Captain Kirk

Een zerodaylek in Windows 10 waarvoor Microsoft afgelopen dinsdag een beveiligingsupdate uitbracht is maandenlang onopgemerkt door aanvallers gebruikt. Dat stelt het securitybedrijf dat de kwetsbaarheid ontdekte en aan Microsoft rapporteerde. Via het beveiligingslek in de Windows-kernel, aangeduid als CVE-2021-1732, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. De kwetsbaarheid zou kunnen worden gecombineerd met een ander beveiligingslek dat het uitvoeren van code mogelijk maakt. Een andere mogelijkheid is dat het lek door malware wordt gebruikt. Afgelopen december ontdekte securitybedrijf DBAPPSecurity een aanval waarbij de kwetsbaarheid was aangevallen. De aanval was volgens het securitybedrijf het werk van een Advanced Persistent Threat (APT)-groep genaamd Bitter. De waargenomen exploit werkte tegen de laatste versie van Windows10 1909 (64-bits) en bleek al in mei 2020 te zijn gecompileerd. DBAPPSecurity detecteerde een zeer beperkt aantal aanvallen waarbij de kwetsbaarheid was ingezet. Alle slachtoffers bevinden zich in China. Voordat de exploit wordt uitgevoerd vindt er eerst een controle plaats op de aanwezigheid van bepaalde antivirussoftware en de gebruikte Windows 10-versie. Daarna wordt de exploit uitgevoerd. "Het in-the-wild exemplaar was gecompileerd in mei 2020 en door ons in december 2020 gevonden. Het wist tenminste zeven maanden te overleven", aldus het securitybedrijf. Verdere details over de waargenomen aanvallen, doelwitten en hoe de exploit precies is gebruikt zijn niet gegeven. De kwetsbaarheid werd op 29 december aan Microsoft gerapporteerd, dat afgelopen dinsdag de patch uitrolde. bron: https://www.security.nl

Het Tor Project heeft een anoniem ticketsysteem gelanceerd waar onderzoekers anoniem bugs kunnen melden zonder het prijsgeven van persoonlijke data. Op dit moment moeten bugmelders eerst een GitLab-account aanmaken om een gevonden probleem te rapporteren en moet een moderator het account goedkeuren. Dat is een obstakel voor mensen die eenmalig of zelden een bug melden en kan ervoor zorgen dat bugmeldingen verloren gaan. Daarnaast vinden veel Tor-gebruikers het niet fijn om hun e-mailadres voor een bugmelding te delen, zegt Maria Violante, ontwikkelaar van het anonieme ticketsysteem. Het systeem maakt geen gebruik van een gebruikersnaam en wachtwoord, maar van een 'code phrase' die uit zes willekeurige woorden bestaat. Met deze code phrase kunnen gebruikers inloggen en hun bugmelding doen of in al aanwezige projecten en meldingen zoeken. De Anonymous Ticket Portal is nog in ontwikkeling. Zo zijn er plannen om er een onion-service van te maken, zodat het direct vanaf het Tor-netwerk toegankelijk is. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt geeft op een doorsnee dag zo'n twee miljoen gratis tls-certificaten uit die websites gebruiken voor het opzetten van een beveiligde verbinding en identificatie. De organisatie is dankzij recent uitgevoerde werkzaamheden in staat om 200 miljoen certificaten op één dag uit te kunnen geven mocht dit noodzakelijk zijn geworden. Meer dan 240 miljoen domeinen maken gebruik van een door Let's Encrypt uitgegeven certificaat. Vorig jaar maart was de certificaatautoriteit van plan om zo'n drie miljoen actieve certificaten wegens een softwarebug. die zich bij de uitgifte voordeed, te vervangen. Het ging om zo'n 2,6 procent van alle certificaten van dat moment. "Wat als de bug gevolgen had gehad voor al onze certificaten?", stelt ISRG-directeur Josh Aas de vraag. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt. In dit geval zouden meer dan 150 miljoen certificaten voor meer dan 240 miljoen domeinen moeten worden vervangen. Om daar technisch klaar voor te zijn besloot Let's Encrypt onlangs verschillende aanpassingen en upgrades door te voeren. Zo is er een nieuwe databaseserver neergezet die over dual AMD EPYC 7542-processors beschikt, uitgerust met 64 fysieke cores en twee terabyte aan werkgeheugen. De vorige server was een dual Intel Xeon E5-2650 met 24 fysieke cores en één terabyte geheugen. Volgens Aas een prima machine, maar niet in staat om alle certificaten binnen een dag te vervangen. Naast de databaseserver kregen ook het interne netwerk, de beschikbare bandbreedte en de hardware security modules voor het signeren van certificaten een upgrade, aldus Aas in een beschrijving van de uitgevoerde werkzaamheden. bron: https://www.security.nl

Certificaatautoriteit GlobalSign heeft vorige week een in 2010 aangevraagd ssl-certificaat met zwakke encryptiesleutel uitgegeven, waarmee het de certificaatregels overtrad. Het certificaat is inmiddels ingetrokken, maar Google maakt zich zorgen of GlobalSign nog wel in staat is om op een veilige wijze certificaten uit te geven. Op 21 mei 2010 vroeg de eigenaar van het domein 'celticpapaya.com' een ssl-certificaat aan. Voordat een certificaatautoriteit een certificaat uitgeeft moet eerst de aanvrager bevestigen dat hij de eigenaar van het domein is. Dit kan door middel van een validatiemail worden gedaan. In dit geval werd de validatiemail niet meteen verstuurd, omdat het woord 'pay' in de domeinnaam voorkwam. Een medewerker van GlobalSign moest eerst een phishingcontrole uitvoeren voordat de validatiemail uitging. De eigenaar van het domein besloot zo'n vijftig minuten na zijn eerste bestelling opnieuw een certificaat voor het domein aan te vragen, mogelijk omdat hij de verwachte validatiemail nog niet had ontvangen. Na de phishingcontrole door de GlobalSign-medewerker werden de validatiemails op 24 mei 2010 voor beide bestellingen verstuurd. Op 27 mei 2010 bevestigde de domeinhouder de validatielink van de tweede bestelling en werd het certificaat uitgegeven. Door nog onbekende reden werd op 4 februari van dit jaar de validatielink in de validatiemail van de eerste bestelling uit 2010 geopend. Daarop werd deze eerste bestelling alsnog verwerkt en een certificaat met een RSA-1024 key uitgegeven. Het is sinds 2013 voor certificaatautoriteiten verboden om certificaten met een dergelijke key uit te geven. De gebruikte sleutel moet tegenwoordig minimaal 2048 bits zijn. Op het moment van de aanvraag in 2010 was het echter nog wel toegestaan om certificaten met een RSA-1024 key uit te geven. Acht uur na de uitgifte van het certificaat werd het door GlobalSign ingetrokken. Tevens werd er een onderzoek ingesteld hoe een bestelling voor een certificaat met een dergelijke zwakke sleutel ongemerkt kon worden afgehandeld. GlobalSign heeft nu een uitgebreid rapport over het incident gepubliceerd. Ryan Sleevi van Google heeft echter nog de nodige vragen en maakt zich ook zorgen. Sleevi houdt vanuit Google toezicht op certificaatautoriteiten en is bijvoorbeeld degene die aankondigt wanneer Chrome certificaten van bepaalde partijen gaat blokkeren vanwege het overtreden van de regels. In dit geval maakt Sleevi zich zorgen dat de infrastructuur van GlobalSign inmiddels zo complex is geworden dat de certificaatautoriteit mogelijk niet meer in staat is om op een veilige wijze en volgens de regels certificaten uit te geven. GlobalSign heeft nog niet op de vragen van Sleevi gereageerd. bron: https://www.security.nl

Antivirusbedrijf Emsisoft is slachtoffer van een datalek te geworden nadat een aanvaller toegang wist te krijgen tot een testsysteem met productiedata. Dit systeem bevatte veertien e-mailadressen van klanten bij zeven verschillende organisaties. Het testsysteem werd gebruikt om verschillende oplossingen voor de opslag en het beheer van loggegevens, afkomstig van de antivirussoftware van Emsisoft, te vergelijken. Om de opslagoplossingen te vergelijken maakte de virusbestrijder verschillende databases aan met loggegevens afkomstig van productiesystemen. Door een configuratiefout was één van deze databases van 18 januari tot 3 februari dit jaar toegankelijk voor "ongeautoriseerde derde partijen", aldus een verklaring van Emsisoft. Het bedrijf stelt dat tenminste één individu toegang tot de data in deze database heeft gekregen. De gestolen data bestaat voornamelijk uit technische logbestanden die de antivirussoftware bij normaal gebruik op de systemen bij gebruikers genereert en terugstuurt naar Emsisoft. Het onderzoek naar de aanval liet zien dat in de verzamelde logbestanden ook veertien e-mailadressen stonden. De e-mailadressen waren door de antivirussoftware aan de logbestanden toegevoegd na het scannen van kwaadaardige e-mails in de inboxes van gebruikers. Emsisoft heeft gedupeerde klanten over het datalek geïnformeerd. Naar aanleiding van het incident gaat het antivirusbedrijf toekomstige tests alleen nog uitvoeren op systemen die niet met internet zijn verbonden en geen data van productiesystemen bevatten. Tevens neemt het bedrijf maatregelen om configuratiefouten eerder te detecteren en worden er "fallback" beveiligingsmaatregelen geïmplementeerd mochten de primaire maatregelen falen. bron: https://www.security.nl

Tijdens de patchdinsdag van februari heeft Microsoft drie kwetsbaarheden in de tcp/ip-implementatie van Windows verholpen. Het techbedrijf verwacht dat de drie beveiligingslekken snel door aanvallers voor dos-aanvallen zullen worden misbruikt. Tevens kwam Microsoft vanavond met een update voor een actief aangevallen zerodaylek in Windows, waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. In totaal verhelpt Microsoft deze maand 56 kwetsbaarheden in onder andere Windows, Exchange Server, Microsoft Office, Skype for Business, Visual Studio, Windows Defender, Windows DirectX, Hyper-V en Windows Codecs Library. Het zijn echter de drie kwetsbaarheden in de tcp/ip-implementatie van alle ondersteunde Windowsversies waarvoor het Microsoft Security Response Center met een aparte waarschuwing komt. Het gaat om CVE-2021-24074, CVE-2021-24094 en CVE-2021-24086. De eerste twee kwetsbaarheden maken remote code execution mogelijk. Volgens Microsoft is het echter lastig om een functionele exploit voor deze twee beveiligingslekken te ontwikkelen, waardoor misbruik waarbij aanvallers willekeurige code op kwetsbare systemen kunnen uitvoeren op de korte termijn onwaarschijnlijk wordt geacht. Wel stelt Microsoft dat aanvallers voor de drie kwetsbaarheden snel denial of service-exploits zullen ontwikkelen waardoor een aanvaller met een minimale hoeveelheid netwerkverkeer een 'blue screen of death' kan veroorzaken. Organisaties worden dan ook opgeroepen om de beveiligingsupdates snel uit te rollen. "Het is belangrijk dat kwetsbare systemen vanwege het risico dat met de kwetsbaarheden samenhangt zo snel mogelijk worden gepatcht", laat Microsoft weten. Wanneer het installeren van de patches niet mogelijk is zijn er workarounds waarbij een server niet hoeft te worden herstart. bron: https://www.security.nl

Adobe waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Acrobat en Reader voor Windows en macOS waardoor een aanvaller in het ergste geval volledige controle over het onderliggende systemen kan krijgen. Alleen het openen van een kwaadaardig pdf-document volstaat om een aanvaller controle te geven. Het is jaren geleden dat er een zeroday-aanval op gebruikers van de pdf-software is ontdekt. De kwetsbaarheid werd door een anonieme onderzoeker aan Adobe gerapporteerd. Details over het beveiligingslek, aangeduid als CVE-2021-21017, zijn niet gegeven, behalve dat het kan leiden tot een heap-based buffer overflow waardoor een aanvaller willekeurige code kan uitvoeren. Volgens Adobe heeft het meldingen ontvangen dat de kwetsbaarheid op beperkte schaal is ingezet bij aanvallen op gebruikers van Adobe Reader op Windows. Naast het aangevallen zerodaylek werden 22 andere kwetsbaarheden in de pdf-software verholpen. Gebruikers krijgen het advies om "zo snel mogelijk" te updaten naar Acrobat DC of Acrobat Reader DC versie 2021.001.20135, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30190, Acrobat 2020 of Acrobat Reader 2020 versie 2020.001.30020 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen 72 uur. Tegelijkertijd kwam Microsoft vanavond tijdens de maandelijkse patchdinsdag met een update voor een actief aangevallen zerodaylek in Windows. Via dit beveiligingslek in Win32k (CVE-2021-1732) kan een aanvaller die al toegang tot een systeem heeft, bijvoorbeeld via de kwetsbaarheid in Acrobat en Adobe Reader, zijn rechten op het systeem verhogen. De update voor dit beveiligingslek wordt op de meeste systemen automatisch geïnstalleerd. bron: https://www.security.nl

Een beveiligingsonderzoeker is erin geslaagd Apple, Microsoft, Shopify en tientallen andere techbedrijven en organisaties via slim vernoemde packages te compromitteren. Onderzoeker Alex Birsan ontving voor zijn aanval, die hij 'Dependency Confusion' noemt, in totaal 130.000 dollar aan beloningen. Ondanks de hoge beloningen was de aanval vrij eenvoudig van opzet. Ontwikkelaars maken voor hun projecten gebruik van allerlei interne packages. De namen van deze interne packages zijn vaak in JavaScript-bestanden te vinden, zo ontdekte Birsan. De onderzoeker scande de domeinnamen van de bedrijven in kwestie op zoek naar dergelijke bestanden. Daarin vond hij honderden interne namen van JavaScript-packages waar de projecten gebruik van maakten. Voor Python, de JavaScript-omgeving Node.js, Ruby, Azure en andere programmeertalen en platformen zijn er publieke repositories beschikbaar waar iedereen packages naar toe kan uploaden. Birsan ontdekte dat veel van de gevonden interne package-namen op de publieke repositories nog beschikbaar waren. Vervolgens registreerde hij deze namen bij de PyPI (Python Package Index), de npm-registry van Node.js, RubyGems en Azure Artifacts. Vervolgens plaatste hij onder alle geregistreerde namen packages met een 'phone home' functie. Zodra de packages werden geïnstalleerd stuurden die de gebruikersnaam, hostnaam, installatiepad en extern ip-adres naar Birsan. Zo kon de onderzoeker zien dat zijn 'malafide' packages onder andere op interne systemen van Apple, Microsoft en Shopify waren uitgevoerd. Birsan waarschuwde de getroffen bedrijven. Die beloonden hem voor zijn melding met in totaal 130.000 dollar. Birsan stelt dat in het geval van Python het probleem wordt veroorzaakt door een commandline-argument genaamd "--extra-index-url" die bij de installatie van packages kan worden gebruikt. In dit geval wordt eerst gekeken of de opgegeven package via een specifiek opgegeven (interne) package-index beschikbaar is. Is dat niet het geval, dan wordt erop de publieke Python Package Index gezocht. Vervolgens installeert de installer de package die wordt gevonden. Blijkt de packagenaam bij beide indexes aanwezig te zijn, wordt standaard de package met het hoogste versienummer geïnstalleerd. Het meeste succes had de onderzoeker met npm-packages voor Node.js. "Npm staat het toe dat willekeurige code automatisch bij de installatie van een package wordt uitgevoerd", merkt Birsan op. Hij benadrukt dat Python en Ruby net zo kwetsbaar voor de aanval zijn. Birsan denkt dat het vinden van interne package-namen in de toekomst voor nog meer kwetsbare systemen zal zorgen. Naar aanleiding van het onderzoek heeft Microsoft een whitepaper over de risico's van 'private package feeds' gepubliceerd. bron: https://www.security.nl

Hostingbedrijf No Support Linux Hosting heeft wegens een succesvolle aanval op de servers besloten om na meer dan elf jaar de deuren te sluiten. Duizenden websites moeten een nieuw heenkomen zoeken. Het in 2009 opgerichte hostingbedrijf richtte zich op experts en ging er prat op dat het geen supportvragen beantwoordde. Doordat het alleen experts bediende en geen hobbyisten of amateurs kon het naar eigen zeggen een lagere prijs rekenen. In een vrij beknopte verklaring op de eigen website meldt het hostingbedrijf dat het gisteren getroffen is door een aanval waarbij alle servers werd gecompromitteerd die het voor de bedrijfsvoering gebruikt. Het gaat onder andere om webserver, beheerserver en de klantendatabase. Vanwege de aanval zegt No Support Linux Hosting dat het niet meer in staat is om hostingdiensten aan te bieden. Klanten worden opgeroepen om meteen back-ups van hun websites en databases via het beheerderspaneel te downloaden. Verdere details over de aanval zijn niet bekendgemaakt. In 2011 kreeg het hostingbedrijf naar eigen zeggen ook met een aanval te maken waardoor de websites van klanten verloren gingen. bron: https://www.security.nl

Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd. Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld. De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn. De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt. bron: https://www.security.nl

Gameontwikkelaar CD Projekt Red, bekend van games zoals The Witcher en Cyberpunk 2077, is slachtoffer van een ransomware-aanval geworden. Bij de aanval zijn ook bedrijfsgegevens buitgemaakt, zo laat de gameontwikkelaar via Twitter weten. Volgens de verklaring wist een aanvaller toegang tot het interne netwerk te krijgen en zijn er gegevens van de CD Projekt capital group gestolen. Tevens werden verschillende systemen met ransomware besmet en versleuteld. CD Projekt Red stelt dat de back-ups onaangetast zijn en het al begonnen is met het herstellen van systemen. De aanvaller dreigt de gestolen gegevens openbaar te maken tenzij het bedrijf een niet nader genoemd losgeldbedrag betaald. Het zou onder andere om broncode van de gameontwikkelaar gaan, alsmede financiële documenten en andere bedrijfsgegevens. CD Projet Red zegt geen losgeld te zullen betalen en ook niet met de aanvaller te zullen onderhandelen. Het onderzoek naar de aanval loopt nog, maar er zouden voor zover bekend geen persoonsgegevens van spelers zijn buitgemaakt. De lokale privacytoezichthouder en autoriteiten zijn inmiddels ingelicht. Verdere details over de ransomware en hoe de aanvaller toegang wist te krijgen zijn niet bekendgemaakt. bron: https://www.security.nl

Een softwarebug was de oorzaak dat de versleutelde e-maildienst ProtonMail en andere Proton-diensten vorige week maandag een uur lang onbereikbaar waren. Dat beschrijft de e-mailprovider in een analyse van de storing. Maandagochtend 1 februari had Proton onderhoud aan de databasehardware gepland staan, die ook succesvol werd uitgevoerd. Voor het onderhoud werden de API-servers in een offline mode gezet. Elke server heeft een lokale cache met belangrijke configuratiegegevens. Deze data verloopt na drie a vier minuten, waarna de server een nieuwe configuratie ophaalt. Normaliter zijn de verlooptijden van de servers gespreid. Het inschakelen van de offline mode zorgde er echter voor dat de servers nagenoeg werden gesynchroniseerd. Normaliter is de configuratiecache niet vereist wanneer de offline mode van de server wordt ingeschakeld. Een bug in de applicatiecode zorgde ervoor dat de requests van ingelogde gebruikers deze data ten onrechte toch nodig hadden, zelfs in de offline mode. Nadat de configuatiecache van elke server na een paar minuten was verlopen werden er requests naar de database gestuurd die nog steeds offline was. Volgens ProtonMail duurt het afhandelen van requests normaliter milliseconden, maar bleven die nu tien seconden op een timeout wachten. Dit had een domino-effect waardoor het geheugen en de processors van de servers zo zwaar werden belast dat ze niet meer reageerden. Alleen door middel van een handmatige hard reboot waren de servers te herstellen. Dit nam echter enige tijd in beslag. Sommige van de servers die online kwamen hadden nog een verkeerde configuratie, wat inhield dat engineers elke server moest controleren voordat alle diensten konden worden hersteld. ProtonMail stelt dat het incident heeft laten zien dat de infrastructuur en code uitgebreider moet worden getest voor uitzonderlijke omstandigheden, zoals wanneer bepaalde services offline zijn. Daarnaast onderstreept de storing de noodzaak om vaker te testen. De offline mode waar ProtonMail gebruik van maakte was in het verleden vaker getest, maar sinds de laatste test en het incident op 1 februari is het aantal gebruikers flink toegenomen. Volgens de mailprovider had er dan ook meer getest moeten worden. Verder gaat ProtonMail ervoor zorgen dat engineers tijdens onderhoud 'on-call' zijn mocht er iets onverwachts gebeuren. bron: https://www.security.nl

Het Duitse testlab AV-Test dat al meer dan vijftien jaar lang antivirussoftware vergelijkt en test is overgenomen door de Swiss IT Security Group. Dat laten beide bedrijven in een persbericht weten (pdf). Het is inmiddels al de vijftiende overname van de Swiss IT Security Group, dat zich onder andere bezighoudt met consultancy, netwerkbeveiliging, onderzoek, mobiliteitsoplossingen, clouddiensten en toegangsbeheer. Het securitybedrijf wil de diensten van AV-Test aan de eigen klanten gaan aanbieden. Naast het testen van malware houdt het testlab zich ook bezig met malware-analyse, biedt het een grote database met verzamelde malware-exemplaren en test het ook Internet of Things-oplossingen. AV-Test telt 28 medewerkers, de Swiss IT Security Group meer dan vijfhonderd. De oprichters van AV-Test gaan bij het Zwitserse securitybedrijf aan de slag. Een overnamebedrag is niet bekendgemaakt. bron: https://www.security.nl

Er zijn geen aanwijzingen dat softwarebedrijf SolarWinds is aangevallen via Office 365 of een ander Microsoft-product, zo stelt Microsoft. Berichtgeving van Reuters dat Microsofts eigen producten door de aanvallers voor verdere aanvallen zijn gebruikt is onjuist, aldus het techbedrijf. Bij de aanval op SolarWinds wisten aanvallers toegang tot de ontwikkelomgeving van het bedrijf te krijgen en konden zo updates voor het SolarWinds Orion-platform van een backdoor voorzien. Door middel van deze backdoor kregen de aanvallers weer toegang tot allerlei bedrijven en overheidsinstanties. Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) meldde dat de aanvallers naast de SolarWinds-backdoor ook andere aanvalsvectoren gebruikten. Microsoft bevestigt dat. Het gaat onder andere om spearphishing, webshells, password spraying en 'delegated credentials'. Microsoft zegt zelf geen initiële toegangsvector voor de SolarWinds-aanvallers te zijn geweest. "Data die bij Microsoft-diensten wordt gehost, waaronder e-mail, was soms een doelwit bij deze aanvallen, maar de aanvaller had dan op een andere manier al inloggegevens verkregen", laat de techgigant in een update over het incident weten. bron: https://www.security.nl

Microsoft stopt volgende maand de ondersteuning van Edge Legacy, wat gevolgen voor organisaties kan hebben die de browser op kioskcomputers gebruiken. Volgende maand op 9 maart eindigt de support van Edge Legacy dat standaard met Windows 10 wordt meegeleverd. De maand daarna op 13 april zal Microsoft tijdens de maandelijkse patchdinsdag de browser door Edge Chromium vervangen, de versie van Edge die op de open source Chromium-browser is gebaseerd. Om te voorkomen dat kioskcomputers straks niet meer werken adviseert Microsoft organisaties om Edge Chromium voor 13 april te installeren en de kioskmode in te schakelen. "Als je de kioskmode in de nieuwe Microsoft Edge niet voor de Windows 10-updates van april inschakelt zul je met verstoringen van het kioskgebruik te maken krijgen", aldus Microsoft, dat op deze pagina uitlegt hoe organisaties naar de nieuwe browser kunnen overstappen. Sinds Microsoft Edge Chromium uitbracht is het marktaandeel van de browser gestegen en is inmiddels met zo'n acht procent bijna gelijk aan dat van Firefox, aldus cijfers van marktvorser StatCounter. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Firefox, Firefox ESR en Tor Browser maakt het mogelijk voor aanvallers om code op systemen van gebruikers uit te voeren waarbij er in het ergste geval volledige controle over het onderliggende systeem kan worden verkregen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist. Het beveiligingslek bevindt zich in de Angle graphics library. Tijdens het verwerken van gecomprimeerde textures kan een aanvaller een buffer overflow veroorzaken waardoor remote code execution mogelijk is. Gebruikers krijgen het advies om te updaten naar Firefox 85.0.1, Firefox ESR 78.7.1 of Tor Browser 10.0.11. Dit kan zowel via de automatische updatefunctie als Mozilla.org of TorProject.org. bron: https://www.security.nl

Bij de recent onthulde aanvallen tegen beveiligingsonderzoekers is ook een zerodaylek in Internet Explorer gebruikt. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. Eind januari kwamen Google en Microsoft met informatie over een groep aanvallers die het had voorzien op beveiligingsonderzoekers. Die werden door de aanvallers uitgenodigd om aan beveiligingsonderzoek deel te nemen. Het "onderzoek" dat de onderzoekers ontvingen was in werkelijkheid malware. Daarnaast gebruikten de aanvallers vermoedelijk een zerodaylek in Google Chrome. Verschillende onderzoekers die met volledig gepatchte versies van Windows 10 en Chrome een blog van de aanvallers bezochten raakten met malware besmet. Nu meldt securitybedrijf ENKI dat de aanvallers ook een zerodaylek in Internet Explorer gebruikten. Verschillende onderzoekers van ENKI ontvingen een MHTML-bestand met de naam "Chrome_85_RCE_Full_Exploit_Code". Dit bestand vraagt om toestemming voor het uitvoeren van JavaScript, om zo alle content te kunnen tonen. Wanneer dit wordt toegestaan downloadt het script een zeroday-exploit voor Internet Explorer. Via het beveiligingslek kan een aanvaller willekeurige code op het systeem uitvoeren. Aangezien de kwetsbaarheid nog niet is verholpen geeft ENKI geen verdere details. Mitja Kolsek, ceo van securitybedrijf Acros Security, stelt dat het om een zeer betrouwbare 'zero-click' kwetsbaarheid in de browser gaat. bron: https://www.security.nl

Google heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de desktopversie van Chrome die actief is aangevallen voordat de patch beschikbaar was. Het zerodaylek bevindt zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript. Het is niet de eerste keer dat Google Chrome met een zeroday in V8 te maken krijgt. Vorig jaar februari en twee keer in november was het ook raak. Afgelopen december besloot Google om hogere beloningen uit te keren aan beveiligingsonderzoekers die kwetsbaarheden in V8 rapporteren. Het nu verholpen zerodaylek wordt aangeduid als CVE-2021-21148 en veroorzaakt een heap buffer overflow in de JavaScript-engine. Verdere details over de kwetsbaarheid of waargenomen aanvallen zijn niet gegeven. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Gebruikers krijgen het advies om te updaten naar Google Chrome versie 88.0.4324.150, die beschikbaar is voor Linux, macOS en Windows. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update komen. Op 2 februari kwam Google ook al met een Chrome-update, toen volgde Microsoft op 4 februari met een patch voor Edge. bron: https://www.security.nl

Cisco heeft een waarschuwing gegeven voor zeven ernstige kwetsbaarheden in verschillende vpn-routers waardoor de apparaten op afstand zijn over te nemen. Het gaat om de Cisco Small Business RV160, RV160W, RV260, RV260P en RV260W vpn-routers. De beveiligingslekken zijn op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld. De problemen worden veroorzaakt doordat http requests niet goed worden gevalideerd. Door het versturen van een speciaal geprepareerd http request naar de webinterface kan een aanvaller willekeurige code met rootrechten op het apparaat uitvoeren. Cisco adviseert bedrijven die met de betreffende routers werken om de beschikbaar gestelde firmware-update te installeren. Workarounds zijn niet beschikbaar. bron: https://www.security.nl

Stormshield, naar eigen zeggen het toonaangevende cybersecuritybedrijf van Frankrijk, is getroffen door een datalek. Ook zijn de aanvallers ervandoor gegaan met de broncode van de netwerkbeveiligingsproducten. Dat meldt Stormshield op de eigen website. Volgens het bedrijf ontdekte het onlangs ongeautoriseerde toegang tot een supportportaal voor klanten en partners. De aanvallers hebben mogelijk toegang tot accountgegevens gekregen die persoonlijke data bevatten. Uit voorzorg is besloten om van alle klantenaccounts het wachtwoord te resetten. Klanten van de betreffende accounts zijn daarnaast ingelicht. Verder onderzoek naar de aanval wees uit dat de aanvallers ook toegang hebben gekregen tot delen van de broncode van de firewall-, vpn- en andere netwerkbeveiligingsoplossingen van Stormshield. Er zijn geen aanwijzingen gevonden dat de aanvallers de broncode hebben aangepast of hebben gebruikt voor het aanvallen van Stormshield-oplossingen. Een tweede voorzorgsmaatregel die Stormshield heeft genomen is het vervangen van het certificaat dat wordt gebruikt voor het signeren van de software-updates voor de netwerkproducten. Verdere details over de aanval zijn niet bekendgemaakt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in wifi-chips van chipfabrikant Realtek kunnen een aanvaller op afstand roottoegang tot de wifi-module geven, zo ontdekten beveiligingsonderzoekers van beveiligingsbedrijf Vdoo. Via de wifi-module zou het vervolgens mogelijk zijn om de applicatieprocessor van het apparaat aan te vallen. De Realtek RTL8195AM, RTL8711AM, RTL8711AF en RTL8710AF zijn wifi-modules die in allerlei soorten embedded devices voor een groot aantal sectoren worden gebruikt. Onderzoekers van Vdoo ontdekten dat het mogelijk is om tijdens de WPA2-handshake in het ergste geval een stack-based buffer overflow te veroorzaken, waardoor een aanvaller de wifi-module volledig kan overnemen. De aanvaller hoeft daarbij niet het wifi-wachtwoord (PSK) van het wifi-netwerk te weten. De kwetsbaarheid (CVE-2020-9395) doet zich voor in de 4-way handshake van het WPA2-protocol. Deze handshake wordt uitgevoerd als een client verbinding met een beveiligd wifi-netwerk wil maken en wordt gebruikt om te bevestigen dat de client en het access point over de juiste inloggegevens beschikken. Tijdens deze handshake kan een aanvaller een speciaal geprepareerd EAPoL-Key packet versturen dat een stack-based buffer overflow veroorzaakt en de aanvaller code met rootrechten op de wifi-module laat uitvoeren. EAPoL is een authenticatieprotocol dat wordt gebruikt om toegang tot een netwerk te krijgen. De aanval werkt zowel tegen clients als access points. Wanneer de wifi-module is gecompromitteerd kan de aanvaller proberen om ook de applicatieprocessor van het apparaat aan te vallen, aangezien hij volledige controle over het wifi-verkeer heeft. Realtek heeft beveiligingsupdates voor het probleem uitgebracht. bron: https://www.security.nl

Google heeft een kritieke kwetsbaarheid in Chrome verholpen die remote code execution mogelijk maakt. Het beveiligingslek is aanwezig in het onderdeel van de browser dat wordt gebruikt voor het verwerken van betalingen. Het gaat om een zogeheten 'use after free'. Verdere details worden niet door Google gegeven, behalve dat de kwetsbaarheid (CVE-2021-21142) is ontdekt en gemeld door beveiligingsonderzoeker Khalil Zhani. De onderzoeker kreeg voor zijn bugmelding een beloning van 20.000 dollar. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker vereist. Vorig jaar oktober kreeg Google echter ook met een kritieke kwetsbaarheid in het betalingsonderdeel te maken. Naast de kritieke kwetsbaarheid heeft Google ook vijf andere beveiligingslekken in de browser verholpen, waaronder in de extensies, 'tab groups', het verwerken van fonts en navigatie. Deze lekken zijn echter minder ernstig van aard. Updaten naar Chrome 88.0.4324.146 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. Aangezien deze update een kritiek beveiligingslek verhelpt zal Google proberen om de patch binnen dertig dagen onder alle gebruikers uit te rollen. Update Microsoft zal naar verwachting ook een nieuwe versie van Edge Chromium uitbrengen, maar doet dit meestal na de release van Google Chrome. Op deze pagina is een overzicht van de Chromium-updates voor Microsoft Edge te vinden. bron: https://www.security.nl

Netwerkbeveiliger SonicWall waarschuwt voor een actief aangevallen zerodaylek in de SMA 100 series gateway (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v). Een beveiligingsupdate is nog niet beschikbaar. De kwetsbaarheid raakt zowel fysieke als virtuele SMA-appliances met firmwareversie 10.x. Eerdere firmwareversies zijn niet kwetsbaar. Wereldwijd zouden duizenden apparaten risico lopen op aanvallen. De SMA 100 is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. SonicWall biedt allerlei oplossingen voor het beveiligen van netwerken. Eind januari liet het securitybedrijf weten dat de interne systemen doelwit van een aanval waren geworden waarbij mogelijk één of meerdere zerodaylekken in de eigen SonicWall-producten zijn gebruikt. Het onderzoek dat volgde stelde dat het mogelijk om een zeroday in de SMA 100 ging, maar vorige week maakte SonicWall nog bekend dat de aanwezigheid van een dergelijke kwetsbaarheid in de gateway nog altijd niet was bevestigd. Securitybedrijf NCC Group meldde dit weekend via Twitter dat het mogelijk het betreffende zerodaylek in de SMA 100 had ontdekt. Details werden vervolgens naar SonicWall gestuurd. Daarop laat de netwerkbeveiliger via de eigen website weten dat er inderdaad een zerodaylek in de gateway-oplossing aanwezig is. Later vandaag wordt er een beveiligingsupdate verwacht. In de tussentijd wordt aangeraden om multifactorauthenticatie in te schakelen en de wachtwoorden van gebruikers te resetten. Een andere oplossing die wordt aangeraden is het downgraden naar een eerdere firmwareversie. bron: https://www.security.nl

Even op in haken, lees ook dat er besteld is bij dezelfde firma. Het is dan verstandig deze firma ook op de hoogte te brengen. Zij weten dan in het vervolg dat de aankopen onder jou naam, geen aankopen of bestellingen van jou zijn. Kijk ook eens of je mailadres gebruikt wordt door derde: https://haveibeenpwned.com/ Zoals geadviseerd, is aanpassen van wachtwoorden sowieso verstandig.

Mocht het verschijnsel toch terug keren, kijk dan eerst even in de pc naar stof. Met name in de ventilatoren en koeldelen op de processor. Vaak is de oorzaak van je probleem inderdaad de warmte. Die kun je eenvoudig met een busje perslucht schoon blazen.