Captain Kirk

De backdoor die in officiële updates van softwarebedrijf SolarWinds zat verborgen werd via een ander malware-exemplaar toegevoegd. Dat stellen onderzoekers van securitybedrijf CrowdStrike dat onderzoek doet naar de aanval op SolarWinds. Het was al bekend dat aanvallers in 2019 toegang hadden gekregen tot de build-systemen van SolarWinds. Zo konden de aanvallers updates voor het Orion Platform van SolarWinds van een backdoor voorzien. Deze backdoor wordt Sunburst genoemd. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop. CrowdStrike maakt nu melding van een ander malware-exemplaar genaamd Sunspot. Deze malware werd op de systemen van SolarWinds gebruikt om de Sunburst-backdoor aan de Orion-updates toe te voegen. Eenmaal actief monitort Sunspot of op het systeem MsBuild.exe actief is. Dit is een onderdeel van Microsoft Visual Studio, dat wordt gebruikt voor het ontwikkelen van software. Zodra de malware ziet dat MsBuild.exe inderdaad actief is, wordt vervolgens gekeken of het programma bezig is met het maken van de Orion-software. Wanneer dit het geval is zal de Sunspot-malware dit proces kapen en de Sunburst-backdoor injecteren. De malware kan de broncode van de software aanpassen voordat die door de compiler wordt gelezen. Volgens de onderzoekers van CrowdStrike hebben de ontwikkelaars van de Sunspot-malware zeer veel moeite gedaan om ervoor te zorgen dat hun code op de juiste wijze werd geïnjecteerd en niet opviel. Zo zijn er verschillende maatregelen getroffen om te voorkomen dat zogeheten 'build errors' de SolarWinds-ontwikkelaars op de aanwezigheid van de malware konden wijzen. Hoe de systemen van SolarWinds besmet raakten is nog altijd niet openbaar gemaakt. bron: https://www.security.nl

Ubiquiti heeft klanten gewaarschuwd voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf kregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. In een e-mail aan klanten zegt Ubiquiti geen aanwijzingen te hebben dat er toegang tot de databases met gebruikersgegevens is verkregen, maar kan dit ook niet uitsluiten. De data in kwestie bestaat uit naam, e-mailadres en een gesalt en gehasht wachtwoord van het gebruikersaccount. Wanneer klanten ook hun telefoonnummer en adresgegevens met Ubiquiti hebben gedeeld kunnen die mogelijk ook zijn gelekt. Uit voorzorg wordt klanten aangeraden hun wachtwoord te wijzigen. Verschillende klanten zijn kritisch over de e-mail, omdat die nauwelijks informatie bevat. Zo wordt niet gemeld om welke accounts het precies gaat, welke vormen van salting en hashing zijn toegepast en wat er precies met ongeautoriseerde toegang wordt bedoeld. bron: https://www.security.nl

Adverteerders op YouTube konden privéfoto's van gebruikers frame voor frame stelen, zo ontdekte beveiligingsonderzoeker David Schütz. Google heeft het probleem inmiddels verholpen en de onderzoeker 5.000 dollar voor zijn bugmelding betaald. Google Ads biedt een feature voor advertenties die op YouTube worden getoond genaamd "Moments". Daarmee kan de adverteerder een gedeelte in zijn advertentievideo markeren, bijvoorbeeld wanneer een merk of logo verschijnt en hoe de kijker hierop reageert. Vervolgens wordt er een thumbnail van het moment gemaakt en in de Google Ads-omgeving van de adverteerder weergegeven. Schütz ontdekte dat hij het video-ID van de advertentievideo kon veranderen in het ID van een privévideo die niet openbaar is. Vervolgens kreeg hij in zijn advertentieomgeving de thumbnail van de privévideo te zien. Door middel van een script kon hij op deze manier frame voor frame de privévideo "stelen". Voorwaarde was wel dat een aanvaller het video-ID van de privévideo kende. Daarnaast miste de video geluid en ging het om een lage resolutie. De onderzoeker waarschuwde Google eind 2019. Begin 2020 werd het probleem tijdelijk door Google verholpen door de Moments-feature uit te schakelen. De feature is weer door Google ingeschakeld, maar controleert nu of de adverteerder wel toegang tot de video heeft. Vandaag maakte Schütz de details van de kwetsbaarheid bekend. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om de private key van Google Titan-beveiligingssleutels te achterhalen en zo het apparaat te klonen. Een aanvaller die al over de inloggegevens van een slachtoffer beschikt kan vervolgens met de gekloonde sleutel op accounts van het slachtoffer inloggen. Het probleem speelt ook bij andere fysieke beveiligingssleutels. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. De firmware die de cryptografische operaties uitvoert wordt tijdens de productie in een beveiligde hardwarechip verwerkt. Deze chip is zo ontwikkeld dat die fysieke aanvallen moet weerstaan waarbij wordt geprobeerd om de firmware en de geheime sleutels te achterhalen. Deze beveiligde chips worden vervolgens geleverd aan de productielijn die de fysieke beveiligingssleutel maakt. Onderzoekers van NinjaLab (pdf) hebben aangetoond hoe ze door middel van een side-channel-aanval die gebruikmaakt van elektromagnetische golven, aangeduid als CVE-2021-3011, de ECDSA private key van de Google Titan-beveiligingssleutel kunnen achterhalen. Hiervoor moet een aanvaller wel zo'n vier uur fysieke toegang tot de sleutel hebben. Daarnaast moet de chip van de sleutel uit de behuizing worden gehaald om die aan te kunnen vallen, waardoor de behuizing beschadigd raakt. Ondanks hun bevindingen stellen de onderzoekers dat het nog altijd veiliger is om de Google Titan-beveiligingssleutel of andere kwetsbare FIDO U2F-sleutels te gebruiken bij het inloggen op applicaties dan er geen gebruik van te maken. Wel laat het onderzoek volgens hen zien dat de Google Titan-beveiligingssleutel en andere kwetsbare sleutels door een aanvaller die genoeg moeite doet zijn te klonen. Gebruikers die dit risico niet willen lopen wordt aangeraden om over te stappen op een andere beveiligingssleutel waarin nog geen kwetsbaarheden zijn aangetoond. Kwetsbare producten Google Titan Security Key (alle versies) Yubico Yubikey Neo Feitian FIDO NFC USB-A / K9 Feitian MultiPass FIDO / K13 Feitian ePass FIDO USB-C / K21 Feitian FIDO NFC USB-C / K40 NXP J3D081_M59_DF en varianten NXP J3A081 en varianten NXP J2E081_M64 en varianten NXP J3D145_M59 en varianten NXP J3D081_M59 en varianten NXP J3E145_M64 en varianten NXP J3E081_M64_DF en varianten bron: https://www.security.nl

De volgende versie van Firefox ondersteunt een nieuw protocol dat de handshake voor het opzetten van een beveiligde verbinding met websites moet beschermen. Dat heeft Mozilla in een blogposting aangekondigd. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Server Name Indication (SNI) is een TLS-extensie waarbij de client aan het begin van het opzetten van de beveiligde verbinding laat weten welke host hij probeert te bezoeken. Dit zorgt ervoor dat een server meerdere https-sites op hetzelfde adres kan hosten, zonder dat al die websites hetzelfde certificaat gebruiken. De client geeft namelijk aan welke website hij wil bezoeken. Zonder SNI zou de server niet weten welk certificaat hij aan de client moet aanbieden. Een probleem is dat bijvoorbeeld een internetprovider het onversleutelde bericht met daarin de SNI kan onderscheppen en zo kan zien naar welke website de gebruiker wil gaan. Partijen die internetverkeer willen censureren maken hiervan gebruik om bepaalde websites te blokkeren. Om dit te voorkomen werd Encrypted Server Name Indication (ESNI) bedacht, een uitbreiding van TLS 1.3. ESNI voorkomt dat een provider kan zien welke website de gebruiker wil bezoeken. De server publiceert hiervoor een public key in een dns-record, die voor het opzetten van de verbinding door de client wordt opgehaald. De client vervangt de SNI-extensie met een Encrypted SNI-extensie. Dit is het originele veld, alleen dan versleuteld met een symmetrische sleutel afgeleid van de eerder opgehaalde public key van de server. De server, die de private key bezit, kan de symmetrische encryptiesleutel afleiden, en zo de Encrypted SNI-extensie ontsleutelen. Aangezien alleen de client en de server waar verbinding mee wordt gemaakt de encryptiesleutel kunnen afleiden, is de Encrypted SNI niet door derde partijen te ontsleutelen of benaderen. Uit nader onderzoek blijkt dat ESNI in bepaalde scenario's geen volledige bescherming biedt en er praktische problemen zijn bij de uitrol ervan. Om de tekortkomingen van ESNI te verhelpen is besloten om niet alleen de SNI te versleutelen maar de volledige handshake en zo de metadata te beschermen. Daarom is ook de naam veranderd in ECH (Encrypted Client Hello). Net als ESNI maakt ECH gebruik van een public key die via dns wordt verspreid. Waar ESNI hiervoor een TXT-record gebruikt, doet ECH dit via een HTTPSSVC-record. Daarnaast maakt ECH gebruik van twee Client Hello messages: de ClientHelloOuter, die onversleuteld wordt verstuurd, en de ClientHelloInner, die versleuteld is en als een extensie van de ClientHelloOuter wordt verstuurd. De server zet de handshake op met één van deze ClientHellos. Wanneer de decryptie succesvol is gaat de server verder met de "Inner" Client Hello als basis voor de TLS-verbinding. Dit moet de privacy van gebruikers verder beschermen, aldus Mozilla. In de volgende versie van Firefox zal Mozilla ESNI vervangen door ECH. Gebruikers krijgen het advies om te wachten totdat ECH standaard in de browser wordt ingeschakeld, maar voor wie niet wil wachten is dit al in de Firefox-opties in te stellen. Daarnaast moet de server waarmee verbinding wordt gemaakt ECH ondersteunen. Volgens Mozilla is ECH een spannende en robuuste evolutie van ESNI en zal Firefox het protocol binnenkort gaan ondersteunen. bron: https://www.security.nl

Het is precies drie jaar geleden dat onderzoekers kwetsbaarheden in moderne processors demonstreerden genaamd Spectre en Meltdown. Fabrikanten en softwareontwikkelaars kwamen vervolgens met allerlei maatregelen om gebruikers te beschermen. De impact van deze mitigatiemaatregelen op de prestaties is drie jaar later nog altijd merkbaar. Dat blijkt uit onderzoek van Phoronix. Spectre en Meltdown zijn zogeheten "speculative execution side channel" aanvallen, die misbruik maken van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. De beschermingsmaatregelen die werden genomen hadden dan ook impact op de prestaties van de processors. Op de derde verjaardag van Spectre en Meltdown keek Phoronix hoe de stand van zaken is bij zowel oudere als nieuwere processoren. De test kijkt onder andere naar de impact op Mozilla Firefox, Google Chrome, het compileren van code, versleuteling en verschillende andere zaken. Dan blijkt dat bij met name oudere processoren, zoals de Core i7 7700K en 8700K, de impact nog altijd merkbaar is. Die moeten door de genomen maatregelen gemiddeld een kwart van de prestaties inleveren. Bij nieuwere processors, die over hardwarematige bescherming beschikken, is de impact minder groot. Zo moet een Intel Core i9 10900K vijf procent inleveren, gevolgd door de Ryzen 9 5950X die door de mitigaties zo'n tien procent aan prestaties verliest. In 2018 werden verschillende malware-exemplaren ontdekt die misbruik van de kwetsbaarheden maakten. Het ging hier in alle gevallen om proof-of-concepts bedoeld als demonstratie. Virus Bulletin meldde in hetzelfde jaar nog dat er geen actieve aanvallen met echte malware waren waargenomen. bron: https://www.security.nl

De Belgische overheid heeft het UBO-register in het land tijdelijk offline gehaald wegens een beveiligingslek. Via de kwetsbaarheid kon eenvoudig het rijksregisternummer van Belgische burgers worden achterhaald, vergelijkbaar met het Nederlandse burgerservicenummer. UBO staat voor Ultimate Beneficial Owner en betreft de eigenaar of eigenaren van een onderneming of de mensen die zeggenschap over een organisatie hebben. Sinds 27 september vorig jaar moeten organisaties UBO's in het UBO-register inschrijven. Het register volgt uit de Europese vijfde anti-witwasrichtlijn en moet financieel-economische criminaliteit tegengaan, zoals witwassen van geld, belastingontduiking, fraude en financiering van terrorisme. In het geval van het Belgische UBO-register bleek het via een API mogelijk om, na opgave van naam, voornaam en geboortedatum, ook het rijksregisternummer van de persoon in kwestie te zien. Het probleem werd door digitaal consultant Koen Van den Wijngaert op Twitter gemeld. Hij stelt dat het probleem door meerdere mensen bij de Belgische overheid was gerapporteerd, maar er geen actie werd ondernomen. "Het is echt nergens voor nodig dat er rijksregisternummers worden vrijgegeven”, vertelt Van den Wijngaert aan De Morgen. "Er lijkt ook bij te staan of iemand minderjarig is. Sowieso is het heel makkelijk om identiteitsfraude te plegen als je het rijksregisternummer van iemand te pakken hebt." "Er is een probleem met één van de toepassingen van de FOD, namelijk die voor de aanleg van een UBO-register. Wie als gemandateerde van een vennootschap, vzw of stichting optreedt, kon door het opgeven van de naam, voornaam en geboortedatum automatisch ook het rijksregisternummer zien", aldus een woordvoerder van het Belgische ministerie van Financiën tegenover Het Nieuwsblad. Naar aanleiding van het beveiligingsprobleem heeft het ministerie het UBO-register nu tijdelijk offline gehaald. "Door een IT-onderhoud, is het UBO-Register tijdelijk niet beschikbaar. Onze diensten zullen er alles aan doen om de situatie zo snel mogelijk te herstellen", zo laat de website van het register weten. Gisteren meldde Privacy First dat het een rechtszaak is gestart tegen de Staat over het Nederlandse UBO-register. Dat zou in strijd zijn met het grondrecht op privacy en de bescherming van persoonsgegevens. bron: https://www.security.nl

Google heeft een beveiligingsupdate voor Chrome 87 uitgebracht die meerdere kwetsbaarheden in de browser verhelpt. De impact van de beveiligingslekken is door het techbedrijf als 'high' bestempeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn aanwezig in verschillende onderdelen van de browser, waaronder het automatisch invullen, drag & drop, betalingen, safe browsing en de code voor het afspelen van media en audio. Hierdoor kan een aanvaller een zogeheten 'use-after-free' veroorzaken en willekeurige code binnen de browser uitvoeren. De beveiligingslekken zijn op zichzelf niet genoeg om het onderliggende systeem over te nemen. Verdere details zijn niet door Google bekendgemaakt. Vier van de kwetsbaarheden werden ontdekt door beveiligingsonderzoeker Guang Gong van securitybedrijf 360 Alpha Lab. Google betaalt onderzoekers voor het melden van kwetsbaarheden. Voor acht van de gemelde en nu verholpen beveiligingslekken betaalde het techbedrijf in totaal een beloning van 111.000 dollar. Updaten naar Chrome 87.0.4280.141 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Mozilla gaat in een toekomstige versie van Firefox het gebruik van backspace als navigatieknop uitschakelen. Op deze manier moet het verlies van data worden voorkomen, aldus de browserontwikkelaar. Backspace is binnen Firefox een snelkoppeling om naar een vorige pagina te navigeren. Dit is echter afhankelijk van waar de muiscursor zich bevindt. Wanneer de cursor in een tekstveld staat zal backspace alleen het linker karakter van de cursor verwijderen. Bevindt de cursor zich ergens anders op de pagina, dan zal backspace hetzelfde effect hebben als de terugknop en wordt de vorige pagina geladen. Google besloot het gebruik van backspace al jaren geleden uit te schakelen om zo dataverlies te voorkomen. In plaats daarvan kan via Alt en de linker pijltoets de vorige pagina worden opgevraagd. Zeven jaar geleden werd Mozilla al gevraagd om backspace als navigatieknop binnen de browser standaard uit te schakelen, aangezien het voor dataverlies kan zorgen wanneer gebruikers per ongeluk op backspace drukken terwijl ze bezig zijn met het invullen van webformulieren. Uit cijfers van Mozilla blijkt dat nog altijd veertig miljoen Firefoxgebruikers per maand via backspace naar een vorige pagina navigeren. Of dit bewust of per ongeluk is, is echter onbekend. De functie van backspace is nu al via de configuratieopties van Firefox aan te passen, maar zal met de release van Firefox 86 op 23 februari bij alle gebruikers als navigatieknop worden uitgeschakeld. De maatregel is al in de testversie van Firefox 86 doorgevoerd. Gebruikers kunnen backspace wel weer via de configuratieopties inschakelen. bron: https://www.security.nl

De aanvallers achter de wereldwijde supply-chain-aanval via de software van SolarWinds hebben toegang tot de mailserver van het Amerikaanse ministerie van Justitie gehad. Dat heeft het ministerie in een verklaring bekendgemaakt. Volgens het ministerie zijn meerdere federale overheidsinstanties en technologieleveranciers van de Amerikaanse overheid slachtoffer geworden. In het geval van het ministerie van Justitie kregen de aanvallers toegang tot de Microsoft Office 365-mailomgeving. Uit voorlopig onderzoek blijkt dat de aanvallers zo'n drie procent van de Office 365-mailboxes hebben gecompromitteerd. Er zijn op dit moment geen aanwijzingen dat de aanvallers ook toegang tot geclassificeerde systemen hebben gekregen. Verdere informatie over het incident is niet gegeven. De FBI, het Cybersecurity and Infrastructure Security Agency (CISA) en het Office of the Director of National Intelligence (ODNI) vermoeden dat Rusland achter de aanval zit, maar hebben hiervoor geen bewijs gegeven. Naast het ministerie van Justitie wisten de aanvallers ook verschillende andere ministeries te compromitteren, waaronder Homeland Security, Financiën, Handel en Volksgezondheid. bron: https://www.security.nl

Aanvallers maken actief misbruik van een recent ontdekte backdoor in apparatuur van netwerkfabrikant Zyxel, zo meldt securitybedrijf GreyNoise via Twitter. Twee weken geleden bleek dat de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX een ongedocumenteerd gebruikersaccount bevatten. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in de firmware van de Zyxel-apparaten dit ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Een aanvaller zou met het account via de webinterface en SSH op het apparaat kunnen inloggen. Aanvallers zoeken nu actief naar kwetsbare Zyxel-apparaten en proberen daar vervolgens op in te loggen, aldus GreyNoise. Via openbare data van Project Sonar ontdekte Teusink drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien is onbekend. Organisaties wordt aangeraden te updaten naar firmware 4.60 patch 1 waarin de kwetsbaarheid is verholpen. Update Het Internet Storm Center laat ook weten dat aanvallers naar kwetsbare Zyxel-apparaten met de backdoor zoeken.

Vorig jaar is een recordaantal kwetsbaarheden aan de CVE-database toegevoegd, zo blijkt uit cijfers die Security.NL analyseerde. Aan meer dan 18.300 kwetsbaarheden werd een CVE-nummer toegekend. Duizend meer dan in 2019 en voor het eerst werd de grens van de 18.000 lekken gepasseerd. In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen. Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden. Een groot aantal van de kwetsbaarheden betreft buffer overflows, SQL-injection, use-after-free, cross-site scripting en command injection, maar ook zaken als hardcoded wachtwoorden en het plaintext opslaan en versturen van inloggegevens en andere data komt nog geregeld voor. De CVE-database is niet allesomvattend, aangezien niet voor alle kwetsbaarheden een CVE-nummer wordt aangevraagd of uitgegeven. Daarnaast is er ook kritiek op het CVE-systeem. Zo werden onlangs nog voor één probleem meerdere CVE-nummers uitgegeven. bron: https://www.security.nl

Het is een jaar geleden dat Microsoft de ondersteuning van Windows 7 stopte, toch draait het besturingssysteem nog altijd op tientallen miljoenen computers wereldwijd. In Nederland zou het om meer dan een half miljoen machines gaan die mogelijk al een jaar zonder beveiligingsupdates zitten. Organisaties die nog altijd van Windows 7 of Server 2008 R2 gebruikmaken kunnen tegen betaling tot januari 2023 patches blijven ontvangen. Voor eindgebruikers met Windows 7 is deze optie niet beschikbaar, wat inhoudt dat zij al een jaar geen beveiligingsupdates meer voor hun systeem hebben ontvangen. Daarnaast zijn er ook organisaties en bedrijven die ervoor kiezen om geen onderhoudscontract af te sluiten en zo met kwetsbare computers zitten. Volgens cijfers van marktvorser StatCounter draait 18 procent van alle Windows-computers nog op Windows 7. Cijfers van de Amerikaanse overheid, die statistieken over bezoekers van overheidssites bijhoudt, laten zien dat bijna 9 procent van de Windows-gebruikers nog met Windows 7 werkt. Volgens Microsoft zijn er wereldwijd 1,5 miljard Windows-gebruikers. Windowsvolger Ed Bott denkt dat het werkelijke aantal waarschijnlijk lager is, maar stelt dat er nog zeker 100 miljoen systemen te vinden zijn waarop Windows 7 draait. Het aantal zou ten opzichte van een jaar geleden wel met meer dan 100 miljoen zijn gedaald. Hoeveel Windows-computers er precies in Nederland zijn is onbekend, maar lange tijd werd een getal van 10 miljoen genoemd. StatCounter stelt dat van de Windows-machines in Nederland 6,6 procent op Windows 7 draait. Dat zou met een totale populatie van 10 miljoen pc's zo'n 660.000 Windows 7-machines inhouden. bron: https://www.security.nl

Ik ben zelf ooit begonnen met Studio V1..ja nu niet denken, zo die man is oud 😄. Toch op een bepaald moment overgestapt op Powerstudio omdat Studio en ik niet goed meer samen gingen. Ik vind voor mij zelf PowerStudio iets prettiger werken. Inmijn omgeving waren er overigens meer die zijn overgestapt wegens problemen met Pinnacle. Er zijn heel veel goede alternatieve die net zoveel en soms zelf iets meer kunnen als Studio en vaak gratis zijn. Je kunt altijd een gratis versie installeren om eens uit te proberen. Dus ik zou het advies van Kweezie Wabbit nog een keer overwegen. En ansers kun je het misschien hier eens proberen of zij bekend zijn met het probleem en kunnen helpen met oplossen: Pinnacle Studio Forum

Securitybedrijf CrowdStrike is doelwit van een aanval geworden die plaatsvond via een gecompromitteerde Microsoft-reseller, zo heeft het bedrijf zelf bekendgemaakt. CrowdStrike werd op 15 december door Microsoft gewaarschuwd dat aanvallers toegang hadden gekregen tot het Azure-account van een reseller die Microsoft Office-licenties aan het securitybedrijf levert. Via het account, waarmee de Office-licenties van CrowdStrike worden beheerd, werden verdachte calls naar de Microsoft-cloud gemaakt. Aanvallers probeerden toegang tot de e-mail van CrowdStrike te krijgen. Volgens het securitybedrijf mislukte deze aanval en wordt er geen gebruikgemaakt van Office 365-e-mail. Aan de hand van de informatie die Microsoft deelde werd er vervolgens een onderzoek ingesteld. Volgens CrowdStrike blijkt hieruit dat de aanval geen gevolgen had. Twee anonieme bronnen laten aan persbureau Reuters weten dat de aanval is uitgevoerd door dezelfde groep die verantwoordelijk is voor de aanval op softwarebedrijf SolarWinds. Verdere informatie waaruit dit zou moeten blijken wordt echter niet gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het Orion Platform van softwarebedrijf SolarWinds is door aanvallers misbruikt voor het installeren van een backdoor bij organisaties. Deze backdoor verschilt van de backdoor die in updates voor het Orion Platform werd verborgen. SolarWinds heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. De backdoor die via een supply-chain-aanval onder 18.000 klanten van SolarWinds werd verspreid kreeg de naam Sunburst. Tijdens het onderzoek naar deze aanval ontdekte Microsoft een tweede backdoor genaamd Supernova, waarmee aanvallers ook toegang tot besmette machines kregen. Deze backdoor staat los van de Sunburst-backdoor en is volgens Microsoft vermoedelijk door een andere groep aanvallers gebruikt. Details over de kwetsbaarheid, wat de exacte aanvalsvector is en hoelang aanvallers hier misbruik van hebben gemaakt zijn niet door SolarWinds gegeven. Alle ondersteunde versies van het Orion Platform zijn echter kwetsbaar. Organisaties wordt aangeraden om te updaten naar Orion Platform versie 2019.4 HF 6 of 2020.2.1 HF 2 waarin het probleem is verholpen. Voor organisaties die op dit moment niet kunnen upgraden naar de laatste versie heeft SolarWinds via de klantenportaal een script beschikbaar gesteld dat organisaties moet beschermen. bron: https://www.security.nl

Amnesty en EFF steunen Facebook in rechtszaak tegen NSO Group Na allerlei grote techbedrijven hebben ook Amnesty International, de Amerikaanse burgerrechtenbeweging EFF en andere mensenrechtenorganisaties zich achter Facebook geschaard in de zaak tegen NSO Group. De organisaties stuurden een "Amicus Brief" naar de rechter in de zaak. Facebook startte vorig jaar een rechtszaak tegen NSO Group omdat het bedrijf een kwetsbaarheid in WhatsApp zou hebben gebruikt om 1400 gebruikers van de chatdienst met spyware te infecteren. Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen. Een federale Amerikaanse rechtbank gaf toestemming om de zaak door te laten gaan, maar NSO Group wil die beslissing terugdraaien. Het bedrijf heeft de rechter om immuniteit gevraagd. Het wil daarbij meeliften op "foreign sovereign immunity", dat ervoor zorgt dat buitenlandse overheden in bepaalde gevallen niet in de VS kunnen worden aangeklaagd. Eerder besloten Cisco, GitHub, Google, LinkedIn, Microsoft, VMWare en de Internet Association al een brief naar de rechter te sturen waarin ze opriepen om NSO Group geen immuniteit te verlenen. Nu hebben Access Now, Amnesty International, de EFF, Reporters Without Borders en Internet Freedom Foundation hetzelfde gedaan, meldt Bloomberg. Volgens de organisaties is betrokkenheid van bedrijven bij misbruik van mensenrechten een groot en wijdverbreid probleem en moet de rechter niet toestaan dat bedrijven zoals NSO Group hun verantwoordelijkheid kunnen ontlopen voor het faciliteren van mensenrechtenschendingen door buitenlandse overheden. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP waren kwetsbaar door een hardcoded wachtwoord. Ook hadden aanvallers door middel van command injection toegang tot kwetsbare apparaten kunnen krijgen. Dat heeft QNAP vandaag bekendgemaakt. De beveiligingslekken werden eerder dit jaar verholpen, maar bij de release notes destijds werd er geen melding van gemaakt. Met QES 2.1.1 Build 20200515, het besturingssysteem dat op de NAS-systemen draait, is het probleem met het hardcoded wachtwoord verholpen. Deze versie verscheen op 22 mei van dit jaar. Daarnaast bleek QES ook kwetsbaar te zijn voor command injection, waardoor aanvallers willekeurige commando's op het NAS-systeem hadden kunnen uitvoeren. Dit beveiligingslek werd in oktober via QES 2.1.1 Build 20201006 opgelost. De impact van beide kwetsbaarheden is door QNAP als "high" bestempeld. Gebruikers wordt geadviseerd om de laatste versie van de firmware te installeren. bron: https://www.security.nl

Netwerkfabrikant Zyxel heeft een kritieke kwetsbaarheid in de eigen apparatuur verholpen die ontstond door een ongedocumenteerd gebruikersaccount met een niet te wijzigen wachtwoord. Met het account hadden aanvallers via de webinterface en SSH op Zyxel-apparaten kunnen inloggen. Het beveiligingslek was aanwezig in de firmware voor de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX met versienummer 4.60. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in deze firmware het ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Het gebruikersaccount was niet zichtbaar voor gebruikers en ook bleek het wachtwoord niet te kunnen worden gewijzigd. In een eerdere versie van de firmware was het gebruikersaccount wel aanwezig, maar ontbrak een wachtwoord. Volgens Teusink lijkt het erop dat de kwetsbaarheid in versie 4.60 van de firmware is geïntroduceerd. Via openbare data van Project Sonar ontdekte de onderzoeker drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien laat de onderzoeker niet weten. Eye waarschuwde Zyxel op 29 november van dit jaar, waarop de kwetsbare firmware op 9 december door de netwerkfabrikant werd teruggetrokken. Op 15 december verscheen firmware 4.60 patch 1 waarin de kwetsbaarheid (CVE-2020-29583) is verholpen. Gebruikers wordt aangeraden de laatste versie te installeren. bron: https://www.security.nl

Cisco, GitHub, Google, LinkedIn, Microsoft, VMWare en de Internet Association hebben zicht achter Facebook geschaard in een rechtszaak tegen de NSO Group. Facebook spande een rechtszaak aan tegen de NSO Group wegens het aanbieden van een exploit en spyware waarmee 1400 WhatsApp-gebruikers werden geïnfecteerd. NSO Group is de ontwikkelaar van de Pegasus-spyware. Via de spyware is het mogelijk om via de telefoonmicrofoon de omgeving van het slachtoffer af te luisteren, audio van versleutelde telefoongesprekken op te nemen, foto's via de camera te maken, de locatie van het toestel te achterhalen en toegang tot opgeslagen wachtwoorden te krijgen. Het bedrijf wordt in verband gebracht met de ontwikkeling van meerdere zeroday-exploits. Zo werden deze zomer nog tientallen journalisten en redacteuren van Al Jazeera via een zerodaylek in Apple iMessage gecompromitteerd. Volgens onderzoekers van Citizen Lab is de exploit ontwikkeld door de NSO Group. Het bedrijf heeft in de rechtszaak door Facebook om immuniteit gevraagd. Het wil daarbij meeliften op de "foreign sovereign immunity", die ervoor zorgt dat buitenlandse overheden in bepaalde gevallen niet in de VS kunnen worden aangeklaagd. De techbedrijven stuurden een 'amicus curiae brief' naar een Amerikaanse rechtbank waarin het oproept om de NSO Group geen immuniteit te verlenen. Amicus curiae, wat staat voor 'vrienden van de rechtbank', betreft organisaties en personen die geen partij zijn in een zaak, maar gevraagd of ongevraagd hun mening of advies over een zaak aan de rechtbank geven. Wanneer de NSO Group niet terecht hoeft te staan zou het de cybersurveillance-industrie aanmoedigen om, in strijd met Amerikaanse wetgeving, kwetsbaarheden en exploits te blijven ontwikkelen wat uiteindelijk voor meer aanvallen en schade zorgt, aldus de techbedrijven. "Privébedrijven moeten aansprakelijk gehouden kunnen worden wanneer ze hun cybersurveillancetools in strijd met Amerikaanse wetgeving gebruiken, ongeacht wie hun klanten zijn", aldus de conclusie van de brief (pdf). Microsoft Tom Burt, Microsofts Corporate Vice President, Customer Security & Trust, haalt in een blogposting hard uit naar de NSO Group. Hij noemt het bedrijf een stel 'cyberhuurlingen' die 'cyberwapens' ontwikkelen waarmee overheden op de systemen van mensen kunnen inbreken. Wapens waar onschuldige mensen en bedrijven slachtoffer van worden, aldus Burt. De Microsoft-vicepresident stelt dat bedrijven zoals NSO Group de mensenrechten bedreigen. Dit soort bedrijven moeten dan ook aansprakelijk gehouden kunnen worden wanneer ze hun cybersurveillancetools gebruiken om de wet te overtreden, of toestaan dat deze tools hiervoor worden gebruikt. Daarbij zou het niet mogen uitmaken wie de klanten van de NSO Group zijn, besluit Burt. bron: https://www.security.nl

Bij een internationale actie van politiediensten is vpn-dienst Safe-Inet uit de lucht gehaald. Volgens de autoriteiten maakten criminelen gebruik van het vpn-netwerk. Bij de operatie zijn in Duitsland, Nederland, Zwitserland, Frankrijk en de Verenigde Staten servers in beslag genomen en uitgeschakeld. Criminelen achter de BitPaymer- en Sodinokibi-ransomware maakten gebruik van de vpn-dienst, die al tien jaar operationeel was, zo stelt de politie. "Deze vpn-dienst verkocht z’n diensten tegen hoge bedragen aan de criminele onderwereld. Met anonieme vpn-verbindingen van wel vijf lagen zette het zichzelf in de markt als een van de best beschikbare opties om onderschepping door de autoriteiten te vermijden." Verder stelt de politie dat er wereldwijd zo'n 250 bedrijven zijn geïdentificeerd die met behulp van deze vpn-dienst door criminelen werden bespioneerd en het risico liepen om door ransomware te worden geïnfecteerd. De verschillende opsporingsdiensten waarschuwden vervolgens deze bedrijven, zodat die maatregelen konden nemen tegen een aanval. Bij "Operation Nova" waren de Nationale Politie, Europol, de FBI, de Franse Direction Centrale de la Police Judiciaire, de Zwitserse Bundesamt für Polizei en de Polizeipräsidium Reutlingen uit Duitsland betrokken. Europol laat weten dat er meerdere onderzoeken in verschillende landen lopen om gebruikers van Safe-Inet te identificeren en te vervolgen. bron: https://www.security.nl

Microsoft, McAfee, Citrix en verschillende andere techbedrijven en organisaties zijn samen de Ransomware Task Force gelanceerd, die slachtoffers van ransomware moet bijstaan. Zo zal de taskforce een framework gaan opzetten met maatregelen en acties die organisaties kunnen nemen. Ook zal de RTF bestaande oplossingen gaan beoordelen, tekortkomingen bij de huidige aanpak in kaart brengen en een roadmap met concrete doelen en mijlpijlen voor beleidsmakers opstellen. Tevens zegt de RTF dat het papers zal publiceren en met stakeholders in overleg gaat over gevalideerde oplossingen voor de aanpak van ransomware. De website van de Ransomware Task Force wordt volgende maand gelanceerd. McAfee was ook betrokken bij de lancering van NoMoreRansom.org. Een website die mede met de Nederlandse politie, Europol en Kaspersky in 2016 werd gestart en slachtoffers van ransomware helpt met informatie en decryptietools voor het ontsleutelen van bestanden. bron: https://www.security.nl

Zowel Cisco als VMware maken gebruik van het SolarWinds Orion Platform en hebben updates voor de software geïnstalleerd die een backdoor bleken te bevatten. Dat hebben beide bedrijven bekendgemaakt. Updates voor het platform werden vanaf maart dit jaar door aanvallers voorzien van een backdoor. Zo'n 18.000 klanten van SolarWinds installeerden de besmette updates, waaronder Cisco en VMware. "We hebben de getroffen software in een klein aantal labomgevingen en een beperkt aantal endpoints van medewerkers aangetroffen en verwijderd", aldus Cisco. Het netwerkbedrijf voegt toe dat op dit moment er geen gevolgen bekend zijn voor de eigen producten die het aanbiedt. Ook zijn er geen aanwijzingen dat de aanvallers toegang tot klantgegevens hebben gekregen. VMware laat weten dat de SolarWinds-backdoor ook in de eigen omgeving is aangetroffen. Er zijn echter geen sporen van verder misbruik gevonden. Securitybedrijf FireEye liet weten dat de aanvallers bij zo'n vijftig organisaties en bedrijven via de backdoor aanvullende malware hebben geïnstalleerd. Daarnaast zegt VMware dat het geen meldingen heeft ontvangen over een combinatie van een zerodaylek in VMware Workspace One Acces en de SolarWinds-backdoor. De NSA waarschuwde onlangs voor een kwetsbaarheid in de VMware-software die actief werd aangevallen voordat een beveiligingsupdate beschikbaar was. Workspace One Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. De NSA ontdekte een kwetsbaarheid (CVE-2020-4006) in de software en waarschuwde VMware. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Om de aanval uit te voeren moet een aanvaller wel over geldige inloggegevens beschikken. Die zouden kunnen worden verkregen door systemen binnen de organisatie via de SolarWinds-backdoor te compromitteren. VMware heeft naar eigen zeggen geen meldingen gekregen dat de backdoor en kwetsbaarheid in combinatie met elkaar zijn gebruikt. bron: https://www.security.nl

Bijna 85 procent van de eindgebruikers die met Windows 10 werkt logt zonder wachtwoord in. In plaats daarvan wordt er gebruik gemaakt van pincodes, biometrische authenticatie en beveiligingssleutels, die onderdeel zijn van het inloggen via Windows Hello. Dat heeft Alex Simons corporate vicepresident van het Microsoft Identity Program Management, in een blogposting bekendgemaakt. Volgen Simons logt inmiddels 84,7 procent van de eindgebruikers op Windows 10 in via Windows Hello. Vorig jaar was dat nog 69,4 procent. Het lijkt een ongekend hoog percentage, maar op Twitter stelt Simons dat de cijfers correct zijn en Microsoft al vier jaar bezig is om het gebruik van wachtwoorden uit te faseren, op weg naar een "wachtwoordloze toekomst". Bij het inloggen via een pincode maakt Windows Hello gebruik van de Trusted Platform Module (TPM) van de computer. Een aanvaller die op het account van de gebruiker wil inloggen moet dan ook over de computer en pincode beschikken. Naast eindgebruikers zit ook het zakelijke gebruik van Windows Hello in de lift. Zo is het inloggen op Azure Active Directory door middel van Windows Hello for Business, de Microsoft Authenticator en FIDO2-beveiligingssleutels met vijftig procent toegenomen. Ook zijn er meer dan 150 miljoen gebruikers voor Azure Active Directory en Microsoft-accounts die geen gebruik van een wachtwoord maken. bron: https://www.security.nl

De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten. Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. De verkeerd geconfigureerde API-key was sinds 9 augustus 2018 actief. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld. Ledger maakt gebruik van een derde partij voor het versturen en analyseren van transactie- en marketingmails aan klanten die producten op Ledger.com hebben aangeschaft of zich voor de nieuwsbrief hebben aangemeld. De gestolen gebruikersgegevens werden in eerste instantie verkocht, voordat ze deze maand openbaar werden gemaakt op internet, zo stelt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. De één miljoen e-mailadressen zijn inmiddels toegevoegd aan de zoekmachine, waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend. Update Op het forum waar de data wordt aangeboden staat dat het om de adresgegevens van 272.000 Ledger-gebruikers gaat en 1,3 miljoen e-mailadressen. bron: https://www.security.nl