Captain Kirk

Het Amerikaanse kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. The North Face heeft bij de Amerikaanse autoriteiten melding van een datalek gemaakt, hoewel het hier naar eigen zeggen niet toe verplicht was. Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer. Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht. Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken. bron: https://www.security.nl

Een kwetsbaarheid in VMware ESXi waarvoor op 4 november een beveiligingsupdate verscheen wordt actief bij ransomware-aanvallen misbruikt. Dat meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Naast deze kwetsbaarheid, aangeduid als CVE-2020-3992, maken de aanvallers ook gebruik van een ander ESXi-lek (CVE-2019-5544) waarvoor vorig jaar een update verscheen. Beaumont meldt in een tweet dat een groep ransomwarecriminelen de twee kwetsbaarheden gebruikt om de beveiliging van Windows te omzeilen, door virtual machines uit te schakelen en de virtual machine disk direct op de hypervisor te versleutelen. Securitybedrijf Rapid7 waarschuwt dat op deze manier virtuele datacentra volledig door ransomware op slot kunnen worden gezet. Een hypervisor is software voor het maken en draaien van virtual machines. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. De recent verholpen kwetsbaarheid in ESXi maakt het mogelijk voor een aanvaller die toegang tot poort 427 van een kwetsbare machine heeft om een een use-after-free te veroorzaken en zo op afstand willekeurige code op het systeem uit te voeren. VMware kwam op 20 oktober met een beveiligingsupdate voor deze kwetsbaarheid. De patch bleek echter niet volledig te zijn, waarop er op 4 november een tweede beveiligingsupdate verscheen. bron: https://www.security.nl

Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting. Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn. Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen. "Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd." De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden. bron: https://www.security.nl

Het populaire online kinderspel Animal Jam, dat in samenwerking met National Geographic Kids werd gelanceerd, heeft de gegevens van 46 miljoen gebruikers gelekt. De gebruikersdatabase werd rond 10 oktober door nog onbekende aanvallers gestolen, zo laat spelontwikkelaar WildWorks in een verklaring weten. Hoewel het datalek een maand geleden plaatsvond kwam WildWorks daar pas gisteren achter toen het door onderzoekers werd gewaarschuwd. Die zagen dat de gebruikersdata op een forum werd geplaatst en informeerden vervolgens de spelontwikkelaar. Volgens WildWorks wisten de aanvallers toegang tot de server van een leverancier te krijgen die het voor interne bedrijfscommunicatie gebruikt. Daar wisten ze een key te bemachtigen die toegang tot de database gaf, aldus een verklaring van WildWorks. Verdere details over de aanval zijn niet gegeven. De gestolen data gaat tot tien jaar terug. Het betreft zeven miljoen e-mailadressen van ouders waar zo'n 32 miljoen gebruikersnamen aan zijn gekoppeld. Verder bevat de database via het PBKDF2-algoritme gehashte wachtwoorden. Ook gaat het bij 23,9 miljoen gebruikers om het opgegeven geslacht, was bij 14,8 miljoen gebruikers het geboortejaar vermeld en waren 5,7 miljoen accounts van de volledige geboortedatum voorzien. Ruim 12.000 ouder-accounts bevatten de volledige naam en het factuuradres. Bij meer dan 16.000 ouder-accounts gaat het alleen om de naam. Naar aanleiding van het datalek moeten alle spelers van Animal Jam hun wachtwoord wijzigen. Daarnaast zegt WildWorks dat het alle gebruikersdatabases tegen soortgelijke aanvallen heeft beveiligd, maar details worden niet gegeven. De zeven miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 55 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Google heeft voor de derde keer in drie weken tijd actief aangevallen zerodaylekken in de desktopversie van Chrome gepatcht. In tegenstelling tot de zerodays die op 20 oktober en 2 november werden gepatcht zijn de nieuwste twee kwetsbaarheden niet door Google zelf ontdekt. De zerodaylekken, aangeduid als CVE-2020-16013 en CVE-2020-16017, bevinden zich in de V8 JavaScript-engine, die wordt gebruikt voor het uitvoeren van JavaScript, en de site isolation-beveiligingsfeature van de browser. Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. De twee kwetsbaarheden zijn door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De twee zerodaylekken die Google op 2 november patchte bevonden zich ook in de V8 JavaScript-engine, net als een zerodaylek waarvoor Google eind februari een beveiligingsupdate uitbracht. Google heeft geen verdere details over de nu verholpen kwetsbaarheden gegeven. Gisteren liet Vice Magazine op basis van een bron weten dat er een relatie tussen de zerodays van de afgelopen weken zit, maar exacte details zijn onbekend. De beveiligingslekken zijn verholpen in Chrome 86.0.4240.198. Op de meeste systemen wordt de update automatisch geïnstalleerd. bron: https://www.security.nl

Het is tien jaar geleden dat de Amerikaanse burgerrechtenbeweging EFF de browserextensie HTTPS Everywhere lanceerde. Sindsdien is er het nodige op het web veranderd, waaronder de opmars van https. De EFF hoopt dat de komende tien jaar ook de laatste jaren van de extensie zullen zijn. HTTPS Everywhere laadt websites die https ondersteunen standaard over https, ook al tikt de gebruiker in de adresbalk http of opent een link die met http begint. Dit moet man-in-the-middle-aanvallen voorkomen en de privacy van gebruikers beschermen. Om te kijken of websites https ondersteunen maakt HTTPS Everywhere gebruik van lijsten. Periodiek worden deze lijsten door de extensie bijgewerkt. Wanneer een website geen https biedt wordt die gewoon via http geladen. Inmiddels is HTTPS Everywhere een standaardonderdeel van de Brave-browser en Tor Browser geworden. De Chrome-versie van de extensie telt meer dan twee miljoen gebruikers, terwijl 733.000 Firefox-gebruikers de extensie hebben geïnstalleerd. Toch hoopt dat de EFF dat de komende tien jaar ook de laatste jaren van de extensie zijn. "Dit project is opgezet om privacy en security niet alleen toegankelijk maar ook bereikbaar voor iedereen te maken", zegt Alexis Han*** van de EFF. "Anonimiteit en privacy op het web zouden niet moeten zijn voorbehouden aan personen met zeer technische kennis. Hopelijk zal bij een volgende update over tien jaar HTTPS Everywhere zijn uitgefaseerd omdat de bescherming die het biedt een standaardonderdeel van 'het net' is geworden." bron: https://www.security.nl

Er is een relatie tussen de zeven recente zerodaylekken in Chrome, iOS en Windows die door Google zijn ontdekt. Dat laat een bron met kennis van de kwetsbaarheden tegenover Vice Magazine weten. Op 20 oktober kwam Google met een update voor een actief aangevallen zerodaylek in de desktopversie van Chrome. Tien dagen later op 30 oktober maakte het techbedrijf de details bekend van een zerodaylek in de Windows-kernel. Door de kwetsbaarheden in Chrome en Windows te combineren was het mogelijk voor aanvallers om systemen volledig over te nemen. Op 2 november kwam Google vervolgens met updates voor twee aangevallen zerodaylekken in de Android- en desktopversie van Chrome. Drie dagen later rolde Apple beveiligingsupdates uit voor drie aangevallen zerodaylekken in iOS. De zeven zerodays waren ontdekt door Google Project Zero, een team van Google dat zich bezighoudt met het onderzoeken van allerlei diensten, producten en programma's. Volgens Google waren de ontdekte kwetsbaarheden bij "gerichte aanvallen" ingezet, maar verdere details werden niet gegeven. Wel stelde het techbedrijf dat de waargenomen aanvallen losstaan van de Amerikaanse presidentsverkiezingen. Een anonieme bron laat aan Vice Magazine weten dat de kwetsbaarheden met elkaar verband houden, maar op wat voor manier wordt niet duidelijk gemaakt. Ryan Stortz van securitybedrijf Trail of Bits denkt dat het om een spionageoperatie gaat. De kwetsbaarheden zouden mogelijk bij een "watering hole" aanval zijn ingezet. Hierbij compromitteren aanvallers websites die beoogde slachtoffers uit zichzelf bezoeken en voorzien die van exploits. Stortz vermoedt dat Google een aanval tegen één platform ontdekte en aan de hand daarvan de exploits voor de twee andere platformen vond. In een verklaring laat Google weten dat het geen verdere informatie over de zerodays kan geven. bron: https://www.security.nl

Een groep criminelen die organisaties met ransomware infecteert maakt nu gebruik van advertenties op Facebook om slachtoffers bij naam te noemen en zo tot betalen te dwingen. Dat laat it-journalist Brian Krebs weten. Afgelopen maandag verscheen er op Facebook een advertentie van het Ragnar Locker Team dat het systemen van de Italiaanse drankenproducent Campari had versleuteld. Verschillende groepen ransomwarecriminelen maken gebruik van eigen websites om slachtoffers bij naam te noemen. Voordat systemen worden versleuteld maken deze criminelen allerlei data buit. Als het bedrijf niet betaalt dreigen de criminelen om de gestolen data via de eigen website openbaar te maken. Nu worden ook Facebookadvertenties ingezet. De advertenties waren geplaatst via een gecompromitteerd Facebookaccount van een Amerikaanse dj. In totaal hadden de criminelen 500 dollar voor de advertentiecampagne gereserveerd. Zo'n 7200 Facebookgebruikers kregen de advertentie met daarin het nieuws over de aanval op Campari te zien, wat 770 clicks opleverde. Het is onbekend of andere gecompromitteerde Facebookaccounts voor de advertentiecampagne zijn ingezet. Campari, dat eerder nog over een malware-aanval sprak, heeft inmiddels een update over het incident gegeven en stelt dat het herstel van de getroffen systemen langer in beslag neemt. De drankenproducent verwacht dan ook dat de aanval impact op de financiële prestaties zal hebben (pdf). bron: https://www.security.nl

Het is bijna een jaar geleden dat Microsoft de ondersteuning van Windows 7 en Server 2008 R2 stopte. Sinds 14 januari 2020 ontvangen beide besturingssystemen geen gratis beveiligingsupdates meer. Organisaties die nog altijd van Windows 7 of Server 2008 R2 gebruikmaken kunnen tegen betaling tot januari 2023 patches blijven ontvangen. Het eerste jaar van deze "Extended Security Updates" zit er bijna op, wat gevolgen heeft voor organisaties. De betaalde updates worden namelijk in periodes van 12 maanden door Microsoft aangeboden. Organisaties die volgend jaar met Windows 7 en Server 2008 R2 blijven werken en ook maandelijks beveiligingsupdates willen blijven ontvangen zullen een nieuw contract moeten afsluiten en op elk Windows 7- of Server 2008 R2-systeem een nieuwe licentiesleutel moeten activeren. Wanneer organisaties niet voor het eerste jaar van de Extended Security Updates hebben betaald, maar nu alsnog de betaalde updates willen ontvangen, zullen ze voor zowel het eerste als tweede jaar moeten betalen. Microsoft roept organisaties op om zich voor te bereiden op het tweede jaar van de Extended Security Updates dat op 12 janari 2021 begint. Volgens marktvorser NetMarketshare draait zo'n twintig procent van de desktops wereldwijd nog op Windows 7. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Windows-kernel die actief werd aangevallen voordat de patch beschikbaar was. Google maakte details van het zerodaylek eind oktober openbaar. Via de kwetsbaarheid, die in Windows 7 tot en met Windows 10 en Server 2008 tot en met Server versie 1909 aanwezig is, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen of uit een sandbox ontsnappen. Het beveiligingslek werd op 22 oktober aan Microsoft gerapporteerd. Normaliter geeft Google ontwikkelaars en bedrijven negentig dagen de tijd om gerapporteerde kwetsbaarheden te verhelpen. Aangezien het om een actief aangevallen beveiligingslek gaat hanteert Google een deadline van zeven dagen. Microsoft kwam in die zeven dagen niet met een beveiligingsupdate, waarop Google de details van het lek, aangeduid als CVE-2020-17087, openbaar maakte. Microsoft brengt elke tweede dinsdag van elke maand beveiligingsupdates uit en wijkt daar alleen vanaf als kwetsbaarheden bijvoorbeeld op grote schaal worden aangevallen. Volgens Google is het lek bij gerichte aangevallen ingezet. Het door Google onthulde zerodaylek kan daarnaast alleen in combinatie met een ander lek of vanaf een al gecompromitteerd systeem worden gebruikt, wat de impact beperkt. In totaal verhielp Microsoft tijdens de patchdinsdag van november 112 kwetsbaarheden, waarvan er zeventien als kritiek zijn aangemerkt. Het gaat onder andere om een beveiligingslek in het Windows Network File System waardoor remote code execution mogelijk is. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,8 beoordeeld. Details over het lek zijn echter niet gegeven, behalve dat er geen interactie van gebruikers is vereist om de kwetsbaarheid te misbruiken. Securitybedrijf ZDI adviseert dan ook totdat anders blijkt het lek als "wormable" te beschouwen. Verder zijn er kwetsbaarheden verholpen in Exchange Server, Microsoft Office, Internet Explorer, Chromium Edge, Edge Legacy, ChakraCore, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender Microsoft Teams, Azure SDK en DevOps en Visual Studio. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: https://www.security.nl

Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites. Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9. De scores geven aan dat het om kritieke kwetsbaarheden gaat die eenvoudig zijn te misbruiken. Na ontdekking van de beveiligingslekken waarschuwde Wordfence de ontwikkelaars van Ultimate Member. Op 29 oktober verscheen versie 2.1.12 van de plug-in waarmee de kwetsbaarheden zijn verholpen. Nu een kleine twee weken later heeft Wordfence de details van de beveiligingslekken openbaar gemaakt. Uit cijfers van WordPress blijkt dat er nog tienduizenden websites kwetsbaar zijn. Zo zijn er 20.000 websites die versie 2.0 of ouder gebruiken. Tachtig procent draait versie 2.1.x, maar het exacte versienummer wordt niet vermeld. Sinds 29 oktober is de plug-in zo'n 76.000 keer gedownload. Webmasters die van de plug-in gebruikmaken wordt aangeraden de nieuwe versie te downloaden. The plugin allows you to add beautiful user profiles to your site and is perfect for creating advanced online communities and membership sites. bron: https://www.security.nl

Google Chrome en andere Chromium-gebaseerde browsers krijgen bescherming tegen zogeheten "tab-napping" aanvallen. Dat heeft Chrome-ontwikkelaar Mike West via Twitter bekendgemaakt. Bij tab-napping kan een nieuw geopende tab de tab waar die vandaan werd geopend naar een andere url doorsturen. Dit is mogelijk door gebruik te maken van het het attribuut target="_blank" voor externe links in combinatie met JavaScript. Wanneer een gebruiker op een link klikt die van het attribuut target="_blank" is voorzien een nieuwe tab geopend. Door gebruik te maken van de JavaScript-functie window.opener kan de nieuw geopende tab de originele pagina aanpassen en zo een malafide pagina laden. Wanneer de gebruiker terug naar deze tab gaat kan de originele pagina bijvoorbeeld zijn vervangen door een phishingsite. Om dergelijke redirects te voorkomen werd het attribuut rel="noopener" voor html-links bedacht. Er zijn echter websites waar target="_blank" nog steeds voor links wordt gebruikt. Voor dergelijke situaties besloten Firefox en Safari om in 2018 voor alle links met target="_blank" automatisch het noopener-attribuut toe te passen en zo de link op een veilige manier te openen. Microsoft Edge-ontwikkelaar Eric Lawrence heeft de feature nu aan Chromium toegevoegd, de opensourcebrowser die de basis voor Chrome, Brave en Chromium Edge vormt. De feature is inmiddels in een vroege testversie van Chrome beschikbaar en staat gepland voor de releaseversie van Chrome 88, die volgend jaar januari moet uitkomen. bron: https://www.security.nl

Mozilla heeft een kritiek beveiligingslek in Firefox en Thunderbird verholpen waardoor een aanvaller het onderliggende systeem kan overnemen. De kwetsbaarheid werd afgelopen zaterdag tijdens de Tianfu Cup in China gedemonstreerd. Dit is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers 'S0rryMybad' en 'B1aN' slaagden erin om via een kwetsbaarheid in Firefox remote code execution op het onderliggende Windows 10-systeem te krijgen. Een aanval die met 40.000 dollar werd beloond. Gisterenavond, twee dagen na de demonstratie, kwam Mozilla met een beveiligingsupdate. Door een opcode van Firefox op een bepaalde manier te gebruiken was het mogelijk voor een aanvaller om een use-after-free te veroorzaken en zo code uit te voeren. De kwetsbaarheid, aangeduid als CVE-2020-26950, is verholpen in Firefox 82.0.3, Firefox ESR 78.4.1 en Thunderbird 78.4.2. Updaten kan via de updatefunctie van de software, Mozilla.org of Thunderbird.net. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom is vandaag een nieuwe campagne gestart genaamd "Fix je privacy" om de online privacy van mensen te beschermen. De campagne is voorzien van een website met verschillende tips die voor meer privacy en security moeten zorgen. Het gaat dan om het gebruik van een wachtwoordmanager, tweefactorauthenticatie en alternatieven voor WhatsApp, Zoom, Skype, Google Search, Gmail en Google Maps. Ook worden er specifieke tips gegeven voor het instellen van onder andere Twitter, TikTok, Instagram Facebook, YouTube, browsers en locatie-instellingen. De privacy- en beveiligingstips zijn ook als sticker- en kaartenset beschikbaar. "We willen mensen oproepen om na te denken over hun eigen privacy, maar ook om er met hun collega’s, familieleden of vrienden over in gesprek te gaan", zegt Evelyn Austin van Bits of Freedom. "We merken een toename in zowel de interesse in veiliger online zijn als de frequentie van de incidenten. Er lijkt wel geen dag voorbij te gaan zonder datalek of hack en je wordt om de oren geslagen met verhalen over oplichting via WhatsApp en internetbankieren. Hopelijk kunnen mensen met onze toolbox zich beter wapenen tegen dit soort zaken." bron: https://www.security.nl

Criminelen die organisaties met ransomware infecteren stelen geregeld ook de data van hun slachtoffers. Mocht het bedrijf niet willen betalen voor het ontsleutelen van de data, bijvoorbeeld omdat er nog een werkende back-up beschikbaar is, dreigen de criminelen met de publicatie van de gestolen data. Een bekend voorbeeld is cloudsoftwarebedrijf Blackbaud dat door ransomware werd getroffen. Voordat de aanvaller de ransomware uitrolde werd er eerst allerlei data van Blackbaud en diens klanten gestolen, waaronder de TU Delft en Universiteit Utrecht. Het ging om de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de Nederlandse universiteiten. Van zesduizend afgestudeerden van de Universiteit Utrecht werden ook burgerservicenummers buitgemaakt. Blackbaud betaalde de verantwoordelijke crimineel om de gestolen data te verwijderen. Volgens securitybedrijf Coveware blijkt uit de praktijk dat criminelen niet altijd hun woord houden. Zo zijn er meerdere gevallen bekend waarbij slachtoffers die betaalden een aantal weken later met dezelfde gestolen data opnieuw werden afgeperst. Ook zijn er voorbeelden van criminelen die de gestolen data, nadat slachtoffers hadden betaald, alsnog publiceerden. Organisaties van wie de data wordt gestolen moeten er dan ook niet van uitgaan dat de data echt wordt verwijderd, aldus Coveware. Volgens het securitybedrijf moeten organisaties er daarom rekening mee houden dat aanvallers de gestolen data aan andere criminelen doorverkopen of de organisatie er opnieuw mee afpersen. "Het betalen van de aanvaller om de gestolen data niet te publiceren heeft bijna geen voordelen voor het slachtoffer", zo laat het bedrijf weten. bron: security.nl

Cisco heeft een waarschuwing afgegeven voor een kwetsbaarheid in de vpn-software AnyConnect waar nog geen beveiligingsupdate voor beschikbaar is. Wel is er inmiddels proof-of-concept exploitcode online verschenen waarmee er misbruik van het beveiligingslek kan worden gemaakt. Via de kwetsbaarheid kan een lokale aanvaller een gebruiker van AnyConnect een kwaadaardig script laten uitvoeren. Het beveiligingslek in de Cisco AnyConnect Secure Mobility Client is op een schaal van 1 tot en met 10 wat betreft de ernst met een 7,3 beoordeeld. Er zijn namelijk verschillende voorwaarden vereist om misbruik van de kwetsbaarheid te kunnen maken. Zo moet er een actieve AnyConnect-verbinding van de gebruiker zijn en moet de aanvaller over geldige inloggegevens beschikken van het systeem waarop de AnyConnect-client draait. Door het versturen van een speciaal geprepareerd interprocess communication (IPC)-bericht naar de AnyConnect-client kan er vervolgens een kwaadaardig script worden uitgevoerd. Er zijn geen workarounds voor de kwetsbaarheid, maar wel een mitigatie. Gebruikers kunnen er volgens Cisco voor kiezen om de automatische updatefunctie uit te schakelen. Wanneer dit niet mogelijk is kan het uitschakelen van de Enable Scripting-configuratie het aanvalsoppervlak verkleinen. Cisco zegt het beveiligingslek in de toekomst via een update te zullen verhelpen. Het is echter nog onbekend wanneer de patch precies zal verschijnen. bron: security.nl

Google heeft twee zerodaylekken in Chrome verholpen die actief zijn gebruikt om gebruikers van de browser aan te vallen. Twee weken geleden bracht Google ook al een update uit voor een ander zerodaylek. De twee kwetsbaarheden, CVE-2020-16009 en CVE-2020-16010, bevinden zich in de V8 JavaScript-engine van de browser. CVE-2020-16009 is aanwezig in de desktopversie van Chrome en maakt volgens Ben Hawkes van Google remote code execution mogelijk. Google heeft de kwetsbaarheid als "high" bestempeld, wat inhoudt dat een tweede kwetsbaarheid is vereist om code op het onderliggende systeem uit te voeren. Kwetsbaarheden met een "high" impact maken het op zichzelf mogelijk om data van andere websites te kunnen lezen of aanpassen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. In het geval van CVE-2020-16010 betreft het ook een kwetsbaarheid met de beoordeling "high". Het gaat om een heap buffer overflow in de user interface van Chrome voor Android. Via het beveiligingslek is het mogelijk om uit de sandbox van Chrome te ontsnappen. Wederom is er een tweede kwetsbaarheid nodig om code op het onderliggende systeem uit te voeren. Verdere details over de kwetsbaarheden en waargenomen aanvallen zijn niet door Google gegeven, behalve dat het om "targeted exploitation" gaat. Gebruikers krijgen het advies om te updaten naar Chrome 86.0.4240.183 voor macOS, Linux en Windows en Chrome 86.0.4240.185 voor Android. Op de meeste systemen zal dit automatisch gebeuren. Naast de drie zerodaylekken van de afgelopen twee weken verhielp Google eind februari ook een zerodaylek in de browser. bron: security.nl

Organisaties die van plan zijn om clouddiensten in te kopen moeten vooraf vijf maatregelen treffen om onbeheerste risico's te voorkomen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet. Volgens het NCSC blijkt in de praktijk dat organisaties clouddiensten regelmatig niet veilig inkopen, wat leidt tot onbeheerste risico's. Deze risico's zijn na het inkopen deels nog wel te verhelpen, maar voor een aantal maatregelen geldt dat die alleen effectief zijn als ze vooraf getroffen worden. "Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan", stelt het NCSC. Wanneer organisaties geen aanvullende maatregelen voor veilig cloudgebruik treffen, loopt de organisatie een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving. Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang. Daarmee worden risico's verholpen die na het sluiten van de overeenkomst met de cloudaanbieder nog nauwelijks te verhelpen zijn, aldus het NCSC. De overheidsdienst merkt op dat de opsomming van genoemde maatregelen niet volledig is. Zo zijn er veel meer maatregelen die genomen kunnen worden. Daarnaast kunnen er binnen organisaties aanvullende belangen of beveiligingsbehoeften spelen wanneer er voor de cloud wordt gekozen. bron: security.nl

Het op privacy gerichte sociale netwerk True heeft door een fout de persoonlijke data van gebruikers gelekt. Een dashboard voor één van de databases van de app was sinds begin september voor iedereen op internet zonder wachtwoord toegankelijk. Zo was het mogelijk om allerlei gegevens van gebruikers te vinden, aldus TechCrunch. Het ging om e-mailadressen, telefoonnummer, inhoud van privéberichten, berichten tussen gebruikers, locatiegegevens en e-mailadressen en telefoonnummers die door gebruikers zelf waren geüpload om contacten op het sociale netwerk te vinden. Ook access tokens waren via het dashboard te achterhalen, waarmee er toegang tot accounts van gebruikers kon worden gekregen. Daarnaast bevatte het dashboard eenmalige inlogcodes die True naar het e-mailadres of telefoonnummer van een account verstuurt in plaats van het opslaan van wachtwoorden. True laat aan gebruikers weten dat als ze hun account verwijderen al hun content direct van de servers wordt verwijderd, maar dat bleek niet het geval te zijn. Privéberichten, berichten en foto's bleken na het opheffen van een account nog steeds via het dashboard te bekijken. True heeft het datalek tegenover TechCrunch bevestigd en het dashboard inmiddels beveiligd. Het sociale netwerk stelt dat het ontworpen is om de privacy van gebruikers te beschermen. De Android-app van True heeft meer dan 500.000 downloads. Van hoeveel gebruikers de gegevens via het dashboard toegankelijk waren is onbekend. bron: security.nl

De afgelopen weken hebben wereldwijd overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid, gewaarschuwd voor de Emotet-malware. De makers van de beruchte malware gaan echter onverstoord verder met hun aanvalscampagnes en proberen internetgebruikers nu via een zogenaamde Word-upgrade te infecteren. Net als bij voorgaande aanvallen wordt Emotet via kwaadaardige macro's in Microsoft Office-documenten geïnstalleerd. Het uitvoeren van macro's wordt standaard in Office geblokkeerd. Om gebruikers macro's toch in te schakelen hebben de Emotet-ontwikkelaars in het verleden al allerlei manieren geprobeerd. Zo kregen gebruikers bijvoorbeeld onleesbare tekst te zien en moesten macro's worden ingeschakeld om de tekst leesbaar te maken. Bij de nieuwste aanvallen krijgen gebruikers het verzoek om hun versie van Microsoft Word te upgraden, gevolgd door instructies om macro's in te schakelen. Hoewel het om een melding van Office lijkt te gaan, is het een truc van de aanvallers, zo meldt antimalwarebedrijf Malwarebytes. Gebruikers wordt aangeraden om alert te blijven op phishingmails en andere berichten met bijlagen, zelfs als die van een bekend contact of collega afkomstig zijn. Emotet maakt namelijk misbruik de contactenlijst van gecompromitteerde systemen om nieuwe slachtoffers te maken. bron: security.nl

Een ernstige kwetsbaarheid in Oracle WebLogic Server waardoor systemen op afstand zijn over te nemen wordt actief aangevallen. Acht dagen geleden bracht Oracle een beveiligingsupdate voor het lek uit. De kwetsbaarheid, aangeduid als CVE-2020-14882, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Een ongeauthenticeerde aanvaller kan door het versturen van een enkel GET-request de server overnemen. Volgens het Amerikaanse National Institute of Standards and Technology (NIST) gaat het om een zeer eenvoudig te misbruiken beveiligingslek. Gisteren verscheen er een analyse van de kwetsbaarheid online en niet veel later werden de eerste aanvallen waargenomen die op deze analyse zijn gebaseerd, zo meldt het Internet Storm Center. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware. Het doel van de nu waargenomen aanvallen is nog onbekend. Begin dit jaar werd een andere kwetsbaarheid in WebLogic twee weken na het uitkomen van de update aangevallen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om beveiligingsupdates direct te installeren en ondersteunde versies van de software te blijven gebruiken. bron: security.nl

Gebruikers van Mozilla Firefox kunnen straks voor geïnstalleerde extensies aanvullende permissies toestaan, waardoor extra functionaliteit mogelijk wordt. Dit moet gebruikers meer controle geven. Firefox-gebruikers die nu een extensie installeren krijgen eerst een overzicht te zien van permissies waar de extensie om vraagt, bijvoorbeeld toegang tot het clipboard. Met de lancering van Firefox 84 zullen permissies worden opgedeeld in vereiste en optionele permissies. De vereiste permissies zijn nodig om de extensie te laten werken. Via de optionele permissies kan extra functionaliteit in de extensie worden ingeschakeld. Deze permissies kunnen op elk moment worden toegestaan en ingetrokken. De optie is nu beschikbaar in een testversie van Firefox 84. De release-versie van Firefox 84 staat gepland voor 15 december van dit jaar. bron: security.nl

NAS-systemen van fabrikant QNAP zijn kwetsbaar voor remote command injection waardoor een aanvaller op afstand commando's op de apparaten kan uitvoeren. QNAP heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Dat wordt veroorzaakt door twee kwetsbaarheden, aangeduid als CVE-2020-2490 en CVE-2020-2492. Technische details, zoals wat een aanvaller zou moeten doen om de kwetsbaarheden uit te kunnen buiten, worden niet gegeven. QNAP laat alleen weten dat het om twee command injection-kwetsbaarheden gaat waardoor een remote aanvaller willekeurige commando's kan uitvoeren. De beveiligingslekken zijn verholpen in QTS 4.4.3.1421 build 20200907 en nieuwer. QTS is het besturingssysteem dat op de NAS-systemen draait. Updaten kan via de updatefunctie van QTS en de QNAP-website. bron: security.nl

Microsoft is begonnen met de uitrol van een update die Adobe Flash Player van pc's verwijdert. Na de installatie van de update is het niet meer mogelijk om Flash Player te installeren. Adobe maakte al drie jaar geleden bekend dat het de ondersteuning van de browserplug-in dit jaar stopt. Er zullen dan geen beveiligingsupdates meer voor Flash Player verschijnen. Microsoft heeft Flash Player in Edge Legacy, Chromium Edge en Internet Explorer 11 ingebouwd en zal na december 2020 ook geen beveiligingsupdates meer voor de browserplug-in uitbrengen en die uit de eigen browsers verwijderen. Eerder dit jaar kondigde het techbedrijf een update aan die Flash Player uit de verschillende browsers zal verwijderen. In eerste instantie is de update optioneel. Deze optionele update, KB4577586, wordt nu aangeboden via de Microsoft Update Catalog, zodat gebruikers en organisaties kunnen onderzoeken wat het verwijderen van Flash Player voor gevolgen heeft. De update kan na installatie niet worden verwijderd. Wanneer Flash Player toch nog nodig blijkt te zijn moeten gebruikers hun systeem naar een eerder herstelpunt terugzetten of Windows opnieuw installeren. Bleeping Computer en Born City melden dat de update alleen de Flash Player-versie verwijdert die standaard met Windows 8.1 en 10 wordt meegeleverd. De versie in Microsoft Edge blijft echter aanwezig, wat ook geldt voor los geïnstalleerde versies van de browserplug-in. Planning Het uitfaseren van Flash Player vindt gefaseerd plaats. In januari 2021 zal Microsoft Flash Player-versies van voor juni 2020 standaard in Edge Legacy en IE11 blokkeren. Tevens zal Flash Player deze maand uit Chromium Edge verdwijnen, de nieuwe Edge-versie gebaseerd op de open source Chromium-browser. Volgend jaar zomer wordt de update die Flash Player uit Edge Legacy en IE11 verwijdert onder gebruikers van Windows 10, Windows 8.1, Windows Server 2012 en Windows Embedded 8 uitgerold. Voor bedrijven die van Flash Player gebruik willen blijven maken biedt Microsoft de optie om de plug-in via de Internet Explorer-mode van Edge Legacy te laden. Ook IE11 zal dit mogelijk maken. bron: security.nl

Onderzoekers van de Technische Universiteit Eindhoven (TU/e) hebben een online marktplaats bestudeerd waar uitgebreide gestolen profielgegevens worden verhandeld. Met de gegevens kunnen criminelen risk-based authentication (RBA)-systemen omzeilen en zo in naam van slachtoffers bijvoorbeeld online aankopen doen. Internetbedrijven gebruiken risk-based authentication (RBA) om te bepalen of een gebruiker alleen met een wachtwoord moet inloggen of dat tweefactorauthenticatie is vereist. Hiervoor wordt er naar verschillende eigenschappen van de gebruiker die wil inloggen gekeken, zoals zijn browser, locatie en taalinstellingen. Het systeem maakt hiervan een "fingerprint" en wanneer de gebruiker een volgende keer inlogt wordt de huidige fingerprint met de eerder opgeslagen fingerprint vergeleken. Is de fingerprint de tweede keer gelijk, dan weet het RBA-systeem dat het om dezelfde gebruiker gaat en laat hem alleen via een wachtwoord inloggen. Wanneer de verschillen te groot zijn zal het RBA-systeem de gebruiker via tweefactorauthenticatie laten inloggen. Onderzoekers van de TU/e onderzochten een marktplaats die dergelijke fingerprints aanbiedt. Ook wel "Impersonation-as-a-Service" (IMPaaS) genoemd. Op deze marktplaats, waarvan de naam niet wordt genoemd, werden 260.000 gebruikersprofielen gevonden. Naast gestolen inloggegevens gaat het ook om de user-agent, systeemtijd, besturingssysteem, taalinstellingen, keyboardindeling, geïnstalleerde fonts en plug-ins, muisbewegingen, geolocatie en snelheid van toetsaanslagen. De data wordt verzameld via malware op het systeem van het slachtoffer. De IMPaaS-marktplaats biedt klanten een softwarebundel die bestaat uit een browser en een browserextensie waarmee criminelen gekochte gebruikersprofielen op het betreffende platform kunnen gebruiken. De geleverde software imiteert de omgeving van het slachtoffer. Via proxydiensten wordt de gebruikelijke locatie van het slachtoffer gespooft, zo laten de onderzoekers weten. Op deze manier kan de crimineel, die ook het wachtwoord van het slachtoffer bezit, het RBA-systeem omzeilen en op het account van het slachtoffer inloggen, zonder dat hiervoor tweefactorauthenticatie is vereist. De prijs van van de gebruikersprofielen varieert van 1 dollar tot ongeveer 100 dollar. "Impersonation-as-a-Service is een extra onderdeel van de cybercrime-economie, dat een systematisch model biedt om aan gestolen inloggegevens en profielen te verdienen", zo concluderen de onderzoekers in hun paper (pdf). Het onderzoek wordt tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt, gepresenteerd. bron: security.nl