Captain Kirk

Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA. "Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder. Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt. Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep. bron: security.nl

Nitro Software, ontwikkelaar van de Nitro PDF Reader en software voor het signeren van pdf-documenten, is getroffen door een datalek dat mogelijk ook gevolgen voor Amazon, Apple, Google en Microsoft heeft. In een bericht van 21 oktober aan de Australian Securities Exchange (ASX) laat de softwareontwikkelaar weten dat een ongeautoriseerde derde partij toegang heeft gekregen tot een database van het bedrijf. De betreffende database zou worden gebruikt voor het ondersteunen van verschillende online Nitro-diensten, en dan met name de gratis diensten die Nitro aanbiedt. "De database bevat geen documenten van gebruikers of klanten", aldus Nitro Software. Er is ook geen bewijs gevonden dat er gevoelige of financiële data van klanten is getroffen. Toezichthouders zijn over het incident ingelicht, maar verdere details worden niet door Nitro gegeven. Securitybedrijf Cyble claimt dat de database door een aanvaller wordt verkocht, alsmede één terabyte aan documenten die uit de clouddienst van Nitro zijn gestolen, zo meldt Bleeping Computer. Het zou onder andere om documenten van Apple, Amazon, Google en Microsoft gaan. Of het daadwerkelijk om documenten van de techbedrijven gaat is op het moment nog niet bevestigd. bron: security.nl

Dertien jaar geleden startte de Zwitserse beveiligingsonderzoeker Roman Hüssy Abuse.ch, een platform waar allerlei informatie over malware en botnets is te vinden, waaronder trackers die botnetservers in kaart brengen. Om Abuse.ch voort te kunnen zetten is echter geld nodig, zo laat Hüssy vandaag weten. Abuse.ch werd jaren geleden mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Bij de recente operatie van Microsoft tegen het Trickbotnet-botnet werd Abuse.ch nog geregeld genoemd. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Volgens Hüssy is het beheer van het platform een uitdaging geworden, niet per se vanuit een technisch oogpunt, maar voornamelijk door de kosten van de infrastructuur en vereiste kennis voor bigdata-analyse. Om de toekomst van Abuse.ch veilig te stellen wil de Zwitserse beveiligingsonderzoeker er een onderzoeksproject van maken. Zodoende kan hij financiering van derde partijen ontvangen en mogelijk beroep doen op onderzoeksbeurzen. Ook wordt het mogelijk om iemand aan te nemen die het werk van Hüssy aan Abuse.ch gaat ondersteunen. Er gelden echter enkele voorwaarden om van Abuse.ch een onderzoeksproject te kunnen maken en één daarvan is dat Hüssy bij een universiteit aan de slag gaat en hij voor die functie financiering vindt. Hüssy stapte naar verschillende grote organisaties die van de data van Abuse.ch gebruikmaken met het verzoek om hem te helpen. Hij ontving echter geen toezeggingen. Daarom zag hij zich naar eigen zeggen genoodzaakt om nu een openbare oproep te doen. De Zwitser hoopt voor het einde van dit jaar voldoende geld binnen te halen om van Abuse.ch een onderzoeksproject te maken. Mocht dat niet lukken dan zal hij niet meteen op 1 januari 2021 de stekker uit het platform trekken, maar kan hij ook geen beloftes over de toekomst van Abuse.ch maken. bron: security.nl

De Franse ict-dienstverlener Sopra Steria heeft vandaag bevestigd dat de systemen door de Ryuk-ransomware zijn getroffen. Vorige week liet het bedrijf weten dat het op 20 oktober slachtoffer van een cyberaanval was geworden. Verdere details werden echter niet gegeven. In de Franse media werd echter gesteld dat het om een aanval met de Ryuk-ransomware ging. Nu meldt de ict-dienstverlener, die vorig jaar een omzet van 4,4 miljard euro had, dat systemen met de Ryuk-ransomware zijn besmet. "Het gaat om een nieuwe versie van de Ryuk-ransomware, die onbekend was voor antivirusbedrijven en beveiligingsinstanties", zo laat de vandaag verschenen verklaring weten. Naar aanleiding van de aanval werd een onderzoek ingesteld. Daaruit blijkt dat de systemen van Sopra Steria al een aantal dagen waren gecompromitteerd voordat de ransomware werd uitgerold. Verder zijn er geen aanwijzingen gevonden dat de aanvallers gegevens hebben buitgemaakt of dat de systemen van klanten van Sopra Steria zijn getroffen. Vandaag is de ict-dienstverlener begonnen met het geleidelijk herstarten van de systemen en operaties van de groep. Naar verwachting zal het nog wel "enkele weken" duren voordat alles weer normaal bij het bedrijf is. Hoe de aanvallers toegang tot de systemen konden krijgen en of er losgeld is betaald laat Sopra Steria niet weten. De Ryuk-ransomware is in het verleden onder andere via de Trickbot-malware geïnstalleerd, die zich weer via macro's in Microsoft Office-documenten kan verspreiden. bron: security.nl

Een spamcampagne op Facebook probeert gebruikers via allerlei links het slachtoffer van helpdeskfraude te laten worden, zo hebben onderzoekers van antimalwarebedrijf Malwarebytes ontdekt. Volgens onderzoeker Jerome Segura is het vrij bijzonder dat het sociale netwerk voor helpdeskfraude wordt gebruikt, aangezien deze vorm van cybercrime meestal via malafide advertenties plaatsvindt. Hoe de links precies via Facebook worden verspreid is nog onbekend. Mogelijk dat bepaalde apps op het platform hierbij zijn betrokken. Wel is duidelijk dat de links in kwestie naar een verkorte bit.ly-link wijzen, die weer wijst naar een Peruaanse nieuwssite. Deze nieuwssite bevat een open redirect waar de oplichters gebruik van maken om slachtoffers naar de uiteindelijke malafide pagina door te sturen. Doordat de bit.ly-link naar een legitieme nieuwssite wijst krijgt de url meer legitimiteit, stelt Segura. De uiteindelijke malafide pagina is een "browser locker" die een zogenaamde scan van de computer laat zien, alsmede een melding dat er malware is aangetroffen en alle data op de harde schijf wordt verwijderd. Om het probleem te verhelpen moet het opgegeven telefoonnummer worden gebeld. Browser lockers maken vaak gebruik van bijvoorbeeld JavaScript om te voorkomen dat gebruikers eenvoudig de browser of de geopende tab kunnen sluiten. Het opgeven telefoonnummer is van helpdeskfraudeurs die het slachtoffer toegang tot het systeem vragen en vervolgens hoge kosten in rekening brengen voor het verhelpen van niet bestaande problemen. bron: security.nl

De Intel hoeft ook niet per se een laptop of computer te zijn. Tegenwoordig zijn er meer apparaten met je router verbonden. Wanneer ik alleen al naar mijn eigen situatie kijk: Mediabox,Smart-tv, thermostaat, huisalarm. Alleen het konijn is geloof ik nog niet met internet verbonden. Beste doen wat Stegisoft al eerder adviseerde: kijk eens in het logbestand van je router.

Mozilla is in Firefox Nightly een test gestart met een nieuwe beveiligingsmaatregel die gebruikers tegen misbruik van kwetsbaarheden moet beschermen. De maatregel heet Fission en is Mozillas implementatie van Site Isolation. Site Isolation zorgt ervoor dat webpagina's en webframes in aparte sandboxes worden geladen, zodat ze van elkaar gescheiden zijn. Websites horen niet bij de data van andere websites te kunnen, Sommige kwetsbaarheden in Firefox maken het echter mogelijk voor aanvallers om via een malafide of gecompromitteerde site toch data van andere of recent geopende websites te benaderen. Site Isolation, dat ook in Google Chrome aanwezig is, moet dit voorkomen door elke geopende website in een apart proces uit te voeren, afgesloten van andere websites. De maatregel is nu beschikbaar voor gebruikers van Firefox Nightly, een testversie van de browser, zo laat Mozilla weten. Voor een deel van de gebruikers staat de optie standaard ingeschakeld. Andere Nightly-gebruikers kunnen Fission zelf inschakelen via about:preferences#experimental in de adresbalk. Wanneer Fision precies in de definitieve versie van Firefox verschijnt is nog niet bekend. bron: security.nl

Er is een sterke toename van het aantal mensen dat via social media wordt opgelicht, zo laat de Amerikaanse toezichthouder FTC weten. In de eerste zes maanden van dit jaar ontving de FTC 24.700 meldingen van slachtoffers die door een scam die op social media startte hun geld verloren. In de eerste zes maanden van 2019 ging het nog om 8400 meldingen, terwijl het totaal aantal voor 2019 op 23.400 meldingen uitkwam. Ook het schadebedrag is explosief gestegen. Dat bedroeg in de eerste helft van vorig jaar 48 miljoen euro. Voor heel 2019 kwam de schade uit op 134 miljoen euro. In de eerste zes maanden van dit jaar rapporteerden slachtoffers een schadebedrag van 117 miljoen euro. De meeste klachten gaan over advertenties voor online producten die op social media worden getoond en na te zijn besteld niet worden geleverd. Van de slachtoffers die het betreffende socialmediaplatform in hun klacht noemden gebruikte 94 procent Facebook of Instagram. Andere veelgenoemde scams die op social media beginnen zijn datingfraude, zogenaamde financiële compensatie voor bijvoorbeeld mensen die hun baan verloren en manieren om geld te verdienen, zoals pyramidespellen. Bijna de helft van alle datingfraude die sinds 2019 bij de FTC werd gemeld begon op social media, meestal Facebook of Instagram. bron: security.nl

Google heeft een nieuwe beschermingsmaatregel aan Chrome 86 toegevoegd die voor phishing, malware en zogenaamde systeemmeldingen gebruikte notificaties moet blokkeren. Websites kunnen gebruikers permissie vragen voor het tonen van notificaties. Een optie waar de nodige misbruik van wordt gemaakt. Volgens Google behoren malafide notificaties tot de meest genoemde klachten van Chrome-gebruikers. De notificaties worden onder andere gebruikt om te linken naar malware of het spoofen van systeemmeldingen om zo inloggegevens van gebruikers te ontfutselen. In het verleden heeft Google al maatregelen genomen om malafide notificaties tegen te gaan, maar die zijn in Chrome 86 verder uitgebreid. Wanneer Google weet dat websites in het verleden vaker malafide notificaties hebben verstuurd zal Chrome voortaan notificatieverzoeken van deze sites standaard blokkeren. Om websites te detecteren die malafide notificaties versturen zet Google de eigen webcrawler in. Die geeft websites permissie om notificaties te tonen. zodat de inhoud van de notificaties kan worden gecontroleerd. Wanneer blijkt dat het om malafide notificaties gaat ontvangt de webmaster of eigenaar van de website een waarschuwing van Google om het probleem binnen dertig dagen te verhelpen. Hierna gaat Google handhaven en worden notificatieverzoeken van de betreffende websites standaard geblokkeerd. Google hoopt zo misbruik van webnotificaties tegen te gaan. bron: security.nl

WordPress heeft een populaire plug-in wegens een kritieke kwetsbaarheid bij zo'n 1 miljoen websites geüpdatet. Sommige gebruikers waren echter niet blij met de automatische update, aangezien ze deze optie niet hadden ingeschakeld. De kwetsbaarheid bevond zich in Loginizer. Via deze plug-in kunnen WordPress-sites bruteforce-aanvallen blokkeren. Na een aantal mislukte inlogpogingen wordt het ip-adres van de gebruiker op een blacklist geplaatst. Verder biedt de plug-in de mogelijkheid om andere beveiligingsopties voor de website in te stellen, zoals tweefactorauthenticatie, captcha's of een "wachtwoordloze login". Loginizer is op meer dan 1 miljoen WordPress-websites geïnstalleerd. De bescherming tegen bruteforce-aanvallen was ook het onderdeel dat de kwetsbaarheid veroorzaakte. Wanneer een gebruiker met een onbekende gebruikersnaam inlogt wordt de poging in de back-enddatabase opgeslagen. De gebruikersnaam alsmede andere parameters werden echter niet goed gecontroleerd voordat die via een SQL-query aan de database werden toegevoegd. Zo was SQL-injection mogelijk waardoor een aanvaller de website had kunnen overnemen. Op 16 oktober verscheen er een nieuwe versie van de plug-in die het beveiligingslek verhelpt. In eerste instantie koos de ontwikkelaar ervoor om in de release notes geen details over de kwetsbaarheid te geven, zodat gebruikers de tijd kregen om te updaten. Om het updateproces te versnellen besloot WordPress die automatisch onder websites uit te rollen, ook bij websites waar het automatisch updaten niet stond ingeschakeld. Iets wat bij sommige gebruikers voor kritiek zorgde. Volgens de ontwikkelaar van de Loginizer heeft WordPress de update uitgerold omdat het om een beveiligingsupdate gaat. WordPress heeft sinds WordPress versie 3.7 de mogelijkheid om kwetsbaarheden in plug-ins via automatische updates te verhelpen. "En we hebben het al vele keren wegens beveiligingslekken in plug-ins gebruikt", zegt Samuel Wood van het WordPress-team. Door de actie van WordPress beschikt inmiddels 89 procent van de websites over een bijgewerkte plug-in. Op de statistiekenpagina van de plug-in staat dat die de afgelopen week meer dan 1,2 miljoen keer is gedownload. bron: security.nl

Met meer dan 150.000 harde schijven voor de opslag van klantgegevens is het bijna onvermijdelijk dat back-updienst Backblaze met defecte schijven te maken krijgt, maar in het derde kwartaal kenden datadragers van Seagate de meeste uitval. Backblaze publiceert elk kwartaal de statistieken van het aantal harde schijven dat in gebruik is en is uitgevallen. In het derde kwartaal ging het in totaal om 150.757 schijven waarvan er 324 defect raakten. 269 daarvan waren van Seagate. Het ging met name om 4TB-, 8TB- en 12TB-schijven. Wordt er gekeken naar de "annualized failure rate" (AFR) van het derde kwartaal, dan viel 0,89 procent van de schijven uit. Een lichte stijging ten opzichte van het tweede kwartaal, toen het nog om 0,81 procent ging. Een 8TB-model van Seagate kende in het derde kwartaal een uitval van 1,40 procent. De best presterende schijf is een jaren oud 4TB-model van HGST. Geen van de meer dan drieduizend gebruikte "HMS5C4040ALE640" schijven met bijna 275.000 schijfdagen viel in het derde kwartaal uit. Als er wordt gekeken naar de AFR voor de periode van 2013 tot 30 september 2020, dan viel 1,58 procent van de schijven uit. Ook in deze cijfers spant Seagate de kroon, waarbij het 4TB-model een uitval van 2,54 kende. bron: security.nl

Een kwetsbaarheid in verschillende Cisco-routers waardoor het mogelijk is om willekeurige code op de apparaten uit te voeren wordt actief aangevallen, zo heeft de netwerkfabrikant bekendgemaakt. Het beveiligingslek, CVE-2020-3118, is aanwezig in een implementatie van het Cisco Discovery Protocol (CDP) voor de Cisco IOS XR Software. Het besturingssysteem dat op Cisco-routers draait. CDP is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Door een kwaadaardig CDP-pakket naar een router te versturen kan een aanvaller een stack overflow veroorzaken, waardoor het mogelijk is om op de router willekeurige code met beheerdersrechten uit te voeren. Cisco bracht in februari van dit jaar beveiligingsupdates voor het probleem uit. De kwetsbaarheid was aanwezig in ASR 9000, IOS XRv 9000 en Network Convergence System (NCS) 540, 560, 1000, 5000, 5500 en 6000 series routers. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, is volgens Cisco alleen te misbruiken door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat. Gisteren kwam de NSA met een Top 25 van kwetsbaarheden die volgens de Amerikaanse geheime dienst door China worden gebruikt om organisaties aan te vallen. Het Cisco-lek stond ook in deze lijst vermeld. Gelijktijdig voorzag Cisco de advisory van een update waarin het laat weten dat misbruik van de kwetsbaarheid is waargenomen. bron: security.nl

Oracle heeft tijdens de laatste patchronde van 2020 in totaal 402 kwetsbaarheden in een groot aantal producten verholpen. In tegenstelling tot bedrijven die maandelijks beveiligingsupdates uitrollen doet Oracle dit eens per kwartaal. De patches van oktober zijn bedoeld voor 137 verschillende producten van het softwarebedrijf. De meeste kwetsbaarheden zijn opgelost in Oracle MySQL (53), Oracle Communications-applicaties (52), Oracle Financial Services-applicaties (49), Oracle Fusion Middleware (46), Oracle Retail-applicaties (28) en Oracle E-Business Suite (27). In Java werden acht kwetsbaarheden gepatcht. Een kwetsbaarheid in Oracle Healthcare Foundation werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Daarnaast scoorden 65 beveiligingslekken een 9,8. Het gaat in dit geval om kwetsbaarheden die op afstand en zonder authenticatie zijn te misbruiken. De beveiligingslekken in Java zijn met een maximale score van 5,3 minder ernstig van aard. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren en ondersteunde versies van de software te blijven gebruiken. Gisteren liet de Amerikaanse geheime dienst NSA nog weten dat aanvallers onder andere misbruik maken van kwetsbaarheden in Oracle WebLogic en Oracle Coherence. De volgende patchronde van Oracle staat gepland voor 19 januari 2021. bron: security.nl

Microsoft heeft een poging van criminelen om het Trickbot-botnet te herstellen verstoord, zo laat het techbedrijf weten. Vorige week wisten Microsoft en verschillende partners 62 van de 69 command & control-servers van het botnet, waarmee besmette computers werden aangestuurd, uit de lucht te halen. De resterende zeven servers zijn geen traditionele command & control-servers, maar door Trickbot besmette Internet of Things-apparaten die als onderdeel van de serverinfrastructuur worden gebruikt. Microsoft zegt bezig te zijn om ook deze apparaten uit te schakelen. Zoals verwacht proberen de criminelen achter het botnet om de uitgeschakelde infrastructuur te vervangen door nieuwe servers. In totaal werden de afgelopen dagen 59 nieuwe servers aan de botnet-infrastructuur toegevoegd, die inmiddels allemaal op één na zijn uitgeschakeld, zegt Microsofts Tom Burt. Sinds het begin van de operatie tegen Trickbot zijn 120 van de 128 botnetservers offline gehaald. Burt voegt toe dat de strijd tegen Trickbot nog niet is gestreden. Iets wat nieuwe cijfers van de Feodo-tracker laten zien. Vandaag zijn er tien nieuwe Trickbot-servers bij gekomen. Tot de Amerikaanse presidentsverkiezingen is Microsoft van plan om alle nieuwe servers uit de lucht te halen. "Deze operatie was altijd bedoeld om de activiteiten van Trickbot in aanloop naar de verkiezingen te verstoren", laat Burt weten. De criminelen achter het botnet zouden inmiddels concurrerende partijen hebben gevraagd om hun malware te verspreiden. Iets wat volgens Burt laat zien dat de Trickbot-operators het moeilijk hebben. bron: security.nl

Google heeft een beveiligingsupdate voor Chrome uitgebracht die een actief aangevallen zerodaylek in de browser verhelpt. De kwetsbaarheid, aangeduid als CVE-2020-15999, betreft een heap buffer overflow in FreeType die ontstaat bij het verwerken van speciaal geprepareerde TTF-bestanden. FreeType is een gratis library voor het weergeven van fonts waar Chrome gebruik van maakt. Andere software die van FreeType gebruikmaakt loopt ook risico. Aanvallen zijn echter alleen tegen Chrome-gebruikers waargenomen. zo laat Ben Hawkes van Google Project Zero weten. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. CVE-2020-15999 alleen is niet voldoende om systemen te compromitteren. Hiervoor is een tweede kwetsbaarheid vereist. Of een tweede kwetsbaarheid ook bij de waargenomen aanvallen is gebruikt laat Hawkes niet weten. Vorig jaar werd een zerodaylek in Chrome nog gecombineerd met een kwetsbaarheid in Windows om zo Windows 7-gebruikers met malware te infecteren. Begin dit jaar patchte Google ook al een actief aangevallen zeroday in Chrome. Updaten naar Chrome 86.0.4240.111 zal op de meeste systemen automatisch gebeuren. bron: security.nl

De NSA heeft een Top 25 van kwetsbaarheden gepubliceerd die volgens de Amerikaanse geheime dienst door "Chinese actoren" worden gebruikt om organisaties aan te vallen. Het gaat om bekende kwetsbaarheden waarmee er toegang tot netwerken kan worden verkregen. Zodra er toegang is verkregen zijn de overige beveiligingslekken te gebruiken om het netwerk verder van binnenuit te compromitteren. Het gaat om kwetsbaarheden in Pulse Secure VPN, F5 BIG-IP, Citrix Application Delivery Controller (ADC) en Gateway, Remote Desktop Services in Windows 7 en Server 2008/R2, MobileIron mobile device management (MDM), Windows DNS Server, Exim, Microsoft Exchange, Adobe ColdFusion, Oracle WebLogic, Oracle Coherence, Atlassian Confluence, Zoho ManageEngine, Progress Telerik UI, Windows CryptoAPI, Symantec Messaging Gateway, Cisco IOS XR en DrayTek Vigor-routers. Om de aanvallen tegen te gaan adviseert de NSA om beveiligingsupdates zo snel als mogelijk te installeren, remote beheermogelijkheden uit te schakelen en een out-of-band beheernetwerk op te zetten, verouderde en ongebruikte protocollen uit te schakelen of te blokkeren, voor via internet toegankelijke servers een Demilitarized Zone (DMZ) in te stellen en deze machines op aanvallen te monitoren. "We horen luid en duidelijk dat het lastig is om patches en mitigatiemaatregelen te prioriteren", zegt NSA Cybersecurity Director Anne Neuberger. "We hopen door het benoemen van de kwetsbaarheden die China actief gebruikt om systemen te compromitteren dat cybersecurityprofessionals bruikbare informatie krijgen voor het prioriteren en beveiligen van hun systemen." bron: security.nl

Wanneer gebruikers van Google Chrome ervoor kiezen om hun cookies en site-gegevens te verwijderen laat de browser een deel van de data voor Google.com en YouTube ongemoeid. Zo blijft het mogelijk voor Google om gebruikers via de al aanwezige gegevens te identificeren. Dat ontdekte Jeff Johnson. Via de pagina chrome://settings/cookies biedt Chrome de optie om bij het afsluiten van de browser cookies en site-gegevens te verwijderen. Wanneer Chrome wordt afgesloten verdwijnen voor het domein YouTube.com de cookies, maar blijven database storage, local storage en service workers achter. In het geval van Google.com wordt de local storage niet verwijderd. De local storage kan informatie over gebruikers bevatten. "Het geeft Google, en alleen Google, de mogelijkheid om Chrome-gebruikers die iets meer privacy willen te blijven volgen; iets wat zeer waardevol voor de internetgigant is bij het tonen van advertenties", aldus The Register. Google stelt tegenover de website dat het om een bug in Chrome gaat bij het verwijderen van cookies op first-party Google-websites en er binnenkort een fix wordt uitgerold. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere kwetsbaarheden verhelpt en de prestaties van de browser drastisch moet verbeteren. In Firefox 82 zijn in totaal zeven lekken opgelost. Via de kwetsbaarheden had een aanvaller spoofingaanvallen kunnen uitvoeren. Met voldoende moeite zou het volgens Mozilla ook mogelijk zijn geweest om willekeurige code op het systeem uit te voeren. Verder claimt de browserontwikkelaar dat Firefox stukken sneller is geworden bij het opstarten en laden van websites. Zo is voor Windowsgebruikers het openen van een nieuw venster tien procent sneller geworden en wordt bij het herstellen van sessies een snelheidswinst van zeventien procent genoemd. Websites die flexbox-gebaseerde lay-outs gebruiken zouden zelfs twintig procent sneller laden. Updaten naar Firefox 82 kan via de automatische updatefunctie en Mozilla.org. Volgens marktvorser StatCounter maakt 8,4 procent van de Nederlanders op de desktop gebruik van Firefox. bron: security.nl

Google heeft twee adblockers voor Chrome uit de Chrome Web Store verwijderd omdat de nieuwe ontwikkelaars die van malware hadden voorzien. Het gaat om Nano Adblocker en Nano Defender, twee adblockers die op de populaire adblocker uBlock Origin zijn gebaseerd. Bij elkaar waren de Chrome-extensies meer dan 250.000 keer geïnstalleerd. Twee weken geleden meldde ontwikkelaar Hugo Xu dat hij de adblockers aan een ander "ontwikkelteam" had verkocht. Eind vorige week verscheen er plots een update voor de adblockers die ervoor zorgde dat de browserextensies allerlei gegevens van gebruikers verzamelden, waaronder ip-adres, land, bezochte websites, besturingssysteem, de hoeveelheid tijd die op elke website werd doorgebracht en andere data. Google heeft beide extensies bestempeld als malware en dit weekend uit de Chrome Web Store verwijderd en bij gebruikers uitgeschakeld. De kwaadaardige code is niet aangetroffen in de Firefox-versies van Nano Adblocker en Nano Defender. De Firefox-extensies werden door een andere ontwikkelaar beheerd, maar ontvangen inmiddels geen updates meer. bron: security.nl

Malware is nog altijd de grootste online dreiging in de Europese Unie, zo stelt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) in het vandaag verschenen "Threat Landscape 2020" rapport. Het rapport bestrijkt de periode van januari 2019 tot en met april 2020. Net als in het rapport van 2018 staat ook in het vandaag verschenen rapport malware op de eerste plek als het om dreigingen gaat. Emotet is volgens ENISA de meestvoorkomende malware. Deze malware kan allerlei gegevens van systemen stelen en aanvullende malware installeren, zoals ransomware. Hoewel er in de media en bij securitybedrijven veel aandacht voor ransomware is, staat deze dreiging in de ENISA Top 15 van online dreigingen op de dertiende plek. Volgens het agentschap begint 84 procent van de cyberaanvallen met social engineering. In veel gevallen gaat het om aanvallen die via e-mail plaatsvinden. Bijna de helft van alle malware die via e-mailbijlagen wordt verspreid bevindt zich in docx-bestanden, zo laat het ENISA-rapport weten. De hoeveelheid gedetecteerde malware in de rapportperiode is ten opzichte van 2018 gelijk gebleven. Het percentage malware dat gericht is op bedrijven steeg echter met dertien procent. Volgens ENISA is er dan ook een verschuiving gaande waarbij cybercriminelen vaker bedrijven proberen aan te vallen. Om infecties door malware te voorkomen geeft ENISA organisaties verschillende tips, zoals het inspecteren van tls-verkeer, het monitoren van inkomende en uitgaande kanalen, het toepassen van mailfiltering, het monitoren van logs en het uitschakelen of beperken van de toegang tot PowerShell-functies. bron: security.nl

In september waren er op internet 4,7 miljoen Windows-servers te vinden waarvan er 2,8 miljoen niet meer met beveiligingsupdates worden ondersteund en end-of-life zijn. Dat komt neer op 59 procent van de gevonden Windows-servers, zo laat securitybedrijf Rapid7 op basis van eigen onderzoek weten. Het bedrijf voerde een internetbrede scan uit en telde zoals gezegd 4,7 miljoen servers die een versie van Windows Server draaien. De helft draait op Windows Server 2008 R2, een besturingssysteem dat sinds 14 januari van dit jaar niet meer door Microsoft wordt ondersteund. Een kleine zes procent maakt gebruik van Windows Server 2003. Dit platform ontvangt sinds juli 2015 geen beveiligingsupdates meer, hoewel Microsoft voor een ernstige kwetsbaarheid in Windows SMB waardoor de WannaCry-ransomware zich verspreidde een uitzondering maakte. Het grootste deel van de Windows Server-installaties dat nog wel op ondersteuning kan rekenen is Server 2012 R2, gevolgd door Server 2012. Deze twee versies zijn bij elkaar verantwoordelijk voor meer dan veertig procent van de nog ondersteunde Windows-servers. De onderzoekers keken ook naar de balans tussen niet meer en nog wel ondersteunde Windows-servers per land. Wanneer het totaal aantal servers dat geen updates meer ontvangt wordt afgetrokken van het aantal servers waar nog wel elke maand updates voor verschijnen is Polen koploper, gevolgd door het Verenigd Koninkrijk en Nederland. "De onbalans tussen gevaarlijke en veilige services die we hebben gezien is niet heel bijzonder. Het lijkt erop dat het draaien van services op internet die gedateerd, niet meer ondersteund, onjuist gepatcht of onveilig zijn, meer de norm is", zegt onderzoeker Kwan Lin. Organisaties die met niet meer ondersteunde Windows-servers werken wordt aangeraden om naar een wel ondersteunde versie te migreren en anders het systeem niet publiek toegankelijk vanaf het internet te maken. bron: security.nl

Aanvallers zijn erin geslaagd om de gegevens te stelen van 293.000 gebruikers van het forum van de gratis online role-playing game Albion Online. Het gaat om profielgegevens, alsmede e-mailadressen en gesalte en met het bcrypt-algoritme gehashte wachtwoorden. Met het forumwachtwoord is ook op het spel in te loggen. Albion Online heeft gebruikers een e-mail gestuurd waarin wordt geadviseerd het wachtwoord te wijzigen. Volgens spelontwikkelaar Sandbox Interactive was de inbraak op het forum mogelijk door een combinatie van de gebruikte forumsoftware en de serverconfiguratie, maar verdere details zijn op dit moment niet gegeven en zullen vanwege de "operationele security" geheim blijven. Naar aanleiding van het datalek is Sandbox Interactive naar eigen zeggen van plan om externe beveiligingsexperts een extra veiligheidscheck te laten uitvoeren. Afhankelijk van de onderzoeksresultaten zal het aantal en de diepgang van externe security-audits worden vergroot. Sandbox Interactive stelt dat Albion Online ruim 5,8 miljoen spelers heeft. bron: security.nl

Door het combineren van drie kwetsbaarheden in de desktopversie van het populaire chatplatform Discord hadden aanvallers op afstand code kunnen uitvoeren. Discord heeft de problemen inmiddels verholpen en onderzoeker Masato Kinugawa die de beveiligingslekken rapporteerde met 5.000 dollar beloond. Het eerste probleem dat Kinugawa aantrof bevond zich in het Electron-opensourceframework waar de desktopversie van Discord gebruik van maakt. De Discord-ontwikkelaars hadden een bepaalde optie op zo'n manier ingesteld waardoor JavaScriptcode buiten de app het uitvoeren van interne JavaScriptcode kon beïnvloeden. Deze code zou ook verschillende "preload scripts" kunnen aanroepen. Via deze preload scripts was weer een functie benaderbaar waarmee remote code execution mogelijk was. Voor zijn aanval moest Kinugawa nog wel een manier vinden om zijn JavaScriptcode in de Discord-applicatie uit te voeren. Hiervoor gebruikte hij een kwetsbaarheid in de iframe embeds feature van Discord. Deze feature zorgt ervoor dat de videospeler automatisch in de chat wordt weergegeven bij het plaatsen van bijvoorbeeld een YouTube-link. Wanneer de url in de chat verschijnt probeert Discord informatie over de url op te halen en weer te geven, zoals titel, omschrijving, thumbnail-afbeelding en ander zaken. Discord doet dit echter voor een select aantal goedgekeurde domeinen, waaronder het domein sketchfab.com. Via Sketchfab is het mogelijk om 3d-modellen te publiceren, kopen en verkopen. In de voetnoot van de 3d-modellen op sketchfab.com was het mogelijk om cross-site scriptingcode toe te voegen waarmee Kinugawa zijn JavaScriptcode binnen de Discord-app zou kunnen uitvoeren. De onderzoeker laat een demonstratie zien waarbij hij in de chat van Discord een link naar een Sketchfab-model plaatst. Discord ziet dat Sketchfab een goedgekeurd domein is en haalt de informatie van het 3d-model op, waaronder de code van de voetnoot. Deze informatie wordt vervolgens middels een iframe in de chat weergegeven. Wanneer het doelwit nu een aantal keren in het iframe klikt wordt de externe JavaScriptcode, mede door een "navigation restriction bypass" in het Electron-framework uitgevoerd en vindt er remote code execution plaats. Kinugawa waarschuwde Discord, Sketchfab en Electron, waarna de problemen werden verholpen. De eerste twee bedrijven beloonden de onderzoeker via hun bug bounty-programma's met respectievelijk 5.000 en 300 dollar. In onderstaande video wordt de aanval gedemonstreerd. bron: security.nl

Het kabinet wil dat er een Europese toezichthouder komt om de dominante marktpositie van grote digitale platforms aan te pakken. Staatssecretaris Mona Keijzer van Economische Zaken heeft hiervoor samen met de Franse staatssecretaris Cedric O van Digitalisering een voorstel gepubliceerd. Het voorstel richt zich specifiek op digitale platforms waar particulieren en ondernemers nauwelijks omheen kunnen en die daarmee een zogenoemde poortwachterspositie hebben. Het gaat dan bijvoorbeeld om appstores. Door hun dominante positie kunnen gebruikers moeilijk naar andere platforms overstappen. De platforms zijn door hun grote hoeveelheid gebruikers, data en geld ook in staat om hun marktmacht op andere markten toe te passen en kunnen hun poortwachterspositie beschermen door bijvoorbeeld opkomende concurrenten over te nemen. Dit is nadelig voor gebruikers, innovatie en vrije keuze en geeft deze grote digitale platforms vergaande macht, waarbij ze hun eigen regels kunnen stellen, zonder dat ze aan een toezichthouder of door marktwerking verantwoording hoeven af te leggen. De staatssecretarissen willen deze macht via verschillende maatregelen doorbreken. Zo moeten deze platforms worden verplicht om gegevensoverdraagbaarheid mogelijk te maken, zodat gebruikers over hun eigen data kunnen beschikken en deze op andere plekken kunnen gebruiken. Ook moet het voor deze platforms verboden worden om de eigen diensten voor te trekken of zonder gegronde reden toegang door derde partijen die goederen of diensten aanbieden te weigeren. Tevens moeten verdergaande toegangsmaatregelen kunnen worden opgelegd, zoals een verplichting voor platforms om data te delen, interoperabiliteit mogelijk te maken of om proactief alternatieve keuze-opties naast hun eigen diensten aan te bieden aan gebruikers. "De platformeconomie biedt consumenten veel voordelen en ondernemers kansen op online groei. Maar soms worden bepaalde digitale platforms te machtig. Denk bijvoorbeeld aan de de afhankelijkheid van appstores", zegt Keijzer. "Daarom moet eerder worden ingegrepen als een platform met een poortwachtersfunctie de markt daadwerkelijk verstoort. Ze belemmeren dan de toetreding van nieuwe bedrijven en beperken de keuzevrijheid van consumenten en ondernemers." bron: security.nl

Microsoft heeft een beveiligingsupdate uitgebracht waarmee organisaties de JScript-engine in Internet Explorer 11 kunnen uitschakelen. Een maatregel die volgens Microsoft voor een veiligere browse-ervaring moet zorgen. De afgelopen jaren was JScript geregeld het doelwit van aanvallen. Begin dit jaar maakten aanvallers nog misbruik van een zerodaylek in de JScript-engine om IE-gebruikers aan te vallen. Door JScript te blokkeren kunnen aanvallen tegen de engine worden geblokkeerd. Organisaties krijgen van Microsoft het advies om JScript voor websites in de Internet- en Restricted Sites-zones uit te schakelen. De optie die dit mogelijk maakt is beschikbaar op systemen die over de laatste beveiligingsupdates beschikken en kan op verschillende manieren worden ingesteld, zo laat Microsoft in dit document weten. Aangezien JScript een onderdeel van de browser is blijft Microsoft het wel van beveiligingsupdates voorzien. Volgens cijfers van StatCounter maakt een kleine drie procent van de Nederlanders op de desktop nog gebruik van IE. bron: security.nl