Captain Kirk

Verschillende aanbieders van end-to-end versleutelde diensten, waaronder e-mailproviders ProtonMail en Tutanota, hebben de Europese Unie gevraagd om af te zien van de encryptieresolutie van de Europese Raad. In de resolutie staat dat opsporingsdiensten toegang tot versleutelde data zouden moeten hebben. De resolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Hoewel de Europese Raad het niet expliciet noemt wordt er gevraagd om een backdoor, zo stellen ProtonMail, Threema, Tresorit en Tutanota. "Dit bedreigt de rechten van miljoenen Europeanen en ondermijnt een wereldwijde verschuiving naar het gebruik van end-to-end encryptie", aldus de vier bedrijven. Bij end-to-end encryptie hebben alleen de afzender en ontvanger toegang tot de inhoud van berichten. Een backdoor waardoor een derde partij kan meekijken zou per definitie inhouden dat er geen sprake meer is van end-to-end encryptie. De bedrijven stellen dat het begrijpelijk is om politiediensten meer tools te willen geven voor de bestrijding van criminaliteit. De resolutie is echter te vergelijken met politie die de sleutel van elke woning heeft, alleen dan digitaal. Het zou daarnaast tot grotere privacyschendingen kunnen leiden. Mochten de voorstellen doorgang vinden dan volgt de EU de ergste surveillancestaten ter wereld, zonder dat dit extra veiligheid oplevert, aldus Martin Blatter, ceo van versleutelde chatdienst Threema. De bedrijven willen dat er stappen worden genomen om te voorkomen dat de voorstellen te ver gaan en dat de privacy van Europeanen beschermd blijft. bron: https://www.security.nl

QNAP adviseert gebruikers van een NAS-systeem om SSH en Telnet uit te schakelen wanneer ze deze diensten niet gebruiken. Aanleiding voor het advies is een kwetsbaarheid in sudo waardoor lokale gebruikers rootrechten kunnen krijgen. Het beveiligingslek is aanwezig in Unix en Linux-gebaseerde besturingssystemen, waaronder QTS, QuTS en QES van QNAP. Een aanvaller die misbruik van de kwetsbaarheid wil maken moet eerst toegang tot het systeem zien te krijgen, maar dat zou via SSH of Telnet kunnen. Daarom adviseert QNAP als voorlopige bescherming tegen deze kwetsbaarheid om beide diensten uit te schakelen. De NAS-fabrikant werkt aan beveiligingsupdates en zal naar eigen zeggen zo snel als mogelijk met meer informatie komen. bron: https://www.security.nl

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, zo meldt een beveiligingsonderzoeker op Twitter. Gisteren lieten Politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. "De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd", aldus de aankondiging. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten. Een beveiligingsonderzoeker met het alias 'milkream' analyseerde de update en ontdekte dat die op 25 april Emotet van besmette pc's verwijdert. Twee securitybedrijven die zich met onderzoek naar Emotet bezighouden bevestigen dit tegenover ZDNet. Organisaties worden opgeroepen om hun netwerken te controleren. Hoewel Emotet niet meer actief is, kan andere malware die het installeerde zoals TrickBot en QakBot dat wel zijn. bron: https://www.security.nl

Bij de internationale politieoperatie tegen het Emotet-botnet heeft de Oekraïense politie invallen gedaan bij personen die met de malware in verband worden gebracht. Tijdens de huiszoekingen, die werden gefilmd, zijn goud, zilver, geld, bankpassen, servers, computers, harde schijven en andere apparatuur in beslag genomen, alsmede opslagmedia met gestolen inloggegevens en informatie over besmette organisaties. Het Emotet-botnet speelde een belangrijke rol in het faciliteren van cybercrime en wordt voor enkele grote ransomware-uitbraken verantwoordelijk gehouden. Politiediensten wisten de drie hoofdservers van het Emotet-botnet in kaart te brengen, waarvan er twee in Nederland stonden. De hoofdservers werden deze week overgenomen, waardoor het botnet volledig is ontregeld. Daarnaast hebben de autoriteiten een update ontwikkeld die automatisch door besmette systemen wordt gedownload en de malware in quarantaine plaatst. Tijdens het onderzoek kwam de Oekraïense politie twee verdachten op het spoor die verantwoordelijk zouden zijn voor het beheer van het Emotet-botnet. Of deze personen ook zijn aangehouden laat het persbericht van de politie niet weten. Wel melden de Oekraïense autoriteiten dat er leden zijn geïdentificeerd van een internationale groep cybercriminelen die het Emotet-netwerk voor cyberaanvallen gebruikte. De verdachten hangen in de Oekraïne een gevangenisstraf van twaalf jaar boven het hoofd. Het Britse National Crime Agency (NCA) meldt dat er wereldwijd minstens zevenhonderd servers waar Emotet gebruik van maakte offline zijn gehaald. Het onderzoek laat verder zien dat de bende achter Emotet over een periode van twee jaar op één cryptovalutaplatform meer dan 10 miljoen dollar had staan. Tevens zou de groep in deze zelfde periode bijna 500.000 dollar hebben uitgegeven aan het onderhoud van de criminele infrastructuur. bron: https://www.security.nl

De Nederlandse politie heeft vandaag een tool gelanceerd waarmee honderdduizenden slachtoffers van de Emotet-malware kunnen controleren of hun inloggegevens door de malware zijn gestolen. De politie wist tijdens een internationale operatie controle over het Emotet-netwerk te krijgen. Vervolgens ontwikkelden de autoriteiten een update die de malware op besmette machines in quarantaine plaatst. Geïnfecteerde computers zullen deze update automatisch downloaden en uitvoeren. De Emotet-malware had verschillende doeleinden, zoals het installeren van aanvullende malware, waaronder ransomware. De malware wist ook op besmette systemen gebruikersnamen en wachtwoorden van e-mailaccounts buit te maken. Deze inloggegevens gebruikte Emotet onder andere om zichzelf naar contacten van het slachtoffer te sturen. Tijdens de operatie om Emotet uit te schakelen werden 600.000 e-mailadressen met wachtwoorden door de politie aangetroffen. Door middel van de 'Emotet-checker' kunnen internetgebruikers controleren of de inloggegevens van hun e-mailaccount tussen deze dataset zit. Via de website van de politie kan een e-mailadres worden ingevoerd. Wanneer blijkt dat dit e-mailadres is gecompromitteerd ontvangt de gebruiker een e-mail van de politie. Wanneer het e-mailadres niet in de gestolen data voorkomt wordt er geen bericht verstuurd. "Dit betekent alleen dat uw gegevens niet voorkomen in de datasets die wij in beslag genomen hebben. Maar: uw computer kan besmet zijn door een ander botnet dat we nog niet opgerold hebben. Verander daarom regelmatig uw wachtwoorden en controleer ook andere checksites. Bijvoorbeeld deze: haveibeenpwned.com", aldus de politie. Het is niet voor het eerst dat de Nederlandse politie een dergelijke e-mailchecker online zet. In juli 2017 werd dit ook al een keer gedaan nadat gestolen inloggegevens van 60.000 e-mailadressen waren ontdekt. bron: https://www.security.nl

Tijdens een internationale politieoperatie zijn de hoofdservers van het beruchte Emotet-botnet overgenomen en vervolgens gebruikt om de malware bij één miljoen computers in quarantaine te plaatsen. Twee van de hoofdservers stonden in Nederland. De politie kon deze servers dankzij de hackbevoegdheid binnendringen, zo laat het Openbaar Ministerie vandaag weten. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Wereldwijd zouden één miljoen computers met Emotet besmet zijn. Volgens het Openbaar Ministerie maakte de criminele organisatie achter Emotet gebruik van honderden servers om de malware te verspreiden. Sommige servers werden gebruikt om besmette machines te besturen en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden. Tijdens een onderzoek naar de malware werd de gehele infrastructuur in kaart gebracht. Daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. Deze week lukte het de autoriteiten om de controle over het Emotet-netwerk over te nemen en de malware te deactiveren. Op de Nederlandse hoofdservers is een software-update geplaatst voor alle besmette computersystemen. Die halen de update daar automatisch op, waarna de Emotet-malware in quarantaine wordt geplaatst. Emotet-checker Tevens heeft de politie de Emotet-checker gelanceerd waarmee eindgebruikers en systeembeheerders van bedrijven en organisaties kunnen nagaan of Emotet op hun systemen wachtwoorden en gebruikersnamen heeft gestolen. Tijdens het onderzoek trof de politie 600.000 e-mailadressen met wachtwoorden aan die de malware had buitgemaakt. Tijdens operatie "LadyBird" werkten de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. bron: https://www.security.nl

Back-updienst Backblaze heeft het jaarlijkse overzicht van de betrouwbaarheid van harde schijven gepubliceerd, waaruit blijkt dat het bedrijf vorig jaar met minder uitgevallen hard disks te maken kreeg. Met meer dan 162.000 harde schijven die het vorig jaar voor de aangeboden cloudopslag gebruikte, beschikt Backblaze over uitgebreide data wat betreft de uitval van verschillende fabrikanten en modellen. Uit het overzicht blijkt dat er vorig jaar in totaal 1302 harde schijven uitvielen. Daarvan was het grootste deel van fabrikant Seagate afkomstig. De meeste disks waar Backblaze gebruik van maakt zijn echter ook van Seagate. Wordt er gekeken naar de "annualized failure rate" (AFR) dan kent Seagate nog altijd meer uitval dan Toshiba, HGST en Western Digital. Volgens de back-updienst kunnen er pas bij harde schijven die bij elkaar meer dan 250.000 dagen in gebruik zijn geweest conclusies over de uitval worden getrokken. Dan blijkt juist dat een 6TB-model van Seagate vorig jaar de minste uitval kende (AFR van 0,23 procent), gevolgd door vier modellen van HGST met een uitval van respectievelijk 0,27, 0,27, 0,29 en 0,31 procent. Seagate kent echter ook de hoogste uitval. Een 4TB-model spant de kroon met een percentage van 1,41, gevolgd door een 10TB-model met een AFR van 1,33 procent. De gemiddelde uitval voor alle schijfmodellen bedroeg vorig jaar 0,93 procent. In 2019 was dat nog 1,89 procent. De verbetering is te danken aan een "groepsinzet", aldus de back-updienst. Zo presteerden 4TB-, 6TB-, 8TB- en 10TB-schijven als groep veel beter dan een jaar eerder. En werden er 30.000 grotere schijven van 14TB, 16TB en 18TB toegevoegd die als groep een lagere uitval lieten zien. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Sudo geeft lokale gebruikers de mogelijkheid om rootrechten te krijgen. Het beveiligingslek is al sinds juli 2011 in Sudo aanwezig. Er zijn beveiligingsupdates verschenen om het probleem te verhelpen, zo meldt securitybedrijf Qualys dat het beveiligingslek ontdekte. Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. In het geval van CVE-2021-3156, of "Baron Samedit", zoals de kwetsbaarheid wordt aangeduid, kan elke lokale gebruiker zonder authenticatie rootrechten krijgen. Het gaat dan ook om gebruikers die niet in het bestand /etc/sudoers voorkomen, waarin staat welke gebruikers toegang tot het sudo-commando hebben. Het probleem wordt veroorzaakt doordat Sudo backslashes in command-line argumenten niet goed escapet wat een heap-based buffer overflow kan veroorzaken, zo leggen de Sudo-ontwikkelaars uit. Het beveiligingslek werd in juli 2011 in Sudo geïntroduceerd en raakt alle legacy versies van 1.8.2 tot en met 1.8.31p2 en alle stabiele versies van 1.9.0 tot en met 1.9.5p1 in de standaardconfiguratie. De ontwikkelaars van Sudo hebben versie 1.9.5p2 uitgebracht waarmee het probleem wordt verholpen. De onderzoekers van Qualys hebben exploits ontwikkeld die tegen Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2) werken, maar de onderzoekers merken op dat waarschijnlijk ook andere besturingssystemen en distributies kwetsbaar zijn. In deze video wordt de kwetsbaarheid gedemonstreerd. Gebruikers die willen testen of hun systeem kwetsbaar is moeten als non-root user inloggen en het commando "sudoedit -s /" uitvoeren, aldus Qualys. Als het systeem kwetsbaar is verschijnt er een foutmelding die begint met "sudoedit:". Is het systeem gepatcht dan verschijnt een foutmelding die begint met "usage:". bron: https://www.security.nl

Er is vandaag een nieuwe versie van Firefox verschenen die gebruikers tegen supercookies beschermt. Ook is de ondersteuning van Adobe Flash Player volledig uit de browser verwijderd en zijn er dertien kwetsbaarheden verholpen. Tevens is het in de wachtwoordmanager nu mogelijk om alle opgeslagen inloggegevens met één muisklik te verwijderen, terwijl voorheen slechts één login per keer kon worden verwijderd. De supercookies waar Mozilla het over heeft zijn volgens de browserontwikkelaar veel lastiger voor gebruikers om te blokkeren en verwijderen. Bij het verwijderen van de normale cookies blijven de supercookies gewoon in de browser achter. De afgelopen jaren hebben trackers verschillende manieren gevonden om hun supercookies in de browser op te slaan, zoals Flash storage, ETags en HSTS-flags. In Firefox 85 zijn nu verschillende aanpassingen doorgevoerd waardoor trackers de cache-gebaseerde supercookies niet meer op meerdere websites kunnen gebruiken om gebruikers te volgen. Een voorbeeld van supercookies waar Firefox mee te maken heeft zijn verborgen in de image cache. Daarin worden afbeeldingen van bezochte websites opgeslagen. Wanneer de gebruiker dezelfde website opnieuw bezoekt laadt Firefox de afbeelding uit de image cache. Sommige trackers maken hier misbruik van door een unieke identifier voor de gebruiker aan een gecachete afbeelding van een website toe te voegen. Vervolgens wordt die identifier op een andere website opgehaald door dezelfde afbeelding te embedden. Om dit te voorkomen gebruikt de nieuwste Firefoxversie voor elke bezochte website een aparte image cache. Wanneer een gebruiker de eerder bezochte website opnieuw bezoekt worden de gecachete afbeeldingen nog steeds geladen, maar wordt de cache niet onder meerdere websites gedeeld. Ook voor andere caches, zoals de HTTP cache, favicon cache, HSTS cache, OCSP cache, style sheet cache, font cache, DNS cache, HTTP Authentication cache, Alt-Svc cache en TLS certificate cache, maakt Firefox gebruik van partitionering. "Systematische netwerkpartitionering maakt het lastiger voor trackers om de anti-trackingfeatures van Firefox te omzeilen, maar we hebben nog veel meer werk te verrichten om onze verdediging te versterken", zegt Steven Englehardt van Mozilla. Verder is er nu officieel een einde aan de ondersteuning van Adobe Flash Player gekomen. Het is niet meer mogelijk om de browserplug-in in Firefox in te schakelen. Eerder namen ook Google Chrome en Microsoft Chromium Edge afscheid van Flash. Met de lancering van Firefox 85 zijn tevens dertien kwetsbaarheden in de browser verholpen. Geen van deze beveiligingslekken is als kritiek aangemerkt. In verschillende gevallen stelt Mozilla dat de kwetsbaarheden met voldoende moeite gebruikt zouden kunnen worden door een aanvaller om willekeurige code op het systeem uit te voeren. Updaten naar Firefox 85 kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

De Privacy Sandbox die Google in 2019 aankondigde kan third-party cookies in de toekomst vervangen, zo laat het techbedrijf vandaag weten. Er zou dan kunnen worden gekeken naar het browsegedrag van mensen om ze relevante informatie te tonen. Third-party cookies zijn volgens Google de voornaamste manier om internetgebruikers op het web te volgen. Vanwege de privacygevolgen hiervan zijn verschillende browsers inmiddels begonnen met het blokkeren van third-party cookies. Iets dat volgens Google negatieve gevolgen voor adverteerders heeft en het businessmodel van websites ondermijnt. Als oplossing presenteerde Google de Privacy Sandbox. Die zou ervoor moeten zorgen dat websites geld aan gerichte advertenties kunnen blijven verdienen terwijl gelijkertijd de privacy van gebruikers wordt beschermd. Het wordt omschreven als een "veilige omgeving" die personalisatie mogelijk maakt. Informatie van gebruikers wordt anoniem samengevoegd en veel meer gebruikersgegevens blijven alleen op het toestel van de gebruiker. Met de lancering van Chrome 89 zal Google een zogeheten origin trial starten waarbij de Federated Learning of Cohorts API (FLoC) wordt getest. Bij FLoC worden "grote groepen" mensen met hetzelfde browsegedrag samengevoegd, waarna ze gerichte advertenties te zien krijgen. Het browsegedrag blijft daarbij op de computer van de gebruiker. Volgens Google kan het FLoC-algoritme net zo effectief zijn als third-party cookies bij het tonen van gerichte advertenties. Het "FLoC-cohort" is een korte naam die wordt gedeeld door een groep van duizenden mensen die hetzelfde browsegedrag vertonen. De browser gebruikt machine learning om een cohort te ontwikkelen, gebaseerd op de websites die een gebruiker bezoekt. Het kan dan gaan om de url's, de inhoud van die pagina's of andere factoren. Deze informatie blijft lokaal op het systeem. Het enige dat de browser prijsgeeft is het gegenereerde cohort. De browser zorgt ervoor dat de cohorten goed worden verspreid, zodat elk cohort duizenden mensen vertegenwoordigt. Het aantal cohorten zou klein moeten zijn, zodat ze geen gedetailleerde informatie kunnen bevatten. Daarbij wijst Google ook naar korte cohortnamen, zoals "43A7". FLoC zou voor minstens 95 procent voor dezelfde conversie zorgen als bij cookiegebaseerde advertenties. In totaal ontving Google meer dan dertig voorstellen voor het uitfaseren van third-party cookies. Vijf verschillende voorstellen voor een Privacy Sandbox zijn nu beschikbaar om te worden getest of zullen dat binnenkort zijn. Naast de test met FLoC-gebaseerde cohorten in Chrome 89 zal Google in het tweede kwartaal FLoC-gebaseerde cohorten met adverteerders in Google Ads gaan testen. "De Privacy Sandbox is de beste weg voorwaarts om de privacy van internetgebruikers te beschermen en tegelijkertijd ervoor te zorgen dat uitgevers hun content kunnen financieren en adverteerders de juiste personen kunnen bereiken", zegt Chetna Bindra van Google. bron: https://www.security.nl

De nieuwste versie van Microsoft Edge is voorzien van een wachtwoordgenerator en datalekmonitor. Ook ondersteunt de browser nu Secure DNS en biedt gebruikers meer opties voor cookiebeheer en toegang van websites tot de webcam, microfoon en locatie. Dat heeft Microsoft aangekondigd. Volgens het techbedrijf kiezen gebruikers vaak zwakke wachtwoorden en hergebruiken die op meerdere websites. Microsoft Edge 88 is daarom voorzien van een wachtwoordgenerator die voor gebruikers wachtwoorden genereert en in de browser opslaat. Een andere nieuwe optie in de browser is de "Password Monitor". Die kijkt of de door gebruikers opgeslagen wachtwoorden in de browser onderdeel van een bekend datalek zijn. In dit geval krijgen gebruikers een waarschuwing om hun wachtwoord te wijzigen. Hierbij krijgt Microsoft geen informatie over de gebruikersnaam en het wachtwoord van de gebruiker, zo stelt het techbedrijf in een blogpost. Om de wachtwoorden van gebruikers te kunnen vergelijken met gelekte wachtwoorden maakt de browser gebruik van "homomorphic encryption". Dit is een vorm van encryptie waarbij er berekeningen op versleutelde data worden uitgevoerd, zonder de data eerst te ontsleutelen. Het versleutelde resultaat van de berekening wordt naar de browser teruggestuurd, die het lokaal op het systeem van de gebruiker ontsleutelt. Naast nieuwe opties voor wachtwoorden biedt Edge 88 ook meer opties wat betreft cookiebeheer en de toegang tot camera, microfoon en locatie door websites. Nu is het per website mogelijk om in te stellen of die bijvoorbeeld de locatie van de gebruiker mogen weten en is dit vervolgens ook weer aan te passen. Verder is het nu mogelijk om alleen third-party cookies te verwijderen. Voorheen was het alles of niets en konden gebruikers alleen kiezen om al hun cookies weg te gooien. Als laatste is er ondersteuning voor Secure DNS toegevoegd. De feature zorgt ervoor dat dns-verzoeken via een https-verbinding plaatsvinden. Dit moet aanpassingen aan of inspectie van het dns-verzoek voorkomen. Edge zal DNS-over-HTTPS automatisch inschakelen als de dns-provider van de gebruiker dit ondersteunt. Gebruikers kunnen de optie indien gewenst ook uitschakelen. bron: https://www.security.nl

QNAP waarschuwt gebruikers vandaag voor de dovecat-malware die een cryptominer op kwetsbare NAS-systemen installeert. De aanwezigheid van de malware is te herkennen aan twee processen genaamd Dovecat en dedpma. Slachtoffers van de malware laten weten dat deze processen de processor van hun NAS honderd procent belast. Dit komt door een bitcoinminer die de malware installeert, aldus QNAP. De malware is ook op NAS-systemen van Synology aangetroffen, maar deze fabrikant heeft nog geen waarschuwing afgegeven. Hoe systemen besmet raken is onbekend. QNAP zegt aan een oplossing te werken die de dovecat-malware van systemen verwijdert. Gebruikers krijgen het advies om de laatste versie van de QTS-firmware te installeren, een firewall te gebruiken, een sterker beheerderswachtwoord te kiezen, SSH en Telnet uit te schakelen wanneer die niet worden gebruikt en standaard poorten 80, 443, 8080 en 8081 te vermijden. bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval waren zeer bedreven in operationele security en deden veel moeite om hun sporen te wissen en niet te worden opgemerkt. Dat stelt Microsoft in een nieuwe analyse van de technieken en tactieken die de aanvallers toepasten om onder de radar te blijven. De aanvallers wisten, voor zover nu bekend, in 2019 toegang te krijgen tot systemen van SolarWinds en voegden vervolgens een backdoor toe aan updates voor het Orion Platform van het softwarebedrijf. Via deze backdoor werd bij een select aantal slachtoffers aanvullende malware geïnstalleerd. De malware had als doel het laden van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren. Volgens Microsoft deden de aanvallers al het mogelijke om het laden van Cobalt Strike te scheiden van het SolarWinds-proces. Mocht de aangevallen organisatie de aanwezigheid van Cobalt Strike ontdekken, dan zou de backdoor in SolarWinds mogelijk onopgemerkt blijven. Het is niet de enige maatregel die de aanvallers namen om niet op te vallen. Zo werd voor elke besmette computer een aparte Cobalt Strike-dll gebruikt. Ook gebruikte mapnamen, bestandsnamen, exportfunctienamen, command & control-domeinen, http-requests, tijden, bestandsmetadata, configuraties en gestarte processen waren voor elke machine uniek. Zelfs de archiefbestanden die via 7-Zip werden gemaakt waren van een uniek wachtwoord voorzien, en ook voor de gegenereerde logbestanden gebruikten de aanvallers unieke namen. Volgens Microsoft doen aanvallers zelden zoveel moeite per besmette machine en moest het identificatie van alle besmette computers binnen een netwerk voorkomen. De tools en bestanden waar de aanvallers mee werkten werden altijd hernoemd en in mappen geplaatst die zich voordeden als bestanden en programma's die al op het systeem aanwezig waren. Veel van de activiteiten op de geïnfecteerde systemen waren handwerk aan de kant van de aanvallers. Voordat ze aan de slag gingen werd eerst het loggen van events uitgeschakeld en na afloop weer ingeschakeld. Op een soortgelijke manier werden er firewallregels gebruikt wanneer er verkeer plaatsvond dat zou kunnen opvallen. Deze regels werden na afloop van de activiteiten weer verwijderd. Het lateraal bewegen door de getroffen organisatie vond pas plaats nadat bepaalde beveiligingssoftware eerst was uitgeschakeld. Microsoft vermoedt dat de aanvallers ook timestaps van bestanden hebben aangepast en "professionle wisprocedures" toepasten om het achterhalen van gebruikte bestanden te bemoeilijken. Tijdlijn Voor zover nu bekend werd in februari vorig jaar voor het eerst een backdoor aan de updates van SolarWinds toegevoegd. Deze update werd in maart uitgerold. De backdoor werd pas twee weken na de installatie bij organisaties actief. Microsoft denkt dat de aanvallers een maand bezig waren om hun slachtoffers te selecteren en voor elke organisatie een aparte Cobalt Strike-dll te maken, alsmede de command en control-infrastructuur op te zetten. In juni besloten de aanvallers hun backdoor weer uit de code van SolarWinds te verwijderen. Dit geeft mogelijk aan dat de aanvallers voldoende interessante doelwitten hadden gevonden en hun doel veranderde van het verspreiden van de backdoor naar het actief zijn op de netwerken van geselecteerde organisaties, aldus Microsoft. bron: https://www.security.nl

In de populaire mediaspeler VLC zijn verschillende kwetsbaarheden aanwezig waardoor in het ergste geval remote code execution mogelijk is en een aanvaller volledige controle over systemen kan krijgen. Het openen van een speciaal geprepareerd mediabestand of stream is hiervoor voldoende. Het openen van een dergelijk bestand of stream kan voor verschillende read buffer overflows zorgen. Volgens VLC-ontwikkelaar VideoLAN zal de mediaspeler in de meeste gevallen crashen. Er kan echter niet worden uitgesloten dat het combineren van de kwetsbaarheden het mogelijk maakt om gebruikersinformatie te stelen of zelfs code met de rechten van de gebruiker uit te voeren. VideoLAN heeft een beveiligingsupdate uitgebracht en adviseert gebruikers om te updaten naar VLC 3.0.12. Wanneer dit niet mogelijk is wordt aangeraden om geen bestanden van onbetrouwbare bronnen te openen of onbetrouwbare websites te bezoeken totdat de patch is uitgerold. Om de aanvalsvector via websites te blokkeren kunnen ook de VLC-browserplug-ins worden uitgeschakeld. bron: https://www.security.nl

Tijdens de eerste patchronde van 2021 heeft Oracle in totaal 329 kwetsbaarheden in een groot aantal producten verholpen. Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren. Zo zijn er zes zeer ernstige kwetsbaarheden in Oracle WebLogic Server opgelost. In tegenstelling tot bijvoorbeeld Adobe en Microsoft die maandelijks patches uitbrengen doet Oracle dit eens per kwartaal. De meeste problemen zijn dit keer in de Oracle Fussion Middleware-applicaties gerepareerd. Het gaat onder andere om Oracle Data Integrator, Oracle WebLogic Server en BI Publisher. Zes van de beveiligingslekken in WebLogic Server zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. In het verleden zijn kwetsbaarheden in WebLogic Server met een dergelijke impact vrij kort na het verschijnen van de updates aangevallen. In de financiële applicaties van Oracle, zoals Banking Platform, Banking Extensibility Workbench en FLEXCUBE Universal Banking, behoren vijftig kwetsbaarheden tot het verleden. Hierna volgt Oracle MySQL, waar 43 kwetsbaarheden in werden verholpen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren en ondersteunde versies van de software te blijven gebruiken. De volgende patchronde staat gepland voor 20 april 2021. bron: https://www.security.nl

Verschillende kwetsbaarheden in chatapps Signal, Facebook Messenger, Google Duo, JioChat en Mocha maakten het mogelijk om gebruikers te bespioneren. De beveiligingslekken, die vorig jaar al werden verholpen, zijn gevonden door onderzoeker Natalie Silvanovich van Google Project Zero. Ze heeft nu een uitgebreide analyse van de gevonden problemen openbaar gemaakt. De kwetsbaarheden in de "signalling state" van de chatapps, het proces dat komt kijken bij het opzetten van een gesprek, maakten het mogelijk voor een aanvaller om de microfoon en camera van het slachtoffer in te schakelen, zonder dat die hiervoor iets hoefde te doen. Zo kon de omgeving van het slachtoffer worden afgeluisterd of gefilmd. "In theorie zou het vrij eenvoudig moeten zijn dat er pas audio of video wordt doorgegeven wanneer de gebelde persoon opneemt", laat Silvanovich weten. "Wanneer ik echter naar echte applicaties keek bleken ze de transmissie op allerlei verschillende manieren mogelijk te maken. Veel van deze manieren zorgden voor kwetsbaarheden waardoor gesprekken konden worden opgezet zonder interactie van de gebelde persoon." In het geval van Signal gebruikte Silvanovich hiervoor een aangepaste Androidversie van de Signal-app. Daarmee was het mogelijk om een audioverbinding met het slachtoffer op te zetten, zonder dat die het inkomende gesprek hoefde te accepteren. De iOS-versie beschikte over een zelfde probleem, maar daar lukte het door een fout in de gebruikersinterface niet om de aanval uit te voeren. De kwetsbaarheid werd in september 2019 door Signal verholpen. In Facebook Messenger vond Silvanovich vorig jaar oktober een kwetsbaarheid die een soortgelijke aanval mogelijk maakte. Wederom kon er een audioverbinding worden opgezet zonder dat het slachtoffer moest opnemen. Facebook verhielp het probleem in november. Een aanvaller kon bij gebruikers van Google Duo een videostream inschakelen en zo ongemerkt meekijken, ontdekte de onderzoeker in september. Hierbij werd echter geen audio doorgegeven. Google kwam in december met een oplossing. Naast de bovengenoemde chatapplicaties keek Silvanovich ook naar Viber en Telegram, maar ontdekte daar geen problemen. Ze vraagt zich af waarom dergelijke kwetsbaarheden zo vaak bij chatapps voorkomen. Ze vermoedt dat de oorzaak ligt een gebrek aan bewustzijn over dit soort beveiligingslekken en de complexiteit die komt kijken bij het opzetten van gesprekken tussen gebruikers van chatapps. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin de support voor Adobe Flash Player volledig is verwijderd. Daarnaast is er een kritieke kwetsbaarheid in de browser verholpen die remote code execution mogelijk maakte. Op 31 december vorig jaar stopte Adobe al de ondersteuning van Flash Player. Sinds 12 januari blokkeert de browserplug-in het afspelen van Flash-content. Browserontwikkelaars volgen nu door de support voor de verouderde technologie volledig uit hun browsers te verwijderen. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. Daarnaast werd het geplaagd door een lange geschiedenis van beveiligingsproblemen. Naast het verwijderen van de ondersteuning voor Adobe Flash Player zijn er ook 36 kwetsbaarheden verholpen. Eén van deze beveiligingslekken is als kritiek aangemerkt en maakt het mogelijk voor een aanvaller om volledige controle over het onderliggende systeem te krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Veel details over de kwetsbaarheid (CVE-2021-21117) zijn niet gegeven, behalve dat die in een onderdeel aanwezig is genaamd Cryptohome. Het beveiligingslek werd ontdekt door onderzoeker Rory McNamara die Google op 10 oktober over het probleem informeerde. Voor zijn bugmelding ontving de onderzoeker 30.000 dollar. Naast de bovengenoemde kritieke kwetsbaarheid zijn in de nieuwe Chrome-versie 35 andere beveiligingslekken met een lagere impact verholpen. Het gaat onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Op de meeste systemen zal Chrome automatisch naar versie 88.0.4324.96 updaten. bron: https://www.security.nl

De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren. Dat liet Microsoft op 15 december aan Malwarebytes weten. Op dezelfde dag werd ook securitybedrijf CrowdStrike door Microsoft geïnformeerd dat het door de SolarWinds-aanvallers was aangevallen. Het onderzoek dat Malwarebytes na de melding uitvoerde liet zien dat de aanvallers een "e-mailbeveiligingsproduct" binnen de Office 365-omgeving hadden gebruikt waarmee er toegang tot een beperkte hoeveelheid interne bedrijfsmails werd verkregen. Om welk beveiligingsproduct het gaat is niet bekendgemaakt. Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen. Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen. "Voor veel organisaties is het beveiligen van Azure-omgevingen een uitdagende taak, zeker wanneer er met third-party applicaties of resellers wordt gewerkt", zegt Marcin Kleczynski van Malwarebytes. De interne en productiesystemen van het securitybedrijf zijn niet gecompromitteerd. bron: https://www.security.nl

Bij het onderzoek naar de wereldwijde SolarWinds-aanval is nieuwe malware ontdekt, zo meldt securitybedrijf Symantec in een analyse. De malware wordt Raindrop genoemd en werd geïnstalleerd nadat aanvallers al toegang tot de systemen van slachtoffers hadden gekregen. Het uiteindelijke doel van Raindrop is de installatie van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren. Raindrop is het vierde malware-exemplaar dat met de supply-chain-aanval in verband wordt gebracht. Aanvallers wisten in 2019 toegang tot de systemen van SolarWinds te krijgen. Begin 2020 werden updates voor het Orion Platform van SolarWinds voorzien van een backdoor genaamd Sunburst. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop. De Teardrop-malware werd gebruikt voor het laden van Cobalt Strike. Nu maakt Symantec melding van Raindrop. Een groot verschil met Teardrop is dat Raindrop niet werd geïnstalleerd via de Sunburst-backdoor. In plaats daarvan werd de malware gebruikt in netwerken waar al tenminste één machine was geïnfecteerd. Symantec is bekend met een getroffen organisatie waar twee machines via de Orion-updates besmet raakten. Elf dagen later werd op een derde computer, waar nog niet eerder verdachte activiteiten op waren waargenomen, een exemplaar van de Raindrop-malware aangetroffen. Een ander verschil tussen Raindrop en Teardrop is dat de eerstgenoemde is gecompileerd als een dll-bestand, dat als basis een aangepaste versie van het archiveringsprogramma 7-Zip gebruikt. De broncode van 7-Zip wordt niet gebruikt en is alleen bedoeld om de kwaadaardige functionaliteit die aanvallers hebben toegevoegd te verbergen. Volgens Symantec is de ontdekking van Raindrop een belangrijk stap in het onderzoek naar de SolarWinds-aanval, aangezien het meer inzicht geeft in wat de aanvallers deden nadat ze de eerste machine van een organisatie hadden besmet. "Terwijl Teardrop werd gebruikt op computers die door de Sunburst-backdoor waren besmet, verscheen Raindrop op andere plekken in het netwerk en werd door de aanvallers gebruikt om zich lateraal te bewegen en andere computers aan te vallen", aldus Symantec. Naast Sunburst, Teardrop en Raindrop werd vorige week nog de Sunspot-malware ontdekt. Deze malware werd gebruikt bij de aanval op SolarWinds zelf en had als doel het toevoegen van de Sunburst-backdoor aan de Orion-updates. bron: https://www.security.nl

Bij een aanval op Nitro Software die vorig jaar plaatsvond zijn de gegevens van 77 miljoen gebruikers gestolen. Het softwarebedrijf is onder andere de ontwikkelaar van Nitro PDF Reader, een alternatief voor Adobe Acrobat. Ook biedt het bedrijf software voor het signeren van pdf-documenten aan. De aanval vond afgelopen september plaats en werd in oktober door Nitro Software aan de Australian Securities Exchange (ASX) gerapporteerd. Details over het aantal getroffen gebruikers werden echter niet gegeven. Vandaag meldt beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned dat het om meer dan 77 miljoen accounts gaat. De gestolen accountdata bestaat onder andere uit e-mailadressen, namen en met bcrypt gehashte wachtwoorden. In totaal bevat de dataset meer dan zeventig miljoen e-mailadressen die nu aan Have I Been Pwned zijn toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 59 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Organisaties die van Transport Layer Security (TLS) gebruikmaken moeten hun leverancier vragen om TLS 1.3 te gaan ondersteunen, om zo beter op de toekomst te zijn voorbereid, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid vandaag. TLS is het meestgebruikte protocol voor beveiligde verbindingen op internet. Het gaat dan bijvoorbeeld om het beveiligen van web en e-mailverkeer. In het verleden publiceerde het NCSC al ict-beveiligingsrichtlijnen voor het gebruik van TLS. Vandaag is er een update voor deze richtlijnen uitgekomen. Daarin wordt geadviseerd om bij het inkopen, opstellen en beoordelen van configuraties voor TLS rekening te houden met TLS 1.3. Dit is de nieuwste versie van het protocol. "TLS 1.3 is inmiddels goed beschikbaar in recente versies van softwarebibliotheken", aldus het NCSC. Op basis van nieuwe inzichten heeft het besloten om TLS 1.2 in veiligheidsniveau af te schalen van Goed naar Voldoende. TLS 1.3 houdt de beoordeling Goed. TLS 1.2 is volgens de overheidsinstantie nog steeds veilig, maar minder toekomstvast dan TLS 1.3. "TLS 1.2 is minder robuust dan TLS 1.3 tegen toekomstige doorontwikkeling van aanvalstechnieken", stelt het NCSC. Zo zijn verschillende zwakkere elementen van TLS 1.2 niet in TLS 1.3 opgenomen. Daarnaast bevat TLS 1.3 minder kwetsbare configuratie-opties dan TLS 1.2, waardoor TLS 1.3 eenvoudiger veilig te configureren is. Verschillende categorieën aanvallen die tegen TLS 1.2 en eerdere versies werken zijn zodoende niet meer van toepassing op TLS 1.3. Daarom wordt organisaties aangeraden om hun leverancier te vragen TLS 1.3 te gaan ondersteunen. bron: https://www.security.nl

Criminelen zijn erin geslaagd het forum van softwarebedrijf IObit te compromitteren en hebben vervolgens een geraffineerde ransomware-aanval op gebruikers uitgevoerd. Forumgebruikers ontvingen een e-mail die van IObit afkomstig leek en een gratis jaarlicentie leek aan te bieden. De link in de e-mail wees naar een pagina gehost op het officiële IObit-forum en bevatte een zip-bestand genaamd "free-iobit-license-promo.zip" dat daar ook werd gehost. Zodra gebruikers het bestand openen verschijnt er een melding van de "IObit License Manager" waarin de gebruiker wordt opgeroepen zijn computer niet uit te schakelen. In werkelijkheid gaat het om de DeroHE-ransomware die bestanden op het systeem versleutelt. De melding is slechts bedoeld om de ransomware meer tijd gegeven de bestanden te versleutelen, meldt Bleeping Computer. Voor het ontsleutelen van bestanden moeten slachtoffers honderd dollar in de cryptovaluta Dero betalen betalen. Eén forumgebruiker laat via Twitter weten hoe de ransomware 121.000 bestanden op zijn systeem versleutelde. "Meestal ben ik best tech savvy en weet om geen vreemde software te draaien, maar alles zag er legitiem uit (e-mail, adres, artwork, url) dus downloadde ik de "freebie" patch die mijn IObit-software zou registreren", aldus de getroffen gebruiker. IObit heeft nog niet op de aanval gereageerd. Wel is het forum voor onderhoudswerkzaamheden offline gehaald. bron: https://www.security.nl

Bij een aanval die afgelopen zaterdag plaatsvond op het OpenWRT-forum zijn de gegevens van 27.000 gebruikers gestolen. De aanvaller wist door middel van een gecompromitteerd beheerdersaccounts een kopie van de gebruikerslijst te downloaden. Deze lijst bevat e-mailadressen, aliassen en andere statistische informatie. De forumbeheerders denken dat de aanvaller de database niet heeft buitgemaakt. Uit voorzorg is besloten om de wachtwoorden van alle forumgebruikers te resetten en alle API-keys te flushen. Volgens de forumbeheerders moeten gebruikers ervan uitgaan dat hun e-mailadres en alias is buitgemaakt en dat er een risico bestaat dat ze phishingmails zullen ontvangen. Volgens cijfers van OpenWRT telt het forum 27.000 gebruikers. Hoe de aanvaller toegang tot het beheerdersaccount kreeg is onbekend. Het account had volgens de beheerders een goed wachtwoord, maar gebruikte geen tweefactorauthenticatie. Inloggegevens voor de OpenWRT-wiki, waar allerlei downloadlinks en andere informatie zijn te vinden, zijn voor zover bekend niet gecompromitteerd. Zodra er meer bekend wordt over de aanval of gestolen informatie zal OpenWRT met een update komen. OpenWRT staat voor open wireless router en is een opensourcebesturingssysteem voor routers. bron: https://www.security.nl

Facebook is een juridische procedure gestart tegen de ontwikkelaars van verschillende Google Chrome-extensies die data van Facebookgebruikers schraapten. Het gaat volgens de sociale netwerksite om extensies van het bedrijf Oink and Stuff. In het privacybeleid van de browser-extensies claimde het bedrijf dat er geen persoonlijke informatie werd verzameld. Vier van de extensies van het bedrijf, Web for Instagram plus DM, Blue Messenger, Emoji keyboard en Green Messenger, functioneerden volgens Facebook als spyware en schraapten informatie van hun Facebookprofiel. Het ging om naam, gebruikers-ID, geslacht, relatiestatus, leeftijdsgroep en andere accountgegevens. Ook verzamelden de extensies informatie van andere websites, zonder dat gebruikers hier van wisten. Facebook is nu in Portugal een zaak tegen de ontwikkelaars gestart en eist dat die alle verzamelde Facebookgegevens verwijderen. De extensies in kwestie zijn inmiddels door Google uit de Chrome Store verwijderd. bron: https://www.security.nl

Gebruikers van de Ledger-cryptowallet zijn bedreigd en slachtoffer van een nieuw datalek geworden. Het gaat om gegevens die werden gestolen door medewerkers van webwinkelplatform Shopify. Dit nieuwe datalek staat los van een datalek dat vorig jaar juli door Ledger werd gemeld. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Op 23 december werd het bedrijf door Shopify ingelicht dat medewerkers van het supportteam transactiegegevens van webwinkels hadden gestolen, waaronder die van Ledger. De diefstal vond vorig jaar april en juni plaats. Afgelopen september meldde Shopify al dat de eigen supportmedewerkers data bij zo'n tweehonderd webwinkels hadden gestolen. Ledger werd echter niet geïnformeerd dat het één van de slachtoffers was. Dat gebeurde pas op 23 december. Uit het onderzoek dat volgde blijkt dat de gegevens van 292.000 klanten zijn buitgemaakt. Vorig jaar juli maakte Ledger bekend dat het slachtoffer van een ander datalek was geworden. Bij deze aanval waren de gegevens van 272.000 klanten gestolen. Het gaat om namen, adresgegevens, telefoonnummer, e-mailadres en gekochte producten. De bij Shopify gestolen is voor 93 procent gelijk aan de eerder gestolen data, maar raakt dus zo'n 20.000 nieuwe klanten. Slachtoffers van het datalek bij Shopify zijn inmiddels via e-mail ingelicht. De gegevens van 272.000 klanten die bij het eerste datalek werden gestolen verschenen afgelopen december online. Criminelen maken nu gebruik van deze data om Ledger-gebruikers af te persen, zo blijkt uit berichten op Reddit en Twitter. De afpersers versturen e-mails met daarin de gestolen persoonlijke informatie en dreigen die aan andere criminelen bekend te maken tenzij er losgeld wordt betaald. Het gaat om een bedrag van 0,3 bitcoin, wat op het moment 9400 euro is. bron: https://www.security.nl