Captain Kirk

Aanvallers hebben via een verlopen domein waar een WordPress-plug-in gebruik van maakte malware verspreid, wat volgens onderzoekers het risico aantoont om niet meer ondersteunde plug-ins te blijven gebruiken. De plug-in in kwestie is "My Weather", die op WordPress-sites een weeroverzicht weergeeft. De plug-in maakt gebruik van een extern domein voor het ophalen van weergegevens, die vervolgens op de website worden getoond. Deze domeinnaam verliep en werd geregistreerd door criminelen. Die vervingen de weerdata door kwaadaardige JavaScript die vervolgens in de browser van internetgebruikers werd uitgevoerd als die een website met de weerplug-in bezochten. Volgens onderzoeker Krasimir Kronov van securitybedrijf Sucuri bleek uit verder onderzoek dat het domein malware verspreidde die gebruikers een kwaadaardige extensie probeert te laten installeren. De weerplug-in zelf wordt al lang niet meer door de ontwikkelaar ondersteund. "Dit voorbeeld laat duidelijk zien hoe verouderde en niet meer ondersteunde onderdelen je website risico kunnen laten lopen", aldus Kronov. bron: https://www.security.nl

Microsoft is één van de organisaties die ook slachtoffer is geworden van de aanval met de SolarWinds-backdoor. Dat heeft het techbedrijf via de eigen website bekendgemaakt. Volgens Microsoft heeft het de SolarWinds-backdoor in de eigen omgeving aangetroffen, maar is er geen bewijs gevonden dat de aanvallers toegang tot productiediensten of klantgegevens hebben gekregen. Daarnaast zijn er geen aanwijzingen gevonden dat de systemen van Microsoft vervolgens door de aanvallers zijn gebruikt om anderen aan te vallen. Na ontdekking van de besmette systemen werden die geïsoleerd en verwijderd. Verdere details zijn niet gegeven. Persbureau Reuters kwam eerder met een verhaal gebaseerd op anonieme bronnen dat Microsofts producten, nadat de aanvallers toegang tot de systemen van de techgigant hadden gekregen, waren gebruikt om anderen aan te vallen. Iets dat volgens Microsoft niet klopt. Aanvallers wisten in te breken bij softwarebedrijf SolarWinds, dat producten ontwikkelt voor het monitoren van it-omgevingen. Vervolgens werd er een backdoor toegevoegd aan officiële updates voor het product. Deze updates werden bij bijna 18.000 gebruikers van SolarWinds geïnstalleerd. Naast Microsoft hebben ook securitybedrijf FireEye en verschillende Amerikaanse ministeries bevestigd dat aanvallers op deze manier toegang tot hun systemen hebben gekregen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail heeft een nieuwe feature gelanceerd waarmee gebruikers verzonden e-mail kunnen intrekken. Volgens ProtonMail moet "Undo Send" voorkomen dat berichten bijvoorbeeld bij de verkeerde partij terechtkomen. Wanneer gebruikers een e-mail versturen verschijnt er een knop en heeft men vijf seconden de tijd om het bericht in te trekken. Dit werkt ongeacht of de ontvangende partij ook van ProtonMail gebruikmaakt, zoals bijvoorbeeld bij Exchange het geval is. Bij Exchange is het ook mogelijk om berichten in te trekken, maar alleen als de ontvangende partij van dezelfde Exchange-server gebruikmaakt. Op dit moment is het voor ProtoinMail-gebruikers niet mogelijk om het aantal seconden voor het intrekken van e-mail aan te passen. De nieuwe feature is daarnaast alleen beschikbaar voor betalende klanten van ProtonMail en vooralsnog alleen te gebruiken in de bètaversie van de webapplicatie. Gebruikers moeten de optie "Delay message sending" wel eerst zelf inschakelen. bron: https://www.security.nl

Onderzoekers hebben malafide extensies voor Google Chrome en Microsoft Edge ontdekt die het verkeer van gebruikers onderscheppen en naar advertenties en phishingsites doorsturen. De extensies zijn bij elkaar zo'n drie miljoen keer gedownload, meldt antivirusbedrijf Avast. Via de extensies kunnen gebruikers video's van verschillende platformen downloaden, zoals Vimeo, Facebook en Instagram. Kwaadaardige code in de extensies zorgt ervoor dat er aanvullende malware op het systeem kan worden gedownload. Daarnaast onderscheppen de extensies het verkeer van gebruikers. Wanneer die op een link klikken wordt informatie hierover naar een server van de aanvallers gestuurd. Vervolgens kan het slachtoffer naar een andere website worden doorgestuurd, om later alsnog op de beoogde website uit te komen. Avast laat verder weten dat de aanvallers ook e-mailadressen, geboortedata en apparaatgegevens van besmette systemen stelen, waaronder besturingssysteem, browserversie en ip-adres. Sommige van de in totaal 28 gevonden extensies zijn al jarenlang in de Chrome Web Store te vinden. Volgens onderzoeker Jan Rubín was de kwaadaardige code goed verborgen en werd die pas na een aantal dagen actief. Daarnaast werd de malware niet ingeschakeld op systemen van webontwikkelaars, merkt Rubin op. Waar de malware hierbij precies op lette wordt niet duidelijk gemaakt. Avast waarschuwde Google en Microsoft, maar de malafide extensies zijn nog steeds in de extensiestores te vinden. Gebruikers die de extensies hebben geïnstalleerd wordt aangeraden die te verwijderen. Op deze pagina staat een overzicht van de extensies. bron: https://www.security.nl

Softwarebedrijf SolarWinds heeft alle softwareproducten die het aanbiedt naar eigen zeggen gecontroleerd op de backdoor die aanwezig was in updates voor het Orion Platform. Uit dat onderzoek blijkt dat er geen andere programma's zijn gecompromitteerd. Verder heeft het bedrijf alle besmette versies van de software die werden aangeboden offline gehaald. SolarWinds heeft 300.000 klanten. 33.000 daarvan maken gebruik van het Orion Platform, waarmee organisaties hun it-omgeving kunnen beheren en monitoren. Tussen maart en juni van dit jaar wisten aanvallers meerdere digitaal gesigneerde updates van het platform van een backdoor te voorzien. Volgens SolarWinds kregen de aanvallers toegang tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen. Hoe de aanvallers hierin zijn geslaagd is nog altijd niet bekendgemaakt. "Deze aanval was zeer complex en geraffineerd. De kwetsbaarheid was gemaakt om niet te worden opgemerkt en alleen te draaien wanneer detectie onwaarschijnlijk was", aldus een verklaring van SolarWinds. Het bedrijf spreekt structureel over een "kwetsbaarheid" in plaats van een door aanvallers aangebrachte backdoor. Van de 33.000 Orion-klanten installeerden er 18.000 de besmette updates. Eenmaal actief maakt de backdoor verbinding met een domein van de aanvallers en kan aanvullende malware installeren. De Amerikaanse ministeries van Handel, Homeland Security en Landbouw hebben in het openbaar bekend getroffen te zijn. Het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger. Naar aanleiding van de aanval heeft SolarWinds het certificaat voor het signeren van code vervangen en is de toegang tot de build-omgeving beperkt. bron: https://www.security.nl

Onderzoekers hebben malware ontwikkeld die door middel van wifi-signalen data van een air-gapped computer kan stelen. Net als eerdere onderzoeken om gegevens van offline computers te exfiltreren is ook dit onderzoek uitgevoerd door onderzoekers van de Ben-Gurion University. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes. Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden en toetsenbordlampjes zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De aanval die de onderzoekers nu presenteren wordt "AIR-FI" genoemd. Wederom moet de air-gapped computer met malware zijn besmet. Deze malware kan vervolgens via de geheugenbus wifi-signalen genereren. Gevoelige data kan vervolgens worden gemoduleerd en via deze signalen verstuurd. Een smartphone, laptop of Internet of Things-apparaat in de buurt kan deze signalen opvangen, decoderen en via het internet naar de aanvallers terugsturen. Om AIR-FI uit te voeren hoeft het besmette systeem niet over een wifi-netwerkkaart of speciale rechten te beschikken. De malware kan via de DDR SDRAM-geheugenbus van de computer elektromagnetische golven genereren die binnen de 2,4 Ghz wifi-frequentie vallen. De signalen zijn in een radius van bijna drie meter op te vangen. Afhankelijk van de afstand van het ontvangende apparaat kan er data met een snelheid van honderd bit per seconde worden verstuurd. Er zijn verschillende manieren om de aanval te voorkomen, zoals het jammen van de wifi-frequentie of het gebruik van 'Faraday shielding' om zo het lekken van de wifi-signalen te blokkeren. bron: https://www.security.nl

Microsoft heeft de controle gekregen over de domeinnaam die door de SolarWinds-backdoor wordt gebruikt. Zodoende kan het techbedrijf zien bij welke bedrijven en organisaties er nog besmette systemen actief zijn. Aanvallers voegden een backdoor toe aan updates voor het SolarWinds Orion Platform. Dit is een oplossing voor het monitoren van it-omgevingen die door 33.000 bedrijven en organisaties wereldwijd wordt gebruikt. 18.000 klanten installeerden de besmette updates. Eenmaal geïnstalleerd maakt de backdoor verbinding met een subdomein van avsvmcloud[.]com voor het downloaden van aanvullende malware en verdere communicatie met de aanvallers. De domeinnaam is nu in handen van Microsoft, zo meldt it-journalist Brian Krebs. Microsoft bevestigde dit vervolgens ook via Twitter. Doordat het techbedrijf de domeinnaam in handen heeft kan het de ip-adressen zien van servers die er nog steeds verbinding mee maken. Eerder werden organisaties die gebruikmaken van het SolarWinds Orion Platform opgeroepen om te kijken of er vanuit hun netwerk verkeer naar de domeinnaam in kwestie is gegaan. Het is niet de eerste keer dat Microsoft een domeinnaam in handen krijgt die door cybercriminelen is gebruikt. Het techbedrijf deed dit eerder bij verschillende operaties tegen botnets en bij phishingaanvallen gebruikte domeinen. bron: https://www.security.nl

Microsoft Defender blokkeert vanaf vandaag bestanden van softwarebedrijf SolarWinds die door aanvallers van een backdoor zijn voorzien. Dat heeft Microsoft bekendgemaakt. Het gaat om bestanden van het SolarWinds Orion Platform. Afgelopen zondag werd bekend dat aanvallers toegang tot systemen van SolarWinds hadden gekregen en zo updates voor het platform van backdoors konden voorzien. Microsoft bracht zondag ook updates voor Defender uit waarmee organisaties voor de besmette bestanden werden gewaarschuwd. Vanaf vandaag zal de antivirussoftware die ook blokkeren. Hierbij worden bestanden in quarantaine geplaatst, ook wanneer het proces draait. "We beseffen dat dit een serverproduct is dat in klantomgevingen draait, dus het is mogelijk niet eenvoudig om het product buiten gebruik te stellen. Desondanks blijft Microsoft adviseren dat klanten deze servers isoleren en onderzoeken", zo laat het Microsoft 365 Defender Threat Intelligence Team weten. In het geval organisaties niet tijdelijk zonder hun SolarWinds-oplossing kunnen moeten ze maatregelen nemen om ervoor te zorgen dat de besmette bestanden niet in quarantaine worden geplaatst. bron: https://www.security.nl

Mozilla heeft vandaag met Firefox 84 de allerlaatste Firefox-versie gelanceerd die Adobe Flash Player ondersteunt. De volgende versie van de browser zal geen support meer voor Flash bieden. Volgens cijfers van Mozilla heeft op dit moment 35 procent van de Firefox-gebruikers Flash Player geïnstalleerd. Vorige week bracht Adobe al de allerlaatste update uit voor Flash Player. Over drie weken op 31 december 2020 wordt de ondersteuning van de software volledig stopgezet. Vanaf 12 januari volgend jaar zal Adobe het afspelen van Flash-content in Flash Player blokkeren. Alle browserontwikkelaars hebben aangegeven dat ze vanaf volgende maand de ondersteuning van Flash Player zullen stoppen. Mozilla doet dit met Firefox 85, die gepland staat voor 26 januari. Met Firefox 84 worden ook veertien kwetsbaarheden in de browser verholpen. Eén van deze beveiligingslekken is als kritiek aangemerkt en kan een aanvaller in het ergste geval volledige controle over het systeem geven, waarbij alleen het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie voldoende is. Updaten naar Firefox 84 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

De Europese Raad heeft een resolutie aangenomen waarin staat dat opsporingsdiensten toegang tot versleutelde data zouden moeten hebben. Versleutelde e-maildienst ProtonMail maakt zich zorgen. De Raadsresolutie Encryptie vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen. Volgens de resolutie zijn opsporingsdiensten steeds meer afhankelijk van toegang tot elektronisch bewijsmateriaal om terrorisme, georganiseerde misdaad, kindermisbruik, cybercrime en andere misdrijven te bestrijden. "Het kan essentieel zijn dat bevoegde autoriteiten toegang tot elektronisch bewijsmateriaal hebben, niet alleen om een succesvol onderzoek uit te voeren om criminelen te vervolgen, maar ook om slachtoffers te beschermen en de veiligheid te garanderen", zo laat de tekst van de resolutie weten. De resolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Om dit mogelijk te maken wordt er in de EU samen met techbedrijven en andere relevante partijen onderzocht welke technische oplossingen er zijn om effectief inzicht te kunnen verkrijgen in versleutelde data. Daarbij wordt er gesproken over mogelijke technische oplossingen, maar concrete voorbeelden worden niet genoemd. Verder wordt in de resolutie het belang van "sterke encryptie" genoemd. Wat er precies hiermee wordt bedoeld is onduidelijk. In het geval van end-to-end encryptie houdt dit in dat alleen de afzender en ontvanger de inhoud van een bericht kunnen zien. Mocht er een manier komen waardoor een derde partij toegang tot de communicatie zou kunnen krijgen, is er geen sprake meer van end-to-end encryptie. Backdoor De resolutie van de raad is niet bindend. Toch is versleutelde e-maildienst ProtonMail bang dat het zal leiden tot een anti-encryptieoffensief. Volgens Richie Koch van ProtonMail moet er iets worden gedaan om criminelen op het internet te bestrijden, maar is het verzwakken van encryptie niet de oplossing. "Het onder druk zetten van veelgebruikte diensten, zoals WhatsApp of ProtonMail, om een backdoor aan de encryptie toe te voegen voorkomt niet dat criminelen hun eigen versleutelde diensten beginnen", aldus Koch. Hoewel het woord backdoor niet in de resolutie wordt genoemd, is dat wel wat waar de "technische oplossing" in de tekst op doelt, gaat Koch verder. Die stelt dat zowel de werking van encryptie moet worden behouden, alsmede toegang door opsporingsdiensten mogelijk moet zijn. Dit is echter niet haalbaar. "Je kunt niet beide hebben", stelt Koch. "Er is geen backdoor die alleen de good guys binnenlaat." Hij roept EU-burgers op om aan hun Europarlementariër te laten weten dat ze tegen de resolutie zijn. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële software-updates van it-beheersoftware SolarWinds van een backdoor te voorzien en zo overheden en bedrijven wereldwijd aan te vallen. Dat hebben SolarWinds, Microsoft, securitybedrijf FireEye en het Amerikaans CISA bekendgemaakt. De aanvallers wisten op deze manier ook bij FireEye binnen te dingen. SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. Tussen maart en juni van dit jaar werden meerdere digitaal gesigneerde getrojaniseerde updates op de website van SolarWinds geplaatst die via de updatefunctie van de software gedownload konden worden, meldt FireEye. Naast het handmatig installeren van updates beschikt het Orion Platform ook over een automatische updatefunctie. De backdoor was aanwezig in versies 2019.4 HF 5 tot en met 2020.2.1. Hoe de aanvallers toegang tot de systemen van SolarWinds wisten te krijgen is nog onbekend. Eenmaal actief op een systeem maakte de backdoor verbinding met een domein voor het downloaden van aanvullende malware, het verder infecteren van de organisatie en het stelen van data. FireEye meldt dat het bij meerdere organisaties wereldwijd de backdoor heeft aangetroffen. Slachtoffers bevinden zich in verschillende sectoren, waaronder overheid, consultancy, technologie en telecom, in Noord-Amerika, Europa, Azië en het Midden-Oosten. Namen van getroffen organisaties zijn niet bekendgemaakt. Bronnen laten aan Reuters weten dat de Amerikaanse ministeries van Financiën en Handel slachtoffer zijn geworden en aanvallers toegang tot het e-mailverkeer hadden. SolarWinds adviseert klanten om zo snel als mogelijk te updaten naar Orion Platform versie 2020.2.1 HF 1, die beschikbaar is via de SolarWinds Customer Portal. Morgen verschijnt een aanvullende hotfix, 2020.2.1 HF 2, die zowel het gecompromitteerde onderdeel verwijdert als aanvullende beveiligingsmaatregelen toevoegt. FireEye heeft voor Snort, Yara en ClamAV rules gepubliceerd om malware van de aanvallers te detecteren. Amerikaanse overheid Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een "Emergency Directive" afgegeven. Federale overheidsinstanties zijn hierdoor verplicht om systemen met kwetsbare versies van het Orion Platform uit te schakelen of los van het netwerk te koppelen en verschillende andere maatregelen te nemen. Een aantal van deze maatregelen moeten vandaag al worden doorgevoerd. bron: https://www.security.nl

Ook ik kan ij aansluiten bij wat problemen van de 20H2. Op het werk moet bij sommige profielen de juiste activering van Office, welke gekoppeld is aan het account van de gebruiker, opnieuw gekoppeld worden.

Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd. Een aanvaller had hier misbruik van kunnen maken door een malafide "update" aan te bieden. Ook bleek dat registratiegegevens via http werden verstuurd, zoals gebruikersnaam en registratiecode. "Aangezien http onversleutelde cleartext is, kan het door iedereen die het verkeer kan zien worden onderschept, gemanipuleerd of gekaapt", zegt onderzoeker Martin Rakhmanov van securitybedrijf Trustwave. Een aanvaller op hetzelfde netwerk als de gebruiker met een kwetsbare versie van WinZip zou bijvoorbeeld door middel van technieken als "DNS poisoning" de applicatie kunnen misleiden om een malafide update te downloaden. Een gebruiker die denkt dat het om een nieuwe versie gaat zou zo kwaadaardige code kunnen uitvoeren. In de probeerversie van WinZip wordt van tijd tot tijd een pop-up getoond. De inhoud van deze pop-up werd ook via http geladen en kon eenvoudig door een aanvaller op het netwerk worden aangepast. Wederom zou een aanvaller op deze manier een update kunnen aanbieden die in werkelijkheid malware is. WinZip werd op 30 maart over de kwetsbaarheid in WinZip 24 ingelicht. Op 1 september verscheen WinZip 25 waarin het probleem is verholpen. Vandaag publiceerde Trustwave de details van het probleem. Gebruikers wordt aangeraden naar de nieuwste versie te upgraden. bron: https://www.security.nl

Google voert volgend jaar aanpassingen door aan de extensies voor Chrome, waardoor die niet meer standaard toegang tot websites krijgen. Tevens wordt het vanaf 18 januari voor extensies verplicht om een privacylabel te tonen. Volgens Google worden er elke dag vier miljoen Chrome-extensies gedownload. Inmiddels telt de Chrome Web Store meer dan 250.000 extensies waar gebruikers uit kunnen kiezen. Op dit moment heeft een geïnstalleerde Chrome-extensie toegang tot alle websites die een gebruiker bezoekt. Dat gaat volgend jaar veranderen, zo meldt Google. Gebruikers kunnen dan per website aangeven of een extensie daar toegang toe mag krijgen. "Je kunt nog steeds een extensie toegang tot alle bezochte websites geven, maar dat zal niet langer de standaard zijn", zegt Alexandre Blondin, productmanager van Chrome. Verder zullen Chrome-extensies vanaf 18 januari volgend jaar in de Chrome Web Store een privacylabel laten zien, waarin staat welke data ze verzamelen en voor welk doel. Ook zegt Google dat het de mogelijkheden voor ontwikkelaars om verzamelde data te gebruiken gaat beperken. bron: https://www.security.nl

Adobe heeft de allerlaatste update uitgebracht voor Flash Player en bedankt iedereen die de software de afgelopen twee decennia heeft gebruikt. Over drie weken op 31 december 2020 wordt de ondersteuning van de software volledig stopgezet. Vanaf 12 januari volgend jaar zal Adobe het afspelen van Flash-content in Flash Player blokkeren. Adobe roept echter alle gebruikers op om Flash Player nu al van hun systeem te verwijderen. Sommige gebruikers zullen hier door middel van systeemmeldingen op worden gewezen. Alle browserontwikkelaars hebben ook aangegeven dat ze vanaf volgende maand de ondersteuning van Flash Player zullen stoppen. Op dit moment heeft bijvoorbeeld 35 procent van alle Firefoxgebruikers Adobe Flash Player nog op het systeem staan. De laatste update voor Adobe Flash Player, versie 32.0.0.465, bevat geen securityfixes. bron: https://www.security.nl

Chrome-gebruikers die wachtwoorden in hun Google-account opslaan kunnen die straks op meerdere apparaten gebruiken, zonder dat ze hiervoor de synchronisatie-feature moeten inschakelen. Dat heeft Google bekendgemaakt. Op dit moment zijn in een Google-account opslagen wachtwoorden alleen op meerdere apparaten te gebruiken wanneer synchronisatie staat ingeschakeld. Straks volstaat het om alleen op het Google-account in te loggen, waarna er met de opgeslagen wachtwoorden kan worden ingelogd, ongeacht of synchronisatie staat ingeschakeld. Wanneer gebruikers van de desktopversie van Chrome een nieuw wachtwoord op willen slaan krijgen ze de keuze om dit lokaal op het systeem of in hun Google-account te doen. De feature wordt de komende maanden onder gebruikers uitgerold. Daarnaast wil Google dat Chrome-gebruikers op Android eenvoudiger op hun Google-account kunnen inloggen. Dat kan straks door middel van een enkele tap, ook wanneer synchronisatie niet staat ingeschakeld. Bij het inloggen op een Google-dienst zoals Gmail kunnen gebruikers er straks voor kiezen om met één van de Google-accounts op de telefoon in te loggen op Chrome. Het is dan niet meer nodig om het wachtwoord opnieuw in te voeren. bron: https://www.security.nl

Tijdens de laatste patchdinsdag van 2020 heeft Microsoft in totaal 58 kwetsbaarheden verholpen, waaronder kritieke beveiligingslekken in Exchange, SharePoint en Hyper-V. Door middel van de kwetsbaarheden kan een aanvaller in het ergste geval het onderliggende systeem overnemen. Het beveiligingslek in Exchange, CVE-2020-17132, werd door drie verschillende beveiligingsonderzoekers ontdekt. Dat geeft volgens securitybedrijf Zero Day Initiative (ZDI) aan dat het probleem enigszins eenvoudig was te vinden. Om misbruik van de kwetsbaarheid te maken moet een aanvaller wel geauthenticeerd zijn. "Dit geeft aan dat als je iemands mailbox overneemt je de hele Exchange-server kunt overnemen", zegt Dustin Childs van ZDI. Een soortgelijke kwetsbaarheid die Microsoft in februari van dit jaar patchte wordt al maandenlang actief bij aanvallen misbruikt. De kwetsbaarheid in virtualisatiesoftware Hyper-V maakt het mogelijk voor een aanvaller om vanuit een gevirtualiseerd gastsysteem het onderliggende hostsysteem over te nemen. In het geval van één van de twee kritieke SharePoint-kwetsbaarheden kan een geauthenticeerde gebruiker willekeurige .NET-code op de server uitvoeren. Standaard beschikken geauthenticeerde SharePoint-gebruikers over alle permissies die voor een dergelijke aanval nodig zijn. Naast de bovengenoemde beveiligingslekken kwam Microsoft ook met updates voor Windows, Office, Edge, ChakraCore, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK en Azure Sphere. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd. bron: https://www.security.nl

Een aanvaller heeft ingebroken op de systemen van securitybedrijf FireEye en zo scripts, scanners en tools van het bedrijf kunnen stelen, zo heeft FireEye zelf in een blogposting bekendgemaakt. Het gaat om tools die FireEye gebruikt voor het testen van de beveiliging van klanten, zoals scripts voor het automatisch verkennen van netwerken tot exploitatie-frameworks die op CobaltStrike en Metasploit lijken. Er zijn bij de aanval geen zeroday-exploits of onbekende technieken buitgemaakt. Volgens FireEye zal de diefstal de aanvaller in kwestie dan ook niet veel helpen. Kevin Mandia, ceo van FireEye, stelt dat de aanvaller als primair doel naar informatie over bepaalde overheidsklanten zocht. Er zijn echter geen aanwijzingen gevonden dat er ook data van systemen waarop klantgegevens staan is buitgemaakt. Om misbruik van de gestolen tools te voorkomen heeft het securitybedrijf verschillende rules en signatures voor programma's als Snort, Yara en ClamAV beschikbaar gesteld waarmee de scripts, scanners en frameworks zijn te detecteren. Tevens heeft FireEye een lijst gepubliceerd van kwetsbaarheden waar de gestolen tools onder andere gebruik van maken. Het gaat met name om beveiligingslekken die uit 2018 en 2019 stammen. Hoe de tools konden worden gestolen laat FireEye niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven. bron: https://www.security.nl

Cloudflare, het Nederlandse SURF en verschillende andere partners hebben vandaag Oblivious DNS over HTTPS (ODoH) gelanceerd. ODoH zorgt ervoor dat dns-providers niet kunnen zien welk dns-verzoek bij een bepaald ip-adres hoort, wat de privacy van gebruikers ten goede moet komen. Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen. Om dit te voorkomen werd DNS over HTTPS (DoH) bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers. Hierdoor bestaat het risico dat één partij heel veel inzicht in het dns-verkeer van gebruikers krijgt. Om dit probleem te tackelen bedachten engineers van Apple, Cloudflare en Fastly Oblivious DNS over HTTPS. ODoH versleutelt het dns-verzoek en laat het via een proxyserver lopen. Deze proxyserver, die losstaat van de dns-server, fungeert als tussenpersoon tussen de internetgebruiker en de website die hij wil bezoeken. Doordat het dns-verzoek is versleuteld kan de proxyserver de inhoud niet zien. De proxyserver voorkomt vervolgens weer dat de dns-server het ip-adres van de gebruiker ziet. "De combinatie van deze twee onderdelen garandeert dat alleen de gebruiker op hetzelfde moment toegang tot zowel de dns-berichten als zijn eigen ip-adres heeft", aldus Tanya Verma van Cloudflare in een blogposting. ODoH heeft volgens Verma ook nauwelijks impact op de snelheid waarmee de dns-verzoeken worden verwerkt. Om ODoH goed te laten werken is het nodig dat de proxyserver die het dns-verzoek naar de dns-server doorstuurt, door een andere partij wordt beheerd dan de dns-provider. Hiervoor werkt Cloudflare samen met verschillende proxypartners, te weten PCCW, SURF en Equinix. ODoH is inmiddels te gebruiken met de 1.1.1.1-dns-server van Cloudflare zelf. Daarnaast heeft Cloudflare de ODoH-specificatie aan de Internet Engineering Task Force (IETF) voorgelegd, in de hoop er een internetstandaard van te maken. bron: https://www.security.nl

Antivirusbedrijf NortonLifeLock, dat voorheen bekend stond als Symantec, heeft de Duitse concurrent Avira voor een bedrag van 360 miljoen dollar overgenomen. NortonLifeLock hoopt zo de internationale groei te versnellen, met name in Europa en opkomende markten. Volgens het antivirusbedrijf draait de software van Avira op meer dan dertig miljoen apparaten en heeft het anderhalf miljoen betalende klanten. Daarnaast biedt Avira een freemiummodel waar NortonLifeLock mogelijk ook wat mee wil gaan doen. Avira werd in 1986 opgericht en telt meer dan vijfhonderd medewerkers. Begin dit jaar werd Avira nog voor 180 miljoen dollar door Investcorp overgenomen. Nu krijgt de virusbestrijder opnieuw een nieuwe eigenaar. Travis Witteveen en Matthias Ollig, de ceo en cto van Avira, gaan bij het managementteam van NortonLifeLock aan de slag. Na de overname van Symantecs bedrijfsdivisie door chipgigant Broadcom voor een bedrag van 10,7 miljard dollar ging de consumententak door als NortonLifeLock en richt zich volledig op eindgebruikers. bron: https://www.security.nl

De Amerikaanse geheime dienst NSA heeft vandaag een waarschuwing afgegeven voor een kwetsbaarheid in VMware Workspace One Access die actief wordt misbruikt door aanvallers. Volgens de waarschuwing van de NSA gaat het om door Rusland gesponsorde actoren die via het beveiligingslek kwetsbare servers overnemen. Workspace One Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. De NSA ontdekte een kwetsbaarheid (CVE-2020-4006) in de software en waarschuwde VMware. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Bij de aanvallen die de NSA heeft waargenomen installeren de aanvallers via het beveiligingslek een webshell. Vervolgens authenticeren de aanvallers zich bij Microsoft Active Directory Federation Services (ADFS) en krijgen zo toegang tot beveiligde data. Organisaties worden dan ook opgeroepen om de update van VMware meteen te installeren. Is het installeren van de update niet mogelijk dan moeten organisaties mitigaties doorvoeren om de kans op een aanval te verkleinen. Verder adviseert de NSA om een veilig wachtwoord voor de managementinterface in te stellen. Wanneer wordt vermoed dat de server al is gecompromitteerd raadt de NSA aan om de serverlogs en configuratie van de authenticatieserver te controleren. bron: https://www.security.nl

Virtuele toetsenborden van smartphones en tablets zijn door middel van smart speakers af te luisteren, zo hebben onderzoekers van de Universiteit van Cambridge aangetoond (pdf). In het verleden hebben onderzoekers al laten zien dat het mogelijk is om door middel van een malafide app die de interne microfoon van de telefoon gebruikt om ingevoerde wachtwoorden en pincodes op te vangen. De Cambridge-onderzoekers wilden kijken of dit ook mogelijk is via een externe microfoon, zoals van een smart speaker. Moderne stemassistenten beschikken over twee tot zeven microfoons, zodat ze gerichter kunnen luisteren. De microfoons zijn gevoelig genoeg om op een halve meter afstand het geluid van vingers die de smartphone aanraken waar te nemen. Aan de hand van deze geluiden is af te leiden wat de gebruiker intikte. Zo is een vijfcijferige pincode met tien raadpogingen in vijftien procent van de gevallen te achterhalen. In het geval van ingevoerde tekst kan een nauwkeurigheid van vijftig procent worden gehaald. Voorwaarde is wel dat de aanvaller toegang tot de opgenomen audio heeft. Dit is echter op verschillende manieren mogelijk, zo stellen de onderzoekers. Dit kan bijvoorbeeld door kwaadaardige software op de smart speaker te installeren of wanneer de aanvaller bij de smartspeakerfabrikant zich met spraakverwerking gaat bezighouden. Zo is bekend dat Amazon en Google mensen inhuren om via de smart speaker opgenomen audio te beluisteren. Een andere mogelijkheid om ingevoerde inloggegevens af te luisteren is door middel van verborgen microfoons in de buurt van het slachtoffer te plaatsen. Om dit afluisteren te voorkomen geven de onderzoekers verschillende tips. Zo kunnen smartphonefabrikanten stille "tap-achtige" geluiden afspelen, die voor de gebruiker onhoorbaar zijn, wanneer het toetsenbord actief is. Daarnaast is de aanval alleen mogelijk als de aanvaller over een identiek toestel beschikt. Veel mensen maken echter gebruik van bijvoorbeeld schermfolie of hoezen om hun telefoon te beschermen, wat ook invloed op de akoestiek van het scherm heeft. bron: https://www.security.nl

Onderzoekers hebben een nieuwe variant van de berucht TrickBot-malware ontdekt die in staat is om op besmette systemen de UEFI-firmware te manipuleren. Hierdoor zou de malware in theorie een herinstallatie van het besturingssysteem kunnen overleven, zo meldt securitybedrijf Eclypsium. De eerste versie van TrickBot werd in 2016 waargenomen en betrof een banking Trojan. Het gaat hier om malware speciaal ontwikkeld om gegevens te stelen voor het frauderen met internetbankieren. Niet alleen wisten de ontwikkelaars de afgelopen jaren meer dan een miljoen machines met TrickBot te infecteren, de malware groeide dankzij de modulaire opzet uit tot een veelzijdig gereedschap voor cybercriminelen, zo liet Microsoft onlangs nog weten. Naast het stelen van wachtwoorden en allerlei andere gegevens wordt TrickBot ook ingezet voor het uitrollen van aanvullende malware, waaronder de Ryuk-ransomware. Voor de verspreiding van TrickBot wordt gebruik gemaakt van e-mailbijlagen en andere malware die al op besmette computers aanwezig is, zoals de Emotet-malware. Vorige week kwam de Franse overheid nog met een document waarin het de rol van TrickBot bij de verspreiding van de Ryuk-ransomware beschreef (pdf). In oktober vonden onderzoekers van Eclypsium een TrickBot-versie die over een nieuwe module beschikte die de UEFI-firmware van het systeem controleerde. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De nieuwe TrickBot-versie gebruikte een driver van het programma RWEverything om via de SPI-controller te controleren of de UEFI-firmware kan worden aangepast. RWEverything is een tool waarmee het mogelijk is om aanwezige firmware te overschrijven. Op dit moment controleert TrickBot alleen of de schrijfbeveiliging van de firmware staat ingeschakeld en wordt die niet overschreven. De malware beschikt echter al over de code om firmware te lezen, beschrijven en wissen, zo stellen de onderzoekers. Ze waarschuwen dat dit vergaande gevolgen kan hebben. Zo kan de malware van kwetsbare systemen de firmware wissen zodat de machine niet meer opstart of is het mogelijk om voor het starten van het besturingssysteem aanwezige beveiligingssoftware uit te schakelen. "Gegeven de omvang en reikwijdte van TrickBot is de ontdekking van een module die zich op firmware richt verontrustend", aldus de onderzoekers. "Deze aanvallers verzamelen doelwitten waarvan is bevestigd dat ze kwetsbaar voor firmware-aanpassingen zijn, en één aangepaste regel code maakt van deze verkenningsmodule een aanvalsfunctie." bron: https://www.security.nl

Mozilla heeft een kwetsbaarheid in e-mailclient Thunderbird verholpen die ontstond bij het uitlezen van SMTP-serverstatuscodes. SMTP-servers versturen deze statuscodes na een request van de e-mailclient. Thunderbird bleek statuscodes van SMTP-servers niet goed te verwerken. Dit werd veroorzaakt doordat de e-mailclient een integerwaarde naar een plek in het geheugen schreef die slechts één byte zou moeten bevatten. Afhankelijk van de processorarchitectuur en 'stack layout' kon er een stack overflow ontstaan waar een aanvaller mogelijk misbruik van zou kunnen maken. Mozilla heeft de kwetsbaarheid, CVE-2020-26970, als 'high' bestempeld. Het beveiligingslek is verholpen in Thunderbird 78.5.1. Updaten naar de nieuwe versie kan via de automatische updatefunctie en Thunderbird.net. bron: https://www.security.nl

Microsoft heeft in totaal achttien malafide extensies voor Chromium Edge uit de eigen Addon-store verwijderd. De extensies injecteerden advertenties in de zoekresultaten van Google. Wanneer gebruikers op een zoekresultaat klikten werden ze soms doorgestuurd naar een advertentie of andere website. Op Reddit klaagden meerdere gebruikers dat ze hiermee te maken hadden. Microsoft stelde vervolgens een onderzoek in en ontdekte dat het werd veroorzaakt door de malafide extensies. Die deden zich onder andere voor als de extensies van vpn-diensten NordVPN, Adguard en TunnelBear, maar ook als extensies van de Wayback Machine en "Ublock Adblock Plus". Microsoft adviseert gebruikers die de extensies hebben geïnstalleerd om die te verwijderen. Hieronder het overzicht van de malafide extensies. bron: https://www.security.nl