Captain Kirk

Excuus voor de late reactie. Mijn baan laat het niet altijd toe om geregeld hier te zijn. Een laptop schoon maken gaat wat lastiger dan een desktop. Voordat je dit gaat proberen, hoor je de fan van de laptop hard draaien voordat alles vast loopt? Zo ja, dan kan de warmte de oorzaak zijn. Zo niet is er of een probleem met de drivers of met je werkgeheugen. Loopt de laptop bij dezelfde prog's ook vast wanneer je de muis niet aangesloten hebt?

Dit klinkt als een warme- of geheugenprobleem. Mocht het een desktop zijn, kijk dan eens of alle fan's nog we schoon genoeg zijn. Stof in de pc kan ervoor zorgen dat de pc niet meer goed werkt. Hier kun je lezen hoe je je pc van binnen schoon kunt maken. koppel alle stekkers van de pc af haal de kast van de pc af maak even voor een tiental tellen met je hand contact met de aarde door even bijvoorbeeld de radiator van de CV beet te paken. Hierdoor raak je statisch ontladen (anders kunnen delen van de pc kapot gaan) blaas een busje perslucht (te verkrijgen bij bijvoorbeeld Action, fotozaken of electronica specialisten) de pc goed schoon. Pas wel op dat je geen onderdelen aanraakt. Zorg dat je ook de voeding goed schoon blaast. Je hoeft hiervoor de voeding niet te demonteren, alleen even doorblazen is genoeg! zorg dat de koeling van de processor goed schoongeblazen wordt maar kom niet aan de processor of de koeling! plaats de behuizing van de kast weer terug en sluit de pc weer aan. Loopt de muis ook vast wanneer je maar 1 programma open hebt staan?

Mozilla heeft de ontwikkeling van de op privacy gerichte browser Firefox Focus een nieuwe boost gegeven. Firefox Focus blokkeert automatisch een groot aantal trackers en laat gebruikers eenvoudig hun geschiedenis, wachtwoorden en cookies verwijderen. De eerste versie van de browser verscheen in 2016, maar de afgelopen jaren stond de ontwikkeling van Firefox Focus nagenoeg stil. De laatste grote feature-update, Firefox Focus 8.0, dateert van december 2018. Sindsdien zijn er sporadisch updates voor de browser verschenen. De ontwikkeling werd mede teruggeschaald vanwege de ontwikkeling van de nieuwe Firefox voor Android. De afgelopen weken heeft de ontwikkeling van de browser een nieuwe boost gekregen en zijn er allerlei aanpassingen aan de code doorgevoerd. Die bevatten geen nieuwe functionaliteit, maar moeten ervoor zorgen dat Firefox Focus klaar is voor de toekomst, zegt Mozilla-volger en webontwikkelaar Sören Hentzschel. Het is nog onduidelijk wanneer de eerste versie van Firefox Focus met nieuwe features zal verschijnen. Mozilla heeft nog geen roadmap met concrete plannen voor de browser gepubliceerd. Aan de hand van de Issue Tracker op GitHub blijkt echter dat het onder andere gaat om het toevoegen van privacyfeatures die al in de standaardversie van Firefox aanwezig zijn. Firefox Focus werd gisteren nog in een artikel van The New York Times genoemd. Tijdens een test met verschillende browsers blijkt Firefox Focus de meeste trackers te blokkeren. De browser kan er echter voor zorgen dat bepaalde websites, of onderdelen van sites, niet goed of helemaal niet meer werken. Gebruikers kunnen er echter voor kiezen om trackers en cookies toe te staan. bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst van verschillende nieuwe beveiligingsfeatures voorzien, die onder andere gebruikers van openbare wifi-netwerken moeten beschermen. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten uitgerold. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Mozillas vpn is zelf door Mozilla ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. De dienst is nu van twee nieuwe beveiligingsfeatures voorzien, gericht op gebruikers van zowel openbare als eigen netwerken. Voor gebruikers die de vpn-dienst zelf inschakelen zal er voortaan een waarschuwing verschijnen als ze verbinding met een openbaar wifi-netwerk maken of een wifi-netwerk dat een zwakke encryptie gebruikt. Via de waarschuwing kan vervolgens de vpn-dienst worden ingeschakeld. De tweede feature, Local Area Network Access, zorgt ervoor dat apparaten op het lokale netwerk met elkaar kunnen blijven communiceren zonder dat de vpn moet worden uitgeschakeld. Mozilla VPN, dat vijf dollar per maand kost, is beschikbaar voor Android versie 6 en nieuwer, iOS 13.0 en nieuwer, macOS 10.15 en nieuwer, Ubuntu en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. De komende maanden zal de dienst in meer landen beschikbaar komen, waaronder in Duitsland en Frankrijk. bron: https://www.security.nl

Netwerkfabrikant Ubiquiti heeft de werkelijke impact van een datalek waar het in januari klanten voor waarschuwde verzwegen en bepaalde details verzonnen, om zo de gevolgen voor de aandelenkoers te beperken. Dat laat een anonieme klokkenluider tegenover it-journalist Brian Krebs weten. Ubiquiti wilde niet tegenover Krebs reageren en klanten eisen nu opheldering. Ubiquiti waarschuwde klanten op 11 januari voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf hadden gekregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. Althans, dat was de uitleg van Ubiquiti. De klokkenluider, die het getroffen netwerkbedrijf bijstond, stelt dat Ubiquiti het verhaal opzettelijk heeft verzonnen om te doen alsof de third-party cloudprovider risico liep en Ubiquiti slechts een slachtoffer daarvan was geworden. In werkelijkheid was het netwerkbedrijf zelf een direct doelwit van de aanval en was de impact daarvan vele malen groter dan in de waarschuwing aan klanten werd voorgesteld. De aanvallers wisten volgens de klokkenluider toegang tot inloggegevens te krijgen die in het LastPass-account van een Ubiquiti-medewerker waren opgeslagen. Daarmee konden ze op alle Amazon Web Services-accounts van het netwerkbedrijf als root administrator inloggen. Het ging onder andere om alle S3-buckets die voor de opslag van data worden gebruikt, alle applicatielogs, alle databases, alle inloggegevens van gebruikersdatabases en secrets vereist voor het creëren van single sign-on (SSO) cookies. Tevens hadden de aanvallers toegang tot de broncode van Ubiquiti Met dergelijke toegang hadden de aanvallers op afstand kunnen inloggen op tal van cloud-gebaseerde netwerkapparaten van Ubiquiti. Het bedrijf claimt dat het meer dan 85 miljoen netwerkapparaten heeft geleverd die een belangrijk onderdeel vormen van netwerken wereldwijd. Ubiquiti ontdekte eind december dat iemand met beheerderstoegang verschillende onbekende Linux virtual machines had aangemaakt. Vervolgens werd er een backdoor ontdekt die de aanvallers hadden achtergelaten. Nadat de onderzoekers dit backdoor-account in de eerste week van januari hadden verwijderd reageerden de aanvallers dat ze 2,8 miljoen dollar eisten om het datalek stil te houden. Tevens gaven de aanvallers bewijs dat ze de broncode van Ubiquiti hadden buitgemaakt en beloofden om de aanwezigheid van een tweede backdoor te openbaren. Ubiquiti ging hier niet op in en het onderzoeksteam ontdekte uiteindelijk de tweede achtergelaten backdoor. De dagen daarna werden alle inloggegevens van medewerkers gereset, waarna klanten werd aangeraden om hun wachtwoorden te wijzigen. Volgens de klokkenluider had Ubiquiti klanten niet moeten vragen om hun wachtwoord te resetten, maar had het bedrijf dit moeten afdwingen. Met name omdat de aanvallers over inloggegevens beschikten waarmee ze op afstand konden inloggen op de systemen van klanten. Ubiquiti logde niet wie er toegang tot de databases had, waardoor het niet kon bewijzen of ontkennen wat de aanvallers hadden buitgemaakt, aldus de klokkenluider. Tevens zou de juridische afdeling van Ubiquiti herhaaldelijke verzoeken om de wachtwoorden van klanten te resetten en aanpassingen in de betreffende periode terug te draaien hebben afgeschoten. Eigenaren van een Ubiquiti-apparaat die hun wachtwoord sinds 11 januari van dit jaar niet hebben aangepast wordt aangeraden dit alsnog te doen. Op het forum van Ubiquiti eisen klanten inmiddels opheldering, maar ook daar heeft het bedrijf nog niet gereageerd. bron: https://www.security.nl

Er zijn zeker nog zo'n 76.000 webshells op gecompromitteerde Exchange-servers actief, een daling van de 283.000 webshells die twee weken geleden werden gedetecteerd, zo blijkt uit onderzoek van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt. Shadowserver voerde de afgelopen weken meerdere scans uit naar kwetsbare Exchange-servers. Twee weken geleden detecteerde de organisatie nog zo'n 283.000 unieke webshells op bijna 87.000 ip-adressen en 102.000 hostnames. Tijdens de laatste scan van gisterenavond bleek dat van de eerder waargenomen webshells er nog bijna 76.000 actief waren. Verspreid over 14.300 ip-adressen en bijna 17.000 hostnames. De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht. Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers. Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen. bron: https://www.security.nl

Google is in de Verenigde Staten aangeklaagd omdat het gegevens van gebruikers via real time bidding (RTB) aan adverteerders zou verkopen, ook al zegt het techbedrijf dit niet te doen. RTB is een technologie waarbij advertentieruimte op websites via een geautomatiseerde veiling wordt verkocht aan adverteerders. Elke keer dat iemand een website bezoekt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren. De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Volgens de klagers komt deze gevoelige gebruikersdata ook terecht bij adverteerders die de veiling niet winnen. Uit onderzoek dat de klagers lieten uitvoeren blijkt dat er 1,3 miljoen verschillende uitgevers zijn die aan het advertentiesysteem van Google deelnemen, zo meldt Vice Magazine. Elk van deze uitgevers is een potentiële ontvanger van de 'bidstream data' die persoonlijke informatie bevat. Informatie waarvan Google zegt dat het die niet deelt, zo staat in de aanklacht. Via de rechtszaak willen de klagers voor alle deelnemers aan de massaclaim een schadevergoeding. Vorig jaar besloot Google, naar aanleiding van onderzoek door verschillende autoriteiten, de eigen advertentieveilingen aan te passen. De bid requests die Google naar adverteerders stuurt bevatten geen contentcategorieën meer, die duidelijk maken wat voor soort pagina of website iemand bezoekt. bron: https://www.security.nl

Een kwetsbaarheid in de veelgebruikte npm-package netmask raakt duizenden applicaties en repositories. Een beveiligingsupdate is inmiddels beschikbaar gemaakt. Netmask wordt gebruikt voor het verwerken of vergelijken van IPv4-adressen en Classless Inter-Domain Routing (CIDR)-blocks. Softwareplatform GitHub telt 279.000 respositories die er gebruik van maken. Door het niet goed valideren van "octal strings" kan een ongeauthenticieerde remote aanvaller verschillende soorten aanvallen uitvoeren op packages en projecten die er gebruik van maken, zoals server-side request forgery (SSRF), remote file inclusion (RFI) en local file inclusion (LFI), aldus onderzoekers Victor Viale, Sick Codes, Kelly Kaoudis, John Jackson en Nick Sahler. Ip-adressen kunnen in verschillende formaten worden weergegeven, bijvoorbeeld in een decimaal of octaal formaat. Meestal wordt het decimale formaat gebruikt. De kwetsbaarheid, CVE-2021-28918, doet zich voor bij decimale ip-adressen waar een 0 voor wordt geplaatst. Zo wordt ip-adres 127.0.0.1 normaal gebruikt voor localhost. Wanneer echter 0127.0.0.1 wordt gebruikt dan wordt dit vertaald naar 87.0.0.1. Volgens de IETF-specificatie kunnen delen van een IPv4-adres als een octaal worden beschouwd als het adres met een 0 begint. Netmask negeert dit en gaat van het decimale formaat uit. Wanneer een applicatie wil controleren of een ip-adres binnen een bepaalde reeks hoort, gaat het fout met octale weergaven van IPv4-adressen. "Een remote ongeauthenticeerde aanvaller kan lokale resources opvragen door middel van invoerdata 0177.0.0.1 (127.0.0.1), dat netmask als publiek ip-adres 177.0.0.1 beschouwt", aldus de onderzoekers. Die stellen dat een remote geauthenticeerde of ongeauthenticeerde aanvaller 0127.0.0.01 (87.0.0.1) als localhost kan opgeven, terwijl het eigenlijk een publiek ip-adres is waardoor LFI/RFI mogelijk wordt. Tevens zou het mogelijk zijn om applicaties te omzeilen die netmask gebruiken om ip-adressen te filteren om te voorkomen dat die toegang tot een intranet, vpn of containers krijgen. Zo wordt 012.0.0.1 (10.0.0.1) door Netmask gezien als 12.0.0.1, wat weer een publiek ip-adres is. De kwetsbaarheid is aanwezig in netmask versie 1.1.0 en eerder en verholpen in versie 2.0.0. bron: https://www.security.nl

Ftp-programma FileZilla is opnieuw onder vuur komen te liggen over het toevoegen van adware aan de installatiebundel. De standaardversie die via de website wordt aangeboden bevat volgens 24 van de 67 virusscanners op VirusTotal, de online virusscandienst van Google, adware of potentieel ongewenste programma's. Onder de downloadknop van FileZilla staat wel de vermelding dat de installatiebundel aanvullende aanbiedingen kan bevatten. Daarnaast bevat de bestandsnaam de tekst "sponsored-setup" en wordt in het privacybeleid gewezen naar de aanwezigheid van "offer-enabled installers" in het installatieprogramma die advertenties tonen. Toch vallen deze berichten niet alle gebruikers op. Het is wel mogelijk om een niet-gesponsorde versie te downloaden, maar hiervoor moeten gebruikers een paar extra handelingen verrichten. FileZilla is een zeer populair ftp-programma en in het verleden is het vaker bekritiseerd vanwege de aanwezigheid van adware. Vorige week waarschuwde nixCraft via Twitter ruim 215.000 volgers voor de adware in FileZilla, wat ook voor een uitgebreide discussie op Hacker News zorgde. Voor gebruikers die een alternatief zoeken wordt vaak het opensouceprogramma WinSCP genoemd. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om malafide code naar de officiële Git-repository van programmeertaal PHP te sturen. Hoe dit precies kon gebeuren wordt nog onderzocht, maar alles lijkt erop te wijzen dat de aanvallers hebben ingebroken op de server van git.php.net. Daarvoor waarschuwt ontwikkelaar Nikita Popov op de PHP-mailinglist. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. In totaal werden er twee commits met malafide code naar de "php-src" Git-repository verstuurd. Deze commits leken afkomstig van PHP-ontwikkelaars Rasmus Lerdorf en Nikita Popov. Het onderzoek naar de aanval loopt nog, maar het PHP-ontwikkelteam stelt dat beheer van de eigen Git-infrastructuur een onnodig beveiligingsrisico vormt en er is besloten om te stoppen met de git.php.net-server. Voortaan wordt code voor PHP direct naar de repositories op GitHub verstuurd. Deze respositories fungeerden eerder nog alleen als mirror. Dit houdt in dat ontwikkelaars die bijdragen aan PHP nu onderdeel van de PHP-organisatie op GitHub moeten zijn om hun code naar de repositories te versturen. Naast de twee ontdekte malafide commits wordt nog onderzocht of de aanvallers andere aanpassingen hebben doorgevoerd. Volgens Bleeping Computer bevatten de twee malafide commits een backdoor waarmee aanvallers toegang tot websites kunnen krijgen die van de gecompromitteerde PHP-versie gebruikmaken. bron: https://www.security.nl

Het bedrijf zegt dat het steeds meer meldingen ontvangt over dergelijke aanvallen waarbij wordt geprobeerd om toegang tot NAS-systemen te krijgen. "Wanneer een eenvoudig, zwak of voorspelbaar wachtwoord wordt gebruikt, zoals "password" of "12345", kunnen hackers eenvoudig toegang tot het apparaat krijgen waarbij de veiligheid, privacy en vertrouwelijkheid in het geding is", aldus de oproep van QNAP. Om dergelijke aanvallen te voorkomen wordt gebruikers aangeraden hun NAS-systeem niet direct toegankelijk vanaf het internet te maken. Tevens moeten standaard poortnummers worden vermeden, is het nodig om een sterk wachtwoord voor gebruikersaccounts in te stellen en moet het beheerdersaccount worden uitgeschakeld. In de logbestanden van de NAS kan worden gekeken of er een bruteforce-aanval heeft plaatsgevonden. bron: https://www.security.nl

Aanvallers maken op het moment actief misbruik van twee kwetsbaarheden in themes en plug-ins van ontwikkelaar Thrive Themes om WordPress-sites over te nemen. Thrive Themes biedt verschillende oplossingen voor het verder uitbouwen van WordPress-sites. Naar schatting maken zo'n 100.000 websites er gebruik van. Twee kwetsbaarheden in de verschillende oplossingen van Thrive Themes zorgen ervoor dat aanvallers kwetsbare websites van een backdoor kunnen voorzien. De eerste kwetsbaarheid bevindt zich in het Thrive Dashboard en maakt het mogelijk om met de functionaliteit van Zapier te integreren. Zapier is een online tool waarmee er een verbinding tussen verschillende apps en diensten kan worden gemaakt. De functionaliteit is echter op een onveilige wijze geïmplementeerd en zorgt ervoor dat een aanvaller een optie in de WordPress-database kan inschakelen. Vervolgens is het via deze optie mogelijk om zonder authenticatie een kwaadaardig PHP-bestand naar de website te uploaden, zoals een backdoor. De kwetsbaarheid die het mogelijk maakt om zonder authenticatie willekeurige bestanden naar de website te uploaden is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Securitybedrijf Wordfence heeft inmiddels op 1900 websites een backdoor aangetroffen die via de twee beveiligingslekken is geïnstalleerd. Op 12 maart rolde Thrive Themes beveiligingsupdates uit om de kwetsbaarheden te verhelpen, maar een onbekend aantal websites is nog kwetsbaar. bron: https://www.security.nl

Cisco heeft een kritieke kwetsbaarheid in de Windowsversie van Jabber verholpen die remote code execution mogelijk maakt. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,9 beoordeeld. Cisco Jabber is een programma dat instant messaging, desktopsharing en audio-, video- en webconferenties biedt. Het is met name bedoeld voor interne communicatie binnen organisaties, maar is ook voor het meetings met personen buiten de organisatie te gebruiken. Het beveiligingslek, aangeduid als CVE-2021-1411, wordt veroorzaakt doordat Jabber de inhoud van chatberichten niet goed valideert. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd chatbericht naar een slachtoffer te sturen. Dit is voldoende om vervolgens willekeurige programma's op het systeem te starten met rechten van de ingelogde gebruiker, wat tot het uitvoeren van willekeurige code kan leiden. Er is geen interactie van het slachtoffer vereist. Cisco heeft een beveiligingsupdate voor de verschillende Jabber-versies uitgebracht (12.1.5, 12.5.4, 12.6.5, 12.7.4, 12.8.5 en 12.9.5). Het is niet voor het eerst dat Jabber met een dergelijke kritieke kwetsbaarheid te maken krijgt. Vorig jaar werden al twee beveiligingslekken (CVE-2020-26085 en CVE-2020-3495) met een zelfde impactscore gevonden en verholpen. Alle drie de kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Watchcom. bron: https://www.security.nl

De FBI heeft een waarschuwing afgegeven voor de Mamba-ransomware die de volledige harde schijf versleutelt, waardoor het besturingssysteem niet meer kan worden opgestart. De ransomware is al tegen lokale overheden, transportagentschappen, juridische dienstverleners en allerlei soorten bedrijven ingezet, aldus de Amerikaanse opsporingsdienst (pdf). In tegenstelling tot veel andere ransomware-exemplaren, die alleen bepaalde type bestanden versleutelen, versleutelt Mamba de volledige harde schijf. Hiervoor maakt de ransomware gebruik van DiskCryptor, een opensourceprogramma voor volledige schijfversleuteling. Zodra het systeem is versleuteld verschijnt er bij het opnieuw opstarten een melding dat er betaald moet worden om weer toegang te krijgen. Er is echter een mogelijkheid om zonder te betalen de harde schijf te ontsleutelen. Zodra de Mamba-ransomware actief is installeert die het programma DiskCryptor voor het versleutelen van de harde schijf. Om de installatie van de benodigde driver af te ronden wordt het systeem herstart. De encryptiesleutel die wordt gebruikt voor het versleutelen van de schijf wordt in een bestand op de computer opgeslagen. De inhoud van dit bestand is tot de tweede herstart van het systeem, waarna de versleuteling is afgerond, toegankelijk. Dit is meestal zo'n twee uur na de eerste herstart. Mocht op een systeem de aanwezigheid van DiskCryptor worden aangetroffen adviseert de FBI om naar de aanwezigheid van het bestand myConf.txt te zoeken en het wachtwoord te onthouden. Daarmee kan het systeem namelijk worden ontsleuteld zonder het losgeld te betalen. Om besmetting met de Mamba-ransomware te voorkomen raadt de FBI onder andere aan om DiskCryptor, als hier geen gebruik van wordt gemaakt, op een blacklist te zetten. bron: https://www.security.nl

E-mailclient Thunderbird is een samenwerking aangegaan met versleutelde e-maildienst Mailfence uit België. Gebruikers die binnen het e-mailprogramma een nieuw account aanmaken kunnen nu ook kiezen voor de optie om een e-mailadres bij Mailfence te nemen. Mailfence biedt end-to-end versleuteling en valt onder de Belgische privacywetgeving. Thunderbird wil gebruikers naar eigen zeggen een alternatief geven om met elkaar te communiceren, zonder dat dit ten koste van hun privacy gaat. "We weten al meer dan een jaar dat we met Mailfence willen samenwerken en dit is pas het begin van onze samenwerking", zegt Ryan Sipes van het Thunderbird Project. Later dit jaar zal er meer informatie over de samenwerking met Mailfence worden gedeeld en de plannen die Thunderbird heeft om open standaarden en privacy te promoten. "Privacy is een fundamenteel mensenrecht. Met deze samenwerking zorgen we voor een privacy respecterend alternatief voor de oplossingen van Big Tech die gebaseerd zijn op het verzilveren van persoonlijke data", zegt Patrick De Schutter, medeoprichter van Mailfence. De e-maildienst biedt zowel gratis als betaalde e-mailaccounts. bron: https://www.security.nl

Encryptieprotocollen TLS 1.0 en 1.1 zijn officieel door de Internet Engineering Task Force (IETF) afgeschreven en moeten niet meer worden gebruikt. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Daarnaast voldoen de protocollen niet meer aan de PCI DSS-richtlijn voor betaalkaarttransacties op internet. Alle grote browserontwikkelaars hebben de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen stopgezet. "Deze versies missen ondersteuning voor huidige en aanbevolen cryptografische algoritmen en mechanismes, en verschillende overheids- en industrierichtlijnen voor het gebruik van TLS verbieden deze oude TLS-versies", aldus de IETF. De IETF is een standaardenorganisatie die zich bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. TLS versie 1.2 werd al in 2008 door de IETF als de aanbevolen TLS-versie aangewezen, en die versie werd in 2018 weer vervangen door TLS 1.3. De standaardenorganisatie roept op om de ondersteuning van oudere versies uit implementaties te verwijderen om zo het aanvalsoppervlak en de kans op misconfiguraties te verkleinen. bron: https://www.security.nl

GitHub is begonnen met het scannen van commits naar publieke repositories op het lekken van PyPI API-tokens. Gevonden tokens worden doorgestuurd naar de Python Package Index (PyPI) die ze vervolgens zal uitschakelen en de eigenaren een waarschuwing stuurt. Een repository bevat code van een softwareproject. Sommige softwareprojecten communiceren met een externe dienst en maken hiervoor gebruik van bijvoorbeeld een token. Wanneer dit token in de repository wordt geplaatst kan iedereen met toegang tot de repository gebruikmaken van de token om toegang tot de externe dienst te krijgen. GitHub adviseert om tokens en andere secrets in een aparte, beveiligde locatie buiten de repository voor het softwareproject te bewaren. Het komt echter voor dat ontwikkelaars tokens of een private key naar hun respository uploaden, met alle gevolgen van dien als derden hier toegang toe krijgen. Om het lekken tegen te gaan biedt GitHub "Secrets scanning". Elke code die een ontwikkelaar naar een publieke repository uploadt wordt vervolgens op secrets, zoals een token, gecontroleerd. Nu gaat GitHub dit ook doen voor API-tokens van de Python Package Index. PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Voor het uploaden van packages naar PyPI kan er gebruik worden gemaakt van API-tokens. Ontwikkelaars hoeven zich dan niet met een gebruikersnaam en wachtwoord te authenticeren. Een aanvaller die het token in handen krijgt zou echter malafide software naar het project kunnen uploaden. De nu aangekondigde samenwerking tussen GitHub en PyPI moet dit voorkomen. bron: https://www.security.nl

Microsoft heeft op Twitter een waarschuwing gegeven voor een phishingaanval waarbij zogenaamde Zoom-uitnodigingen worden gebruikt om inloggegevens van slachtoffers te ontfutselen. De aanval begint met een e-mail waarin staat dat de ontvanger is uitgenodigd voor een Zoom-vergadering. De link naar deze zogenaamde vergadering wijst naar een website waar gebruikers worden gevraagd om met hun e-mailaccount in te loggen. Voor het versturen van de phishingmails maken de aanvallers gebruik van gecompromitteerde accounts bij diensten zoals SendGrid, Mailgun en Amazon Simple Email Service (SES). Verder meldt Microsoft dat de aanvallers gebruikmaken van Appspot, een hostingplaform van Google, om verschillende phishing-url's voor elk slachtoffer te genereren. Op deze manier weten de aanvallers reputatie-gebaseerde oplossingen te omzeilen, aldus Microsoft. Volgens securitybedrijf WMC Global hebben de aanvallers via de phishingaanvallen mogelijk 400.000 inloggegevens weten te bemachtigen. "Omdat deze campagne misbruik maakt van gecompromitteerde e-mailmarketing-acounts, roepen we organisaties op om de filterregels op uitzonderingen te controleren die ervoor kunnen zorgen dat deze phishingmails worden doorgelaten", zo adviseert Microsoft. bron: https://www.security.nl

Giorgio Maone, ontwikkelaar van de populaire NoScript-extensie voor Firefox en Google Chrome, wil een nieuwe extensie ontwikkelen die trackingscripts vervangt door een surrogaatscript. Een functionaliteit die lange tijd onderdeel van NoScript uitmaakte, maar door ontwikkelingen aan de kant van Firefox het veld moest ruimen. NoScript is een extensie die allerlei scripts op websites blokkeert. Dit kan er echter voor zorgen dat bepaalde delen van de website niet of niet goed meer werken. Al in 2009 bedacht Maone een oplossing genaamd "Surrogate Scripts". Wanneer NoScript een extern script blokkeert kijkt de extensie of de url met een bepaald patroon overeenkomt. Is dit het geval, dan laadt NoScript een surrogaatscript dat in plaats van het externe script op de website wordt uitgevoerd. In 2017 lanceerde Mozilla een compleet vernieuwde versie van Firefox genaamd Qunatum, wat gevolgen had voor extensies. In het geval van NoScript zorgde dit ervoor dat Surrogate Scripts niet kon worden overgezet naar de NoScript-extensie voor de nieuwe Firefox-versie. Gisteren kwam Mozilla met Firefox 87 die over een soortgelijke functionaliteit beschikt genaamd SmartBlock. Deze feature vervangt geblokkeerde third-party trackingscripts door een lokale "stand-in". Dit lokale, vervangende script werkt net genoeg als het origineel om ervoor te zorgen dat de website blijft werken, maar de gebruiker niet wordt gevolgd. Volgens Maone hebben veel gebruikers van NoScript en andere contentblockers herhaaldelijk gevraagd om Script Surrogates weer toe te voegen en mist hij de feature zelf ook. Daarnaast biedt de SmartBlock-feature van Firefox minder mogelijkheden dan Script Surrogates deed. Aanleiding voor Maone om Script Surrogates als losse extensie voor Firefox en Chromium-gebaseerde browsers te gaan ontwikkelen. De extensie zou dan als aanvulling kunnen worden gebruikt voor NoScript en andere contentblockers. bron: https://www.security.nl

De volgende versie van Google Chrome zal standaard https in de adresbalk gebruiken, zo heeft Google aangekondigd. Wanneer gebruikers nu nog een url in de adresbalk invoeren, zonder http of https op te geven, zal de browser standaard eerst via http verbinding maken. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden. Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom zal de browser vanaf Chrome 90 standaard in de adresbalk https gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", zegt Shweta Panditrao van het Chrome Team. De aanpassing wordt als eerste doorgevoerd in de Android- en desktopversie van Chrome 90. Daarna zal "snel" een update voor de iOS-versie verschijnen. "Chrome zet zich in om van https het standaard protocol voor het web te maken en deze aanpassing is weer een stap die ervoor zorgt dat Chrome standaard altijd beveiligde verbindingen gebruikt", aldus Panditrao. Chrome 90 zou op 13 april moeten verschijnen. bron: https://www.security.nl

Op internet zijn duizenden Exchange-servers te vinden die al voor het installeren van beveiligingsupdates door aanvallers zijn besmet met malware. Doordat de machines inmiddels up-to-date zijn kunnen organisaties een vals gevoel van veiligheid hebben en denken dat ze zijn beschermd, zo stelt Brandon Wales, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De kwetsbaarheden in Exchange maken het mogelijk voor aanvallers om kwetsbare servers op afstand over te nemen en daarvandaan bijvoorbeeld andere systemen in het bedrijfsnetwerk aan te vallen. Microsoft rolde op 2 maart noodpatches voor de kwetsbaarheden uit. Die werden echter al voor het uitkomen van de updates misbruikt. Volgens Wales zijn er verbeteringen zichtbaar als het om de uitrol van patches gaat maar is er nog veel werk aan de winkel. "We willen dat organisaties gaan onderzoeken of ze zijn gecompromitteerd. Patchen is niet voldoende", aldus Wales tijdens een lezing voor het Auburn University’s McCrary Institute for Cyber and Critical Infrastructure Security. Wanneer een aanvaller al voor de installatie van updates toegang tot de server heeft gekregen kan die een webshell installeren en zo toegang tot de machine behouden, ook al worden de updates vervolgens geïnstalleerd. "Helaas weten we van bedrijven die scans uitvoeren naar kwetsbare en gecompromitteerde Exchange-servers dat er letterlijk duizenden gecompromitteerde servers zijn die op het moment zijn gepatcht. En deze eigenaren kunnen denken dat ze zijn beschermd, maar dat is niet het geval", merkte de CISA-directeur op. Hij deed dan ook nogmaals een oproep om naar signalen van mogelijk gecompromitteerde servers te kijken. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 87 gelanceerd die een nieuwe privacyfeature introduceert genaamd SmartBlock. De feature zorgt ervoor dat trackers worden geblokkeerd en websites blijven werken. De private browsingmode van Firefox blokkeert al lange tijd scripts, afbeeldingen en andere content die afkomstig is van bekende trackingbedrijven. Dit moet voorkomen dat deze trackingbedrijven Firefoxgebruikers kunnen volgen. De manier waarop third-party content werd geblokkeerd kon er echter voor zorgen dat afbeeldingen niet werden geladen, bepaalde features niet werkten of de website het helemaal niet deed. Om ervoor te zorgen dat websites ondanks de geblokkeerde content blijven werken ontwikkelde Mozilla SmartBlock. Deze feature vervangt geblokkeerde third-party trackingscripts door een lokale "stand-in". Dit lokale, vervangende script werkt net genoeg als het origineel om ervoor te zorgen dat de website blijft werken, maar de gebruiker niet wordt gevolgd. Mozilla benadrukt dat deze vervangende scripts met Firefox worden gebundeld en geen echte third-party content van trackers bevatten. De vervangende scripts bevatten zelf ook geen code om gebruikers te volgen. "We denken dat de SmartBlock-aanpak het beste van beide werelden biedt: sterke bescherming van je privacy en een goede browse-ervaring", aldus Mozilla. Verder zijn erin Firefox 87 acht kwetsbaarheden verholpen met een maximale impact die als "high" is beoordeeld. In dit geval kan een malafide website gevoelige data van andere geopende websites stelen of data in deze websites injecteren. Updaten naar Firefox 87 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond. Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie. Dit keer gebruikte hij echter een andere manier om toegang te krijgen waarbij hij een ASPXAUTH-cookie manipuleerde. Deze cookies worden gebruikt om te bepalen of de gebruiker is geauthenticeerd. Abdulridha vond een andere website die dezelfde applicatie gebruikte. Hij registreerde daar een account met dezelfde gebruikersnaam als de beheerder van de applicatie die Facebook gebruikt. Hij onderschepte vervolgens het request naar de applicatie op de andere website en verving het ASPXAUTH-cookie met het verlopen ASPXAUTH-cookie van de Facebook-applicatie. Hiermee kreeg hij opnieuw toegang tot het beheerderspaneel van de Facebook-applicatie. "Ik kon op elk beheerdersaccount inloggen door alleen de gebruikersnaam te weten", aldus de onderzoeker. Voor het tweede deel van de aanval gebruikte Abdulridha een SSRF-kwetsbaarheid. Server-side request forgery (SSRF) is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. In dit geval bleek de Facebook-applicatie kwetsbaar voor SSRF waardoor de onderzoeker toegang tot het interne netwerk van Facebook wist te krijgen. Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding. Afsluitend heeft de onderzoeker ook nog een 'gouden tip' voor bug hunters. "Wanneer je ASPXAUTH ziet probeer dan de cookies van een andere website te bemachtigen die dezelfde applicatie gebruikt en test dezelfde methode die ik toepaste: Creëer nieuwe ASPXAUTH-cookies aan de hand van de andere website en test of deze cookies bij de aangevallen website werken." bron: https://www.security.nl

Adobe heeft vandaag een beveiligingsupdate uitgerold voor een kritieke kwetsbaarheid in ColdFusion waardoor een aanvaller op afstand code op kwetsbare systemen kan uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion gebruikt voor het aanvallen van ColdFusion-applicatieservers. Afgelopen oktober kwam de NSA nog met een overzicht van de Top 25 kwetsbaarheden die volgens de Amerikaanse geheime dienst door "Chinese actoren" worden gebruikt om organisaties aan te vallen. In dat overzicht staat ook een ColdFusion-kwetsbaarheid uit 2018. Het nu verholpen beveiligingslek, aangeduid als CVE-2021-21087, wordt veroorzaakt door het niet goed valideren van invoer. Verdere details worden niet door Adobe gegeven, behalve dat een aanvaller de kwetsbaarheid kan gebruiken om willekeurige code op het onderliggende systeem uit te voeren. Organisaties wordt aangeraden om te updaten naar ColdFusion 2016 Update 17, ColdFusion 2018 Update 11 of ColdFusion 2021 Update 1. Volgens Adobe zijn erop dit moment geen exploits bekend die misbruik van het beveiligingslek maken en wordt dit ook niet op korte termijn verwacht. Als "best practice" adviseert Adobe om de update "snel" te installeren, waarbij als voorbeeld binnen dertig wordt genoemd. bron: https://www.security.nl

De volgende versie van Firefox zal de HTTP Referrer deels strippen om het lekken van gevoelige gebruikersgegevens te voorkomen, zo heeft Mozilla aangekondigd. Zodra internetgebruikers in hun browser op een link klikken zorgt de HTTP Referrer header ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is. Op deze manier kunnen websites zien waar hun bezoekers vandaan komen, wat bijvoorbeeld handig is voor analytics. Volgens Mozilla blijkt in de praktijk dat de HTTP Referrer header vaak privégegevens van gebruikers bevat. Zo kan die prijsgeven welke artikel een gebruiker op de verwijzende website aan het lezen was en kan die ook informatie over het account van een gebruiker op een website bevatten. Om websites meer controle te geven over hoeveel informatie er via de Referer header wordt meegestuurd werd de Referrer Policy ingevoerd waar browsers tegenwoordig gebruik van maken. Standaard maken browsers gebruik van de no-referrer-when-downgrade policy. Hierbij wordt de referrer gestript wanneer gebruikers van een https-site naar een http-site gaan. Is dit niet het geval, dan wordt de volledige url inclusief path en query-informatie meegestuurd. Hierdoor kan er gevoelige gebruikersinformatie lekken. Daar komt bij dat steeds meer websites via https worden aangeboden en de no-referrer-when-downgrade policy niet meer van deze tijd is, aldus Dimi Lee van Mozilla. De Firefox-ontwikkelaar gaat daarom het beleid aanpassen en standaard een strict-origin-when-cross-origin policy implementeren. Wanneer een gebruiker dan op een link naar een andere website klikt zullen path en query-informatie niet meer worden meegestuurd. Dit geldt voor alle cross-origin requests. Daarnaast zal nog steeds de informatie bij een verwijzing van https naar http worden gestript. Firefox 87 zou morgen, dinsdag 23 maart moeten uitkomen. Gebruikers hoeven verder niets te doen om van het nieuwe beleid gebruik te maken. bron: https://www.security.nl