Captain Kirk

De privacytoezichthouders van de Europese Unie, verenigd in in de European Data Protection Board (EDPB), zijn niet tevreden met het huidige voorstel voor de ePrivacy Verordening en hebben verschillende verbeterpunten aangedragen, waaronder het niet afzwakken van encryptie. De ePrivacy Verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG) en gaat specifiek over de gegevensbescherming rond elektronische communicatie. Er wordt al jaren over de ePrivacy Verordening onderhandeld. De EDPB is blij dat de wet er komt, maar stelt dat die het beschermingsniveau van persoonsgegevens voor Europeanen niet mag verlagen. Daarnaast moet die volledig in lijn zijn met de AVG. De privacytoezichthouders hebben echter zorgen over het huidige voorstel en hebben in een gezamenlijke verklaring een aantal verbeterpunten aangedragen (pdf). Zo vindt de EDPB dat de ePrivacy Verordening cookiewalls moet verbieden, net zoals de AVG dat doet. Gegevens uit vertrouwelijke elektronische communicatie, zoals WhatsApp-berichten, sms’jes en e-mails, mogen zonder toestemming alleen worden gebruikt voor noodzakelijke doelen, zoals ervoor zorgen dat een bericht bij de ontvanger terechtkomt. Verder stellen de toezichthouders dat het toezicht op het gebruik van persoonsgegevens binnen de ePrivacy Verordening volledig bij dezelfde toezichthouders moet komen te liggen die toezicht op de AVG houden. In het huidige voorstel voor de ePrivacy Verordening is dat toezicht in sommige gevallen verspreid over verschillende toezichthouders, zo laat de Autoriteit Persoonsgegevens weten. Encryptie Daarnaast stelt de EDPB dat de beschikbaarheid van sterke en vertrouwde encryptie een noodzaak in de moderne digitale wereld is. De toezichthouders merken op dat sterke, moderne encryptie de standaard moet zijn voor het veilig, vrij en op betrouwbare uitwisselen van data tussen burgers, bedrijven en overheden, en essentieel is om aan de veiligheidsverplichtingen van de AVG te voldoen. "End-to-end encryptie, van afzender naar ontvanger, is ook de enige manier om de veiligheid van data die wordt verstuurd te garanderen. Elke mogelijke poging om encryptie te verzwakken, zelfs voor het doel van nationale veiligheid, zou die bescherming, vanwege mogelijk onwettig gebruik, uithollen. Encryptie moet gestandaardiseerd, sterk en effectief zijn", aldus de EDPB. De onderhandelingen tussen de Europese Commissie, het Europees Parlement en ministers uit de EU-lidstaten over de ePrivacy Verordening zullen naar verwachting dit jaar beginnen. Eind 2021 of begin 2022 is de tekst van de wet waarschijnlijk definitief. bron: https://www.security.nl

Aanstaande donderdag 25 maart komt OpenSSL met een belangrijke beveiligingsupdate, zo heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande donderdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1k verschijnt aanstaande donderdag 25 maart tussen 14:00 en 18:00 uur Nederlandse tijd. bron: https://www.security.nl

Van meer dan vierhonderd Exchange-servers in België staat vast dat ze geïnfecteerd zijn met malware, zo stelt het Centrum voor Cybersecurity België (CCB) van de Belgische overheid. De organisatie waarschuwde eerder deze week al voor een "tsunami aan cyberaanvallen" als gevolg van de kwetsbaarheden in de mailserversoftware van Microsoft. Afgelopen maandag waren meer dan duizend Microsoft Exchange-servers in het land nog altijd kwetsbaar omdat beschikbare beveiligingsupdates niet waren geïnstalleerd. Van vierhonderd van deze kwetsbare servers staat vast dat aanvallers de kwetsbaarheden hebben gebruikt om een webshell te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Vaak worden webshells voor verdere aanvallen ingezet. Iets waar ook het CCB rekening mee houdt: "We vrezen dan ook dat sommige organisaties en bedrijven de komende dagen en weken het slachtoffer worden van ransomware of dat er data gestolen zal worden." De Belgische overheidsinstantie is nu begonnen om getroffen organisaties en bedrijven waarvan contactgegevens beschikbaar zijn te waarschuwen. Het Nederlandse Nationaal Cyber Security Centrum (NSCS) liet afgelopen dinsdag weten dat het Exchange-lek ook voor grote schade bij Nederlandse organisaties heeft gezorgd. Zo is er data van getroffen organisaties gestolen, zijn servers met malware besmet, backdoors geïnstalleerd en worden mailboxen te koop op internet aangeboden. bron: https://www.security.nl

Microsoft heeft een nieuw document gepubliceerd waarin het advies geeft voor het onderzoeken en herstellen van kwetsbare Exchange-servers. Kwetsbaarheden in Exchange maken het mogelijk voor aanvallers om kwetsbare mailservers op afstand over te nemen en te gebruiken voor verdere aanvallen. Misbruik van de beveiligingslekken vindt voor zover bekend al sinds januari plaats. In het nieuwe document stelt Microsoft dat organisaties de kwetsbaarheden meteen moeten patchen. Door dit niet te doen kan de Exchange-server van de organisatie worden overgenomen en mogelijk ook andere delen van het interne netwerk. Het document legt uit hoe de nu waargenomen aanvallen werken, welke oplossingen er beschikbaar zijn, hoe organisaties kunnen achterhalen of ze gecompromitteerd zijn en welke herstelstappen moeten worden gevolgd. Ook wijst Microsoft op het isoleren van de Exchange-server zodat die niet vanaf het publieke internet toegankelijk is. Bij de huidige aanvallen maken de aanvallers een "untrusted" verbinding met de server via poort 443. Het is dan ook nodig om inkomende verbindingen op deze poort te blokkeren. Dit kan echter gevolgen voor thuiswerkers hebben of andere scenario's waarbij er geen gebruik wordt gemaakt van een vpn om verbinding met de server te krijgen, aldus de uitleg van het techbedrijf. bron: https://www.security.nl

LastPass heeft de aangekondigde beperking van de gratis versie van de wachtwoordmanager doorgevoerd. Gebruikers van deze versie kunnen de wachtwoordmanager voortaan op nog maar één type apparaat gebruiken. Een maatregel die bij tal van gebruikers verkeerd is gevallen. Op Twitter zijn tal van berichten te vinden van gebruikers die op een andere wachtwoordmanager zijn overgestapt. Het gebruik van LastPass Free is voortaan alleen nog mogelijk op of alleen computers of alleen mobiele apparaten. Voorheen konden gebruikers van de gratis versie die zowel op bijvoorbeeld hun laptop én smartphone gebruiken. Het blijft wel mogelijk om de gratis versie op meerdere apparaten van één type te gebruiken. Zo is de wachtwoordmanager bijvoorbeeld op meerdere telefoons, smartwatches en tablets te gebruiken. In dit geval zal ervoor gebruik op laptop of desktop moeten worden betaald en vice versa. De eerste login van LastPass Free-gebruikers vanaf vandaag zal bepalen wat het actieve type apparaat wordt. Gebruikers hebben vervolgens drie pogingen om van het type apparaat te veranderen. Daarnaast zal LastPass ook de ondersteuning aan gratis gebruikers gaan beperken. Op dit moment kunnen die gebruikmaken van het supportcenter en e-mailondersteuning. Vanaf 17 mei zal de ondersteuning zijn beperkt tot supportartikelen en de community. Terwijl LastPass een beperking van de gratis wachtwoordmanager doorvoert laat Dropbox weten dat het een beperkte versie van de wachtwoordmanager "Dropbox Passwords" vanaf begin april beschikbaar maakt voor gebruikers met een gratis Dropbox-account. Gebruikers kunnen met deze beperkte versie vijftig wachtwoorden opslaan en die vanaf drie verschillende apparaten benaderen. bron: https://www.security.nl

De op privacy gerichte zoekmachine DuckDuckGo heeft de privacylabels van de Apple App Store gebruikt voor een aanval op Google. Apps in de App Store moeten sinds december laten zien welke gegevens ze over en van gebruikers verzamelen en voor welke doeleinden dit wordt gedaan. Recentelijk voegde Google de privacylabels toe voor Google Chrome en de Google-app. Uit de privacylabels blijkt dat Google een grote hoeveelheid informatie over gebruikers verzamelt en onder andere deelt met externe adverteerders en gebruikt voor gerichte advertenties. "Na maanden van rekken heeft Google eindelijk laten zien hoeveel persoonlijke data ze verzamelen in Chrome en de Google-app. Geen wonder dat ze dit wilden verbergen", aldus DuckDuckGo op Twitter. DuckDuckGo blijkt daarentegen geen persoonlijke informatie te verzamelen of te delen en stelt dat dit ook niet nodig is. "Het bespioneren van gebruikers heeft niets te maken met het bouwen van een fantastische webbrowser of zoekmachine. Iets dat wij weten, onze app is beide in één." bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval hebben een deel van de broncode van Mimecast gestolen, zo heeft het securitybedrijf zelf in een 'incident report' bekendgemaakt. Mimecast biedt verschillende diensten voor het synchroniseren, monitoren en beveiligen van e-mailaccounts. In januari bleek dat het securitybedrijf slachtoffer van een aanval was geworden en aanvallers toegang tot productiesystemen hadden gekregen. Uit onderzoek blijkt dat de aanval plaatsvond via de SolarWinds-backdoor. Net als tienduizenden andere organisaties maakte Mimecast gebruik van het SolarWinds Orion-platform voor het beheer van de it-omgeving. Het was één van de bedrijven die een besmette SolarWinds-update installeerde die van een backdoor was voorzien. Via deze backdoor kregen de aanvallers toegang tot de productieomgeving van het securitybedrijf. Zo konden de aanvallers verschillende door Mimecast uitgegeven certificaten stelen en gerelateerde informatie om verbinding met de servers van klanten te maken. Ook kregen de aanvallers e-mailadressen en andere contactgegevens van klanten in handen, alsmede gehashte en gesalte wachtwoorden. Verder blijkt dat de aanvallers toegang tot een deel van de broncode van Mimecast kregen en die hebben gedownload. Volgens het securitybedrijf zijn er geen aanwijzingen gevonden dat de aanvallers broncode hebben aangepast of dat dit gevolgen heeft gehad voor de beveiligingsproducten van het bedrijf. De certificaten die bij Mimecast werden gestolen gebruikten de aanvallers voor aanvallen op klanten van het securitybedrijf. Organisaties installeren de certificaten op hun eigen server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Via de gestolen certificaten kregen de aanvallers toegang tot de Microsoft 365-omgevingen van "een klein aantal" klanten, aldus een verklaring van het securitybedrijf. Naar aanleiding van de aanval heeft Mimecast besloten om te stoppen met het gebruik van de SolarWinds-software. Verder zijn van alle medewerkers de wachtoorden aangepast en het gebruik van hardwarematige tweefactorauthenticatie om toegang tot productiesystemen te krijgen uitgebreid. Tevens zijn alle gecompromitteerde servers volledig vervangen. bron: https://www.security.nl

De afgelopen weken zijn tientallen populaire Instagram-accounts overgenomen door middel van een phishingaanval die met een zogenaamde copyrightschending begint. Slachtoffers ontvangen een bericht over een vermeende copyrightkwestie en worden gewaarschuwd dat hun account binnen 24 uur zal worden gesloten tenzij ze een reactie via de meegestuurde link geven. Deze link wijst naar een phishingsite. Met de gegevens die slachtoffers hier invoeren kan het account worden overgenomen wanneer het slachtoffer geen tweefactorauthenticatie voor zijn account heeft ingesteld. Beveiligingsonderzoeker Sijmen Ruwhof ontdekte dat de aanvallers via de phishingaanval in een periode van 51 uur 33 populaire Instagram-accounts in handen hadden gekregen met in totaal bijna 23 miljoen volgers. Zodra de aanvallers de accounts in handen krijgen schakelen ze wel tweefactorauthenticatie in om het slachtoffer buiten de deur te houden. Vervolgens worden de gekaapte accounts gebruikt voor het versturen van geautomatiseerde berichten over copyrightschendingen naar andere accounts. Daarnaast laten de aanvallers de gecompromitteerde accounts nepaccounts volgen. Gebruikers krijgen het advies om tweefactorauthenticatie voor hun account in te stellen en te controleren op welke website ze hun wachtwoord invoeren. bron: https://www.security.nl

De vier grootste internet exchanges ter wereld, AMS-IX, DE-CIX, LINX, en Netnod, gaan samen nieuwe route serversoftware ontwikkelen zodat men niet afhankelijk is van een beperkt softwareaanbod. Een route server zorgt ervoor dat op de exchange aangesloten netwerken weten welke IP-verkeersroutes andere netwerken op de exchange aanbieden en stelt een netwerk zo in staat het eigen IP-verkeer efficiënt te routeren. Een route server is met name handig voor netwerken die voor het eerst op een exchange worden aangesloten. Door van de route server gebruik te maken kan een nieuwkomer vrijwel meteen beginnen met het uitwisselen van IP-verkeer, zonder eerst allerlei afspraken met andere partijen te hoeven maken. Voor bestaande partijen betekent het ook dat nieuwkomers automatisch zichtbaar worden en "meedoen". Er is echter weinig verschillende software voor route servers beschikbaar. Op de schaal van een knooppunt zoals AMS-IX is er enkel de BIRD Internet Routing Daemon. De verschillende internet exchanges gaan daarom samenwerken in de Stichting Route Server Support (RSSF) om voor meer route serversoftware te zorgen. Dit moet voorkomen dat de exchanges afhankelijk zijn van één type technologie. De RSSF gaat de nieuwe route serversoftware bouwen op basis van OpenBSD’s OpenBGPD. bron: https://www.security.nl

Gebruikers van Twitter die op hun account willen inloggen kunnen er straks voor kiezen om in plaats van een wachtwoord alleen een fysieke beveiligingssleutel te gebruiken, zo heeft de microbloggingdienst aangekondigd. Een fysieke beveiligingssleutel is een apparaat dat bijvoorbeeld via usb of bluetooth wordt aangesloten. Op dit moment zijn fysieke beveiligingsleutels alleen als onderdeel van tweefactorauthenticatie te gebruiken. Na het invoeren van een wachtwoord controleert Twitter de aanwezigheid van de beveiligingssleutel als tweede inlogfactor. Dergelijke sleutels zijn zowel voor computers als mobiele apparaten beschikbaar. Straks wordt het mogelijk om in plaats van een wachtwoord alleen een beveiligingssleutel te gebruiken. Dit moet het lastiger voor aanvallers maken om accounts over te nemen, aangezien een aanvaller in dit geval over de beveiligingssleutel moet beschikken om op het account van de gebruiker in te loggen. Wanneer de optie beschikbaar komt is nog onbekend. Daarnaast ondersteunt Twitter nu meerdere fysieke beveiligingssleutels per account. Zo kunnen gebruikers meerdere beveiligingssleutels voor zowel het inloggen op web als mobiel gebruiken. bron: https://www.security.nl

Microsoft heeft een 'one-click' mitigatietool gelanceerd om Exchange-servers te beschermen tegen aanvallen en eventueel aanwezige malware te verwijderen. De "Exchange On-Premises Mitigation Tool" is bedoeld voor organisaties die niet over een aparte it-afdeling beschikken voor het patchen van hun Exchange-servers, niet bekend zijn met het patchproces of de beveiligingsupdates voor Exchange nog niet hebben uitgerold en hun servers willen beschermen. Op 2 maart bracht Microsoft noodpatches uit voor vier kwetsbaarheden in Exchange waarmee aanvallers kwetsbare systemen op afstand volledig kunnen overnemen. De beveiligingslekken worden wereldwijd op grote schaal misbruikt. Microsoft meldde vorige week dat er nog 83.000 Exchange-servers op internet zijn te vinden die kwetsbaar voor aanvallen zijn omdat ze de uitgebrachte beveiligingsupdates missen. De nu gelanceerde gratis tool doet verschillende zaken en kan via één klik vanaf een Exchange-server worden gestart. Als eerste zal de mitigatietool het beveiligingslek in Exchange (CVE-2021-26855), waardoor aanvallers op afstand code op kwetsbare servers kunnen uitvoeren, mitigeren. Het gaat hier niet om een beveiligingsupdate, maar een configuratieaanpassing waardoor de op dit moment bekende aanvallen geen misbruik meer van de kwetsbaarheid kunnen maken. Vervolgens zal de tool de Exchange-server met de Microsoft Safety Scanner scannen en gevonden malware verwijderen. Als laatste zal de tool proberen om aanpassingen die aanvallers aan de server hebben gemaakt terug te draaien. Microsoft waarschuwt dat de gratis tool effectief is tegen alle nu waargenomen aanvallen, maar geen garantie tegen toekomstige aanvallen biedt. De tool moet dan ook alleen als tijdelijke maatregel worden gebruikt totdat de Exchange-servers volledig zijn gepatcht. bron: https://www.security.nl

Betaalgegevens van 24.000 klanten van WeLeakInfo.com, een website die tegen betaling toegang bood tot gelekte en gestolen wachtwoorden, zijn door een verlopen domeinnaam op internet terechtgekomen. De website werd vorig jaar door de FBI uit de lucht gehaald en de domeinnaam in beslag genomen. Bij de operatie tegen de website waren het Britse National Crime Agency, de FBI, het Duitse Bundeskriminalamt en de Nederlandse politie betrokken. Het cybercrimeteam Oost-Nederland hield vorig jaar januari een 22-jarige man uit Arnhem aan. Volgens de politie was hij betrokken bij het bezitten en aanbieden van gestolen gebruikersnamen en wachtwoorden en faciliteerde hij cybercrime. In de woning van de verdachte werd apparatuur aangetroffen waar WeLeakInfo van gebruikmaakte. Het betalen bij WeLeakInfo kon via PayPal, Bitcoin en betaaldienst Stripe. Naast WeLeakInfo.com nam de FBI ook de domeinnaam in beslag die werd gebruikt voor de afhandeling van e-mails en betalingen. De Amerikaanse opsporingsdienst liet de domeinnaam echter verlopen, waardoor iemand anders die kon registreren. Deze persoon kon na de registratie van het domein een wachtwoordreset bij betaaldienst Stripe uitvoeren. Vervolgens resette deze persoon het wachtwoord en kreeg zo toegang tot Stripe-account van WeLeakInfo. Dit account bevatte nog altijd de betaalgegevens van WeLeakInfo-klanten die via Stripe hadden betaald. Het gaat om gedeeltelijke creditcardgegevens, e-mailadressen, volledige namen, ip-adressen, browser user-agent, fysieke adresgegevens, telefoonnummers en bedrag. Gegevens van klanten die via PayPal of Bitcoin betaalden zitten niet tussen de gelekte data. Dat blijkt uit een analyse van securitybedrijf Flashpoint waar it-journalist Brian Krebs over bericht. bron: https://www.security.nl

Wachtwoordmanager Bitwarden heeft een nieuwe feature gelanceerd waarmee gebruikers op versleutelde wijze data met anderen kunnen delen. Bitwarden Send ondersteunt het uitwisselen van tekst en bestanden tot honderd megabyte. Gebruikers kiezen een bestand of vullen de betreffende tekst in en kunnen daarna aangeven wanneer de aangeboden download wordt verwijderd of verloopt. Ook is het mogelijk om de download van een wachtwoord te voorzien. Vervolgens genereert Bitwarden Send een downloadlink die de gebruiker met anderen kan delen. De feature heeft zeer veel weg van Firefox Send, een dienst van Mozilla voor het versleuteld uitwisselen van data waar vorig jaar de stekker uit werd getrokken. Bitwarden plaatste een video van de nieuwe Send-feature op YouTube, waarin het laat zien hoe de feature is te gebruiken voor het delen van wachtwoorden tussen medewerkers van een organisatie. Volgende week zegt Bitwarden met meer informatie over de nieuwe feature te zullen komen. bron: https://www.security.nl

Vanaf volgende week moeten alle ontwikkelaars van Firefox-extensies tweefactorauthenticatie (2FA) hebben ingeschakeld. Mozilla stelt de beveiligingsmaatregel vanaf 15 maart voor alle ontwikkelaars verplicht. Dit moet voorkomen dat aanvallers het account van een extensie-ontwikkelaar kunnen overnemen om vervolgens malware onder Firefox-gebruikers te verspreiden. Ontwikkelaars van Google Chrome-extensies werden in het verleden herhaaldelijk doelwit van phishingaanvallen waarbij werd geprobeerd om hun accounts over te nemen en vervolgens malafide updates voor de betreffende extensie uit te rollen. Om een dergelijk scenario onder Firefox-gebruikers te voorkomen moeten extensie-ontwikkelaars 2FA voor hun Firefox-account inschakelen waarmee ze op addons.mozilla.org inloggen. In het geval ontwikkelaars dit nog niet hebben gedaan en vanaf 15 maart inloggen worden ze doorgestuurd naar de accountinstellingen om 2FA in te stellen. De volgende keer dat ze op addons.mozilla.org inloggen zal dit via 2FA gebeuren. Mozilla roept ontwikkelaars op om de herstelcodes, die bij het inschakelen van 2FA worden gegenereerd, te downloaden of te printen en ze op een veilige plek te bewaren. Mocht de ontwikkelaar de toegang tot zijn 2FA-apparaat verliezen, dan kan hij door middel van de herstelcodes weer toegang krijgen. bron: https://www.security.nl

Criminelen gebruiken kwetsbaarheden in Exchange om zo de mailservers van organisaties met ransomware te infecteren, zo waarschuwt Microsoft. Aanvallers weten via kwetsbaarheden toegang tot Exchange-servers te krijgen en installeren vervolgens de ransomware. Microsoft maakte vorige week beveiligingsupdates voor de kwetsbaarheden beschikbaar, maar wereldwijd blijken nog vele tienduizenden servers ongepatcht te zijn. Zo kunnen aanvallers de DearCry-ransomware verspreiden, die door Microsoft DoejoCrypt wordt genoemd. Volgens Phillip Misner van Microsoft gaat het om gerichte ransomware-aanvallen waarbij de aanvallers handmatig de aanval uitvoeren en ransomware op de servers van getroffen organisaties installeren. Ook verschillende beveiligingsonderzoekers laten op Twitter weten dat de Exchange-kwetsbaarheden worden gebruikt voor de verspreiding van ransomware. Organisaties die de beveiligingsupdates hebben geïnstalleerd worden opgeroepen om toch hun servers op eventuele backdoors te controleren. Het is namelijk mogelijk dat aanvallers al voor het uitrollen van de patches toegang tot de servers hebben gekregen en zo een backdoor konden installeren. Het patchen van Exchange-servers zal deze backdoors niet verwijderen, waardoor aanvallers toegang tot de servers blijven houden. Microsoft Defender kan de DearCry-ransomwaren inmiddels herkennen en blokkeren. bron: https://www.security.nl

Microsoft heeft patches uitgerold voor niet meer ondersteunde versies van Exchange 2013 om vier kwetsbaarheden te verhelpen die op grote schaal wereldwijd worden aangevallen. Eerder kwam het techbedrijf ook met updates voor niet meer ondersteunde versies van Exchange Server 2016 en 2019. Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te blijven ontvangen. Servers die niet over de vereiste Cumulative Update beschikken worden niet meer ondersteund en ontvangen ook geen patches meer. Vanwege de aanvallen heeft Microsoft nu ook voor deze versies updates beschikbaar gesteld. Afgelopen maandag ging het om Exchange Server 2019 CU6, CU5 en CU4 en Exchange Server 2016 CU16, CU15 en CU14. Gisteren verschenen voor meer niet meer ondersteunde versies patches, namelijk Exchange Server 2019 CU3, Exchange Server 2016 CU7, CU13 en CU12 en Exchange Server 2013 CU22 en CU21. Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist. bron: https://www.security.nl

F5 waarschuwt organisaties voor verschillende kritieke kwetsbaarheden in het BIG-IP-platform waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Vorig jaar werd een kritiek beveiligingslek in het platform nog op grote schaal door criminelen aangevallen. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. F5 kwam gisteren met een beveiligingsbulletin voor BIG-IP waarmee zeven kwetsbaarheden worden verholpen, waarvan er vier als kritiek zijn aangemerkt. Twee kwetsbaarheden vallen daarbij op, namelijk CVE-2021-22986 en CVE-2021-22987. CVE-2021-22986 betreft een beveiligingslek in de iControl REST-interface van BIG-IP en BIG-IQ waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het andere beveiligingslek bevindt zich in de Traffic Management User Interface (TMUI) van BIG-IP en heeft een impactscore van 9,9. Deze kwetsbaarheid is echter alleen door een geauthenticeerde aanvaller te misbruiken. Vanwege de ernst van de kwetsbaarheden adviseert F5 organisaties om de beveiligingsupdates zo snel mogelijk te installeren. De beveiligingslekken zijn verholpen in BIG-IP versies 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 en 11.6.5.3. Organisaties die van BIG-IQ gebruikmaken kunnen updaten naar versie 8.0.0, 7.1.0.3 en 7.0.0.2. bron: https://www.security.nl

Bij de aanval op de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) hebben aanvallers meer dan vijftig van de ruim duizend servers van de onderwijsinstellingen geïnfecteerd met malware, om op een later moment ransomware uit te rollen. Dat melden beide onderwijsinstellingen. De aanval werd echter in een vroegtijdig stadium opgemerkt door het Security Operations Centre (SOC), waarna direct maatregelen zijn genomen en forensisch onderzoek is gestart. De getroffen servers zijn inmiddels allemaal opgeschoond. Volgens de UvA en HvA zijn er vooralsnog geen aanwijzingen dat de aanvallers uit waren op data of persoonsgegevens. Omdat de aanvallers wel toegang hebben gehad tot een aantal systemen en de versleutelde wachtwoorden is alle gebruikers uit voorzorg gevraagd hun wachtwoord te wijzigen. Ruim 110.000 medewerkers en studenten hebben in anderhalve week hun wachtwoord gewijzigd. De komende weken worden de aanval en de aanpak van de HvA en de UvA geëvalueerd en vinden waar nodig aanvullende onderzoeken plaats. Na afronding van het onderzoek zullen de geleerde lessen en aanbevelingen openbaar worden gemaakt, in het bijzonder met andere hoger onderwijsinstellingen. Hoe de aanvallers binnen wisten te komen is nog niet bekendgemaakt. bron: https://www.security.nl

Een kwetsbaarheid in het gedistribueerde versiebeheersysteem Git maakt het mogelijk voor een aanvaller om code op systemen van gebruikers uit te voeren als die een malafide repository klonen. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken. Het is ook mogelijk om een remote Git-repository naar een lokale machine te kopiëren. Dit kan via het "git clone" commando. Een kwetsbaarheid in Git zorgt ervoor dat wanneer een programmeur een malafide remote repository wil klonen deze repository code op het lokale systeem van de programmeur kan uitvoeren. Het probleem speelt alleen op besturingssystemen met case-insensitive filesystems die symbolic links ondersteunen, zoals macOS en Windows. Gebruikers wordt aangeraden om te updaten naar een nieuwe versie. Het probleem is verholpen in Git v2.17.6, v2.18.5, v2.19.6, v2.20.5, v2.21.4, v2.22.5, v2.23.4, v2.24.4, v2.25.5, v2.26.3, v2.27.1, v2.28.1, v2.29.3 en v2.30.2. Wanneer dit niet mogelijk is wordt aangeraden om ondersteuning van symbolic links in Git en process filters uit te schakelen en geen onbetrouwbare repositories te klonen. bron: https://www.security.nl

Een internationaal hackerscollectief heeft door middel van een hard-coded wachtwoord toegang tot 150.000 beveiligingscamera's gekregen, onder andere in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven. Zo kon er worden meegekeken met internetbedrijf Cloudflare en autofabrikant Tesla, meldt Bloomberg. De hackers claimen ook toegang te hebben tot het videoarchief van de betreffende camera's. De beveiligingscamera's zijn van het bedrijf Verkada. Volgens Tillie Kottmann, een van de leden van het collectief, was een onbeveiligd intern Jenkins-ontwikkelsysteem van Verkada toegankelijk vanaf het internet. Het bevatte de inloggegevens van een account met "superadminrechten" op het Verkada-netwerk. Nadat er toegang tot het netwerk was verkregen kon het collectief meekijken met de camera's. Doordat de groep naar eigen zeggen roottoegang tot de camera's had was het daarvandaan ook mogelijk om toegang tot de netwerken van bepaalde Verkada-klanten te krijgen. Het collectief zegt verder informatie over duizenden Verkada-klanten te hebben gedownload, alsmede financiële cijfers van het bedrijf zelf. Verkada stelt in een reactie dat het alle interne beheerdersaccounts heeft uitgeschakeld om ongeautoriseerde toegang te voorkomen. Het bedrijf is nu bezig met een onderzoek naar de omvang van het incident. Nadat Verkada werd ingelicht door Bloomberg verloor het hackerscollectief, met de naam "APT 69420 Arson Cats", de toegang tot de camera's, aldus Kottmann. bron: https://www.security.nl

Microsoft is gestopt met de ondersteuning van Edge Legacy. De browser ontvangt vanaf nu geen beveiligingsupdates meer. Daarnaast zal Microsoft de browser volgende maand met de cumulatieve beveiligingsupdate voor Windows 10 van systemen verwijderen en vervangen door Chromium Edge. Als Chromium Edge al op het systeem aanwezig is zal Edge Legacy alleen van het systeem worden verwijderd. In aanloop naar de patchronde van volgende maand toont Edge Legacy nu een waarschuwing dat de browser niet meer wordt ondersteund en gebruikers de nieuwe versie van Edge kunnen downloaden. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft in totaal 89 kwetsbaarheden verholpen, waaronder twee zerodaylekken die actief werden aangevallen voordat de beveiligingsupdates beschikbaar waren. Het gaat om beveiligingslekken in Internet Explorer en Windows. De kwetsbaarheid in IE is ingezet tegen beveiligingsonderzoekers, zo maakte securitybedrijf ENKI begin februari bekend. Verschillende onderzoekers van ENKI ontvingen een MHTML-bestand, dat om toestemming vraagt voor het uitvoeren van JavaScript, om zo alle content te kunnen tonen. Wanneer dit wordt toegestaan downloadt het script een zeroday-exploit voor Internet Explorer. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, kan een aanvaller willekeurige code op het systeem uitvoeren. Naast het zerodaylek in Internet Explorer is ook een kwetsbaarheid in Windows actief aangevallen voor het uitkomen van de beveiligingsupdate. Via het beveiligingslek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. Microsoft kwam vorige week al met noodpatches voor vier actief aangevallen kwetsbaarheden in Exchange Server. Gisterenavond rolde het techbedrijf een update voor drie andere beveiligingslekken uit, waaronder twee die remote code execution mogelijk maken. De impact van deze beveiligingslekken,CVE-2021-26412 en CVE-2021-27078, zijn met een 9,1 beoordeeld. Verder verdient ook een kritiek beveiligingslek in Windows DNS Server de aandacht. Deze kwetsbaarheid (CVE-2021-26897) maakt het ook voor een aanvaller mogelijk om op afstand code uit te voeren en heeft een impactscore van 9,8. Een andere opvallende kwetsbaarheid bevindt zich in Windows Hyper-V. Dit lek, CVE-2021-26867, maakt remote code execution mogelijk wanneer er gebruik wordt gemaakt van het Plan-9 file system. De impact van de kwetsbaarheid is met een 9,9 beoordeeld. De beschikbaar gemaakte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Naar schatting 30.000 WordPress-sites lopen het risico om in handen van cybercriminelen te komen door een zerodaylek in een add-on voor de plug-in Elementor. De kwetsbaarheid wordt actief aangevallen en een beveiligingsupdate is nog niet beschikbaar. Via het beveiligingslek kan een aanvaller volledige controle over de website krijgen. Het beveiligingslek is aanwezig in The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken, meldt securitybedrijf Wordfence. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. Bij de nu waargenomen aanvallen voegen aanvallers hun eigen accounts als beheerder toe. De kwetsbaarheid werd gemeld door WPScan. Zolang er geen patch beschikbaar is worden details achterwege gehouden. Update De ontwikkelaar heeft inmiddels twee beveiligingsupdates uitgerold om de kwetsbaarheid te verhelpen. De eerste update bleek geen volledige oplossing te bieden, waarop een tweede patch verscheen. Gebruikers krijgen het advies om te updaten naar versie 4.1.7. bron: https://www.security.nl

Microsoft heeft de beveiligingsupdates voor vier kwetsbaarheden in Exchange die vorige week dinsdag verschenen ook beschikbaar gemaakt voor niet meer ondersteunde Exchange-servers. Dat laat het techbedrijf in de bijbehorende beveiligingsbulletins weten. Via de beveiligingslekken kan een aanvaller kwetsbare Exchange-servers op afstand overnemen. Er wordt inmiddels op zeer grote schaal misbruik van de kwetsbaarheden gemaakt en wereldwijd zijn naar schatting vele tienduizenden organisaties getroffen. De beveiligingslekken zijn aanwezig in Server 2013, 2016 en 2019. Exchange-servers worden echter vanaf een bepaald patchniveau door Microsoft ondersteund. Dit wordt aangegeven door middel van de geïnstalleerde Cumulative Update (CU). Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te ontvangen. Servers onder de betreffende Cumulative Update worden niet meer ondersteund. Vanwege de aanvallen heeft Microsoft nu voor deze versies ook updates beschikbaar gesteld. Het gaat onder andere om Exchange Server 2019 CU 6, CU 5 en CU 4 en Exchange Server 2016 CU 16, CU 15 en CU14. Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist. Kritiek Er is inmiddels ook kritiek op Microsoft gekomen, aangezien het techbedrijf begin januari al over de kwetsbaarheden was ingelicht. De bekende beveiligingsonderzoeker 'Orange Tsai' van securitybedrijf DEVCORE, die eerder de zeer kritieke en veel misbruikte kwetsbaarheid in Pulse Secure SSL VPN ontdekte, waarschuwde Microsoft begin januari en noemde het de gevaarlijkste remote code execution-kwetsbaarheid die hij ooit had ontdekt. Securitybedrijven Volexity en Dubex ontdekten misbruik van de kwetsbaarheden begin januari. De bedrijven waarschuwden Microsoft eind januari en begin februari. Uiteindelijk kwam Microsoft op 2 maart met beveiligingsupdates. Oorspronkelijk was Microsoft van plan om de updates vandaag, tijdens de geplande patchcyclus van maart, uit te rollen, maar besloot daar toch vanaf te zien en de patches een week eerder aan te bieden. bron: https://www.security.nl

Op internet zijn zo'n 100.000 Outlook Web Access (OWA)-servers te vinden die kwetsbaar zijn voor aanvallen omdat door Microsoft beschikbare beveiligingsupdates voor Exchange niet zijn geïnstalleerd en een aanzienlijk aantal is al besmet met malware, zo meldt internetbedrijf Netcraft op basis van eigen onderzoek. Via Outlook Web Access kan erop afstand toegang worden gekregen tot de mailboxes op Exchange-servers. Dit weekend detecteerde Netcraft meer dan 99.000 OWA-servers waarvan vaststaat dat ze kwetsbaar zijn. Daarnaast werden nog eens ruim 100.000 servers geteld die mogelijk risico lopen, maar waarvan de patchstatus niet met zekerheid kon worden vastgesteld. Via de kwetsbaarheden in Exchange kan een aanvaller op afstand toegang tot de mailserver krijgen. Volgens Netcraft is tenminste tien procent van alle gecontroleerde OWA-servers inmiddels besmet met webshells die als backdoor voor aanvallers dienen. Deze backdoors maken geen gebruik van willekeurige bestandsnamen en zijn zo door iedereen te raden, stelt Paul Mutton van Netcraft. Via de webshell krijgt een aanvaller toegang tot de server, ook al is de kwetsbaarheid in kwestie al verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kwam gisteren met een nieuwe waarschuwing waarin het alle organisaties oproept om de Exchange-kwetsbaarheden meteen te verhelpen, aangezien misbruik grootschalig en ongericht is. Ook de FBI adviseert organisaties om de beveiligingsupdates direct te installeren. bron: https://www.security.nl