moeten gebruikers ervan uitgaan dat hun e-mailadres en alias is buitgemaakt en dat er een risico bestaat dat ze phishingmails zullen ontvangen. Volgens cijfers van OpenWRT telt het forum 27.000 gebruikers. Hoe de aanvaller toegang tot het beheerdersaccount kreeg is onbekend. Het account had volgens de beheerders een goed wachtwoord, maar gebruikte geen tweefactorauthenticatie. Inloggegevens voor de OpenWRT-wiki, waar allerlei downloadlinks en andere informatie zijn te vinden, zijn voor zover bekend niet gecompromitteerd. Zodra er meer bekend wordt over de aanval of gestolen informatie zal OpenWRT met een update komen. OpenWRT staat voor open wireless router en is een opensourcebesturingssysteem voor routers. bron: https://www.security.nl

Facebook is een juridische procedure gestart tegen de ontwikkelaars van verschillende Google Chrome-extensies die data van Facebookgebruikers schraapten. Het gaat volgens de sociale netwerksite om extensies van het bedrijf Oink and Stuff. In het privacybeleid van de browser-extensies claimde het bedrijf dat er geen persoonlijke informatie werd verzameld. Vier van de extensies van het bedrijf, Web for Instagram plus DM, Blue Messenger, Emoji keyboard en Green Messenger, functioneerden volgens Facebook als spyware en schraapten informatie van hun Facebookprofiel. Het ging om naam, gebruikers-ID, geslacht, relatiestatus, leeftijdsgroep en andere accountgegevens. Ook verzamelden de extensies informatie van andere websites, zonder dat gebruikers hier van wisten. Facebook is nu in Portugal een zaak tegen de ontwikkelaars gestart en eist dat die alle verzamelde Facebookgegevens verwijderen. De extensies in kwestie zijn inmiddels door Google uit de Chrome Store verwijderd. bron: https://www.security.nl

Gebruikers van de Ledger-cryptowallet zijn bedreigd en slachtoffer van een nieuw datalek geworden. Het gaat om gegevens die werden gestolen door medewerkers van webwinkelplatform Shopify. Dit nieuwe datalek staat los van een datalek dat vorig jaar juli door Ledger werd gemeld. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Op 23 december werd het bedrijf door Shopify ingelicht dat medewerkers van het supportteam transactiegegevens van webwinkels hadden gestolen, waaronder die van Ledger. De diefstal vond vorig jaar april en juni plaats. Afgelopen september meldde Shopify al dat de eigen supportmedewerkers data bij zo'n tweehonderd webwinkels hadden gestolen. Ledger werd echter niet geïnformeerd dat het één van de slachtoffers was. Dat gebeurde pas op 23 december. Uit het onderzoek dat volgde blijkt dat de gegevens van 292.000 klanten zijn buitgemaakt. Vorig jaar juli maakte Ledger bekend dat het slachtoffer van een ander datalek was geworden. Bij deze aanval waren de gegevens van 272.000 klanten gestolen. Het gaat om namen, adresgegevens, telefoonnummer, e-mailadres en gekochte producten. De bij Shopify gestolen is voor 93 procent gelijk aan de eerder gestolen data, maar raakt dus zo'n 20.000 nieuwe klanten. Slachtoffers van het datalek bij Shopify zijn inmiddels via e-mail ingelicht. De gegevens van 272.000 klanten die bij het eerste datalek werden gestolen verschenen afgelopen december online. Criminelen maken nu gebruik van deze data om Ledger-gebruikers af te persen, zo blijkt uit berichten op Reddit en Twitter. De afpersers versturen e-mails met daarin de gestolen persoonlijke informatie en dreigen die aan andere criminelen bekend te maken tenzij er losgeld wordt betaald. Het gaat om een bedrag van 0,3 bitcoin, wat op het moment 9400 euro is. bron: https://www.security.nl

Meer dan de helft van de ruim 6800 servers in het Tor-netwerk ondersteunt inmiddels IPv6, zo heeft het Tor Project bekendgemaakt. Van de Tor-servers die IPv6 ondersteunen kondigen er bijna 1600 een IPv6-adres aan en zijn bijna 1600 servers via IPv6 door de directory authorities bereikbaar. Verder staan ruim 600 servers exit-verkeer naar IPv6-wesites toe. Ondanks de IPv6-ondersteuning gaat het meeste verkeer op het Tor-netwerk via IPv4. Het Tor Project heeft het afgelopen jaar de support van IPv6 in de Tor-software verder uitgebreid en zal dit jaar ook nieuwe IPv6-features toevoegen. Eerder liet de Stichting Internet Domeinregistratie Nederland (SIDN) nog weten dat de coronamaatregelen tot een versnelde adoptie van IPv6 leiden. Van de meer dan zes miljoen .nl-domeinnamen is 34,3 procent bereikbaar via IPv6. Vorig jaar maart maakte staatssecretaris Keijzer van Economische Zaken bekend dat alle overheidssites en e-mailvoorzieningen eind dit jaar bereikbaar moeten zijn via IPv6. Eind 2019 deelde RIPE NCC, de Regional Internet Registry (RIR) voor groot Europa en West-Azië, de allerlaatste IPv4-adressen uit. Hoewel het einde van de beschikbaarheid van IPv4 al jaren bekend is en allerlei organisaties oproepen om naar IPv6 over te stappen, is er nog altijd een levendige handel in IPv4-adresblokken gaande. bron: https://www.security.nl

Er is nauwelijks nog iets over van het oorspronkelijke open internet, zo stelt Mozilla. De Firefoxontwikkelaar heeft echter een plan onthuld om naar de oorspronkelijke waarden terug te keren en zo weer een open en gezond internet te krijgen. "Het huidige internet is niet het internet dat we willen. Een toename van schadelijke content, surveillancekapitalisme, beveiligingsrisico's en andere problemen hebben ons collectief gevoel van optimisme dat het web een goede ontwikkeling is aan het wankelen gebracht", aldus Mozilla-ceo Mitchell Baker in een nieuw paper genaamd "Reimagine Open: Building Better Internet Experiences". Om deze problematiek op te lossen doet Mozilla verschillende aanbevelingen, zoals het ontwikkelen en gebruiken van open standaarden en open software. Daarnaast moet er vanuit overheden meer regelgeving komen om openheid te bevorderen en ziet Mozilla ook een rol voor internetgebruikers weggelegd. Die zouden namelijk voor producten moeten kiezen die hen en een open internet beschermen. "We moeten een cultuur creëren waarbij consumenten kiezen voor producten die hun problemen oplossen, privacy beschermen of ze tegen schadelijke content beschermen, en een markt die een verscheidenheid aan producten aanmoedigt om aan deze behoeftes te voldoen en succesvol is", stelt Baker. Ook vindt ze dat gebruikers transparantie van algoritmes moeten eisen om voor een betere marktwerking te zorgen. De Mozilla-directeur ziet een voorbeeld in de "shop local" en andere consumentenbewegingen die een vuist tegen grote gecentraliseerde conglomeraten maken. Een dergelijke aanpak waarbij mensen bewust kiezen voor oplossingen en producten kan ook online voor een gezonder software-ecosysteem zorgen. Met het nu gepubliceerde paper hoopt Mozilla een maatschappelijke discussie te starten over de toekomst van het internet. bron: https://www.security.nl

Cisco waarschuwt organisaties voor 61 kwetsbaarheden in verschillende mkb-routers die het nooit meer zal patchen, aangezien de apparaten end-of-life zijn. Het gaat om de Cisco Small Business Routers RV110W, RV130, RV130W en RV215W. Door de kwetsbaarheden kan een geauthenticeerde aanvaller willekeurige code op de routers uitvoeren of een denial of service veroorzaken. Voor het uitvoeren van de aanvallen moet een aanvaller wel over beheerdersrechten beschikken. Vervolgens is het mogelijk door middel van het versturen van een speciaal geprepareerd http-request om code met rootrechten uit te voeren of een herstart van het apparaat te veroorzaken, wat tot een denial of service kan leiden. Een oplossing voor de 61 beveiligingslekken is niet beschikbaar. De apparaten worden sinds vorige maand namelijk niet meer door Cisco ondersteund. Klanten wordt aangeraden om te upgraden naar de Cisco RV132W-, RV160- of RV160W-routers. Voor zover bekend zijn er nog geen exploits die misbruik van de kwetsbaarheden maken. bron: https://www.security.nl

Microsoft heeft tijdens de patchronde van januari maatregelen aan Windows 10 doorgevoerd die computers die Windows Server Update Services (WSUS) gebruiken tegen man-in-the-middle (mitm)-aanvallen moeten beschermen. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. Om te voorkomen dat computers bij het zoeken naar updates via WSUS doelwit van een mitm-aanval worden heeft Microsoft een aantal maatregelen doorgevoerd. In het geval organisaties van een proxy gebruikmaken zal de computer bij het zoeken naar de updates niet meer eerst de door de gebruiker ingestelde proxy gebruiken, maar een systeemproxy. Het terugvallen op een "user proxy" wanneer de systeemproxy niet wordt gevonden moet voortaan specifiek zijn ingeschakeld. Daarnaast wordt certificaatpinning nu ondersteund. Organisaties kunnen een certificaat aan hun WSUS-certificaatstore toevoegen die voor de verbinding wordt gebruikt. Computers zullen dan bij het zoeken naar de WSUS-server alleen een verbinding via het eerder toegevoegde certificaat toestaan. In het geval certificaatpinning is ingesteld kunnen organisaties er nu ook voor kiezen dat computers geen WSUS-scans meer uitvoeren als de controle van het certificaat mislukt, zelfs niet wanneer er een systeemproxy is. bron: https://www.security.nl

Google heeft details openbaar gemaakt over een uitgebreide aanval tegen Chrome-gebruikers die vorig jaar plaatsvond. De aanvallers hadden het voorzien op Chrome-gebruikers op Android en Windows en combineerden zerodaylekken en kwetsbaarheden waarvoor nog maar kort beveiligingsupdates waren verschenen. De gebruikte beveiligingslekken zijn inmiddels allemaal gepatcht. De aanvallen vonden plaats via zogeheten 'watering holes'. Het gaat hier om websites die de beoogde doelwitten van de aanvallers uit zichzelf bezoeken. Vervolgens werden er exploits aan de websites toegevoegd die misbruik van de kwetsbaarheden in Chrome maakten. De aanvallers kozen hun slachtoffers doelbewust uit. Zo gebruikten ze een exploit in de renderer van Chrome om allerlei informatie te verzamelen en zo een gedetailleerde fingerprint van gebruikers te maken. Vervolgens werd besloten om de gebruiker wel of niet verder aan te vallen en door middel van een andere kwetsbaarheid uit de sandbox van Google Chrome te breken. Google stelt in een serie van uitgebreide blogpostings over de aanval dat de aanvallers gebruikmaakten van zerodaylekken in Chrome en Windows. In het geval van Android ging het om beveiligingslekken waarvoor recentelijk beveiligingsupdates waren verschenen. Google vermoedt dat de aanvallers achter de aanval zeer waarschijnlijk ook over zerodaylekken in Android beschikten, maar dat die niet zijn ontdekt. De manier waarop de exploits werkten laten volgens Google zien dat het om een zeer geraffineerde groep aanvallers ging. "We denken dat een team van experts deze exploitketens heeft ontworpen en ontwikkeld", aldus het techbedrijf. Google wil naar eigen zeggen met de publicatie over de aanval de kenniskloof tussen aanvallers en wat publiek over hun werkwijze bekend is verkleinen. bron: https://www.security.nl

Microsoft heeft een zerodaylek in Windows Defender gepatcht dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was. Aanvallers konden door de kwetsbaarheid zonder interactie van gebruikers code op systemen uitvoeren. Defender is de gratis antivirussoftware die in Windows zit ingebouwd. Gebruikers van Windows 7 tot en met de laatste versies van Windows 10 en Windows Severs liepen dan ook risico. Details over de waargenomen aanvallen zijn niet door Microsoft gegeven. Securitybedrijf ZDI stelt dat ontdekking van het beveiligingslek mogelijk verband houdt met het nieuws dat Microsofts netwerk via de SolarWinds-software was gecompromitteerd. Hierbij hebben aanvallers broncode van het techbedrijf ingezien. Installatie van de beveiligingsupdate voor CVE-2021-1647, zoals de kwetsbaarheid in Defender wordt aangeduid, vindt automatisch plaats. Voorwaarde is wel dat het systeem met internet verbonden is. Anders is het handmatig installeren van de update vereist. Gebruikers die willen weten of ze up-to-date zijn moeten controleren dat het versienummer van de Microsoft Malware Protection Engine gelijk is aan 1.1.17700.4 of nieuwer. Windows Defender heet tegenwoordig Microsoft Defender, hoewel Microsoft in het beveiligingsbulletin nog steeds de oude naam gebruikt. Tijdens de eerste patchdinsdag van 2021 verhielp Microsoft in totaal 83 kwetsbaarheden. Het gaat ook om een kwetsbaarheid waarvan de details al voor het uitkomen van de update door Google openbaar zijn gemaakt. Volgens Microsoft zijn er echter geen gevallen bekend waarbij er misbruik van het beveiligingslek is gemaakt. Via deze kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Een kwetsbaarheid die volgens securitybedrijf ZDI ook de aandacht verdient is CVE-2021-1674. Het gaat om een beveiligingslek in de kern van het Windows remote desktop protocol (RDP) waardoor een beveiligingsfeature ervan kan worden omzeild. Er is geen interactie van gebruikers vereist en op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met een 8,8 beoordeeld. Verdere details, zoals hoe er misbruik van kan worden gemaakt en wat daarvan de gevolgen zijn, zijn niet door Microsoft gegeven. Naast verschillende beveiligingslekken in Windows zijn er tevens kwetsbaarheden verholpen in Microsoft Edge, Microsoft Office, de Windows Codecs Library, Visual Studio, SQL Server, .NET Core, .NET Repository, ASP .NET en Azure. Op de meeste Windowssystemen zullen de updates automatisch worden geïnstalleerd. bron: https://www.security.nl

Een certificaat van e-mailbeveiligingsbedrijf Mimecast is door aanvallers gebruikt voor het aanvallen van Microsoft 365-accounts bij klanten, zo heeft het bedrijf vandaag bekendgemaakt. Mimecast biedt verschillende diensten voor het synchroniseren, monitoren en beveiligen van e-mailaccounts. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen. Zo'n tien procent van de Mimecast-klanten maakt gebruik van een certificaat-gebaseerde verbinding. De getroffen klanten waarbij er aanvallen plaatsvonden, het zouden er minder dan tien zijn, zijn inmiddels ingelicht. De resterende klanten wordt uit voorzorg aangeraden om de certificaat-gebaseerde verbinding binnen hun Microsoft 365-omgeving meteen te verwijderen en een nieuwe verbinding door middel van een nieuw uitgegeven Mimecast-certificaat op te zetten. Dit heeft volgens het securitybedrijf geen impact op het inkomende of uitgaande e-mailverkeer of het scannen hiervan. Hoe de aanvallers het certificaat konden compromitteren, om welk certificaat het gaat, hoeveel klanten er precies zijn getroffen, in welke sectoren die zich bevinden en hoe de aanvallen zijn uitgevoerd laat Mimecast niet weten. bron: https://www.security.nl

Internetgebruikers die Adobe Flash Player nog op hun systeem hebben staan kunnen vanaf vandaag geen Flash-content meer afspelen. De browserplug-in zal dit vanwege veiligheidsredenen blokkeren. Adobe stopte op 31 december vorig jaar de ondersteuning van Flash Player. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe in 2017 aan dat het de ondersteuning van de browserplug-in in 2020 zou stoppen. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. In aanloop naar het einde van de ondersteuning kregen gebruikers allerlei meldingen te zien om Flash Player van hun systeem te verwijderen. Daarnaast stopt de browserplug-in vanaf vandaag met het afspelen van Flash-content. Deze maand zullen ook Google en Mozilla de support van Flash binnen hun browsers volledig verwijderen. Zo stopt Mozilla op 26 januari de ondersteuning van Adobe Flash Player in Firefox. Een week eerder op 19 januari doet Google dit al in Chrome. In het geval van Edge Legacy en Internet Explorer 11 stopt Microsoft de support volgend jaar zomer. Op dit moment heeft 28 procent van de Firefoxgebruikers Adobe Flash Player nog op het systeem geïnstalleerd staan. Firefox telde op 4 januari van dit jaar 210 miljoen actieve gebruikers. Dat komt neer op 58,8 miljoen systemen met een installatie van Flash Player. bron: https://www.security.nl