Captain Kirk

Het in 2004 opgerichte testlab AV-Test houdt zich al zestien jaar bezig met het testen van antivirussoftware, maar niet eerder werden tijdens één test zoveel beveiligingspakketten als "Top Product" bestempeld. Tijdens de laatste test werden 22 antivirusprogramma's voor Windows 10 met elkaar vergeleken, waaronder het gratis Defender Antivirus dat standaard in het besturingssysteem aanwezig is. Van de 22 pakketten kregen er 16 het stempel Top Product en wisten er acht de maximale score te halen. Naast zeven commerciële oplossingen, AhnLab, Avira, F-Secure, G Data, Kaspersky, McAfee en NortonLifeLock, gaat het ook om Microsoft Defender Antivirus, dat zoals gezegd een standaardonderdeel van Windows 10 is. Voor de test werden de anti-viruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd er tijdens vier tests getest met 14.000 malware-exemplaren. Dertien pakketten weten alle malware-exemplaren te decteren. De oplossing van Cylance zet de laagste score neer. Bij één van de tests weet de scanner nog geen driekwart van de malware te detecteren. Tijdens het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Het enige product dat hier opvalt is Malwarebytes, dat met 4,5 punten onderaan eindigt. Het grootste deel van de antivirusprogramma's scoort de maximale 6 punten, gevolgd door een paar pakketten met 5,5 punten. Als laatste onderdeel, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Op dit onderdeel eindigen Cylance, PC Matic en Malwarebytes onderaan. Uiteindelijk weten AhnLab, Avira, F-Secure, G Data, Kaspersky, McAfee, Microsoft en NortonLifeLock de maximale 18 punten te scoren, gevolgd door Avast, AVG, Bitdefender, BullGuard, ESET, Protected.net, Trend Micro en Vipre Security met 17,5 punten. AV-Test beoordeelt anti-viruspakketten met 17,5 punten of meer als 'Top Product'. Cylance en PC Matic eindigen met respectievelijk 12 en 13,5 punten onderaan. bron: security.nl

Een onbekende aanvaller heeft geprobeerd om gebruikers van een populaire torrent-client en drie adblockers via een automatische update van de programma's met malware te infecteren. Dat ontdekten onderzoekers van antivirusbedrijf Avast. Het gaat om de torrent-client Download Studio, die met name in Rusland en de Oekraïne populair is, en de adblockers NetShield Kit, My AdBlock en Net AdBlock. De vier programma's ontvingen via een automatische update een aangepaste versie van het antimalwareprogramma Malwarebytes, die stilletjes op het systeem werd geïnstalleerd. De aanvaller had twee dll-bestanden aan de installatie toegevoegd, waarvan één een backdoor was. De dll-bestanden werden bij het starten van Malwarebytes automatisch geladen. Via de backdoor kon de aanvaller met besmette machines communiceren en die opdrachten geven. Zo werden de besmette machines gebruikt voor het delven van cryptovaluta. Avast detecteerde de malware op meer dan honderdduizend systemen. Het werkelijke aantal slachtoffers ligt mogelijk veel hoger, aangezien het genoemde aantal alleen gebruikers betreft die Avast hadden geïnstalleerd. De onderzoekers benaderden de ontwikkelaars van Download Studio. Die beweerden dat ze in augustus met een beveiligingsincident te maken hadden gekregen en maatregelen hadden genomen. Verdere details, zoals het aantal getroffen gebruikers en of die zijn ingelicht, werden niet gegeven. De drie adblockers zijn zeer waarschijnlijk van hetzelfde team afkomstig dat Download Studio ontwikkelde. Het ip-adres waarop de adblockers worden gehost bleek ook verschillende "coinminers" te bevatten, die erg veel leken op de coinminer die via de backdoor werd verspreid. De onderzoekers schetsen dan ook drie scenario's. De ontwikkelaars van Download Studio probeerden hun gebruikers te "verzilveren". Overeenkomsten tussen de code van Download Studio en de backdoor lijken dit te suggereren. Daarnaast kan het zijn dat een groep kwaadwillende medewerkers zonder medeweten van het bedrijf dit heeft gedaan of dat een aanvaller toegang tot de updateservers heeft gekregen. bron: security.nl

Een kritieke kwetsbaarheid in de Windows TCP/IP stack maakt het mogelijk voor aanvallers om op afstand code op clients en servers uit te voeren. Het versturen van speciaal geprepareerde ICMPv6 Router Advertisement pakketten volstaat om systemen over te nemen. Er is geen verdere interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek is dat met een 9,8 beoordeeld. Microsoft heeft gisterenavond beveiligingsupdates voor de kwetsbaarheid uitgebracht, die aanwezig is in Windows 10, Windows Server 2019 en Windows Server versies 1903, 1909 en 2004. Het probleem wordt veroorzaakt wanneer ICMPv6 Router Advertisement pakketten een even "length field value" hebben. Dit zorgt voor een buffer overflow, zo blijkt uit een analyse van antivirusbedrijf McAfee. Volgens Microsoft is er een grote kans dat er op korte termijn misbruik van de kwetsbaarheid zal plaatsvinden, die wordt aangeduid als CVE-2020-16898. "Aangezien het uitvoeren van code in TCP/IP stack plaatsvindt wordt aangenomen dat de aanvaller code met verhoogde rechten kan uitvoeren", zegt Dustin Childs van het Zero Day Initiative. Bedrijven krijgen dan ook het advies om de beveiligingsupdate zo snel als mogelijk te installeren. Microsoft Outlook In totaal bracht Microsoft gisterenavond beveiligingsupdates uit voor 87 kwetsbaarheden. Een ander beveiligingslek dat volgens Childs de aandacht verdient bevindt zich in Microsoft Outlook. Door het versturen van een malafide e-mail kan een aanvaller willekeurige code op het systeem met de rechten van de ingelogde gebruiker uitvoeren. De gebruiker hoeft de e-mail daarbij niet te openen. Een weergave van het bericht in het voorbeeldvenster (preview pane) is voldoende om de kwetsbaarheid te misbruiken. Er is al proof-of-concept exploitcode die misbruik van het beveiligingslek maakt. Ook dit beveiligingslek dienen organisaties snel te patchen, stelt Childs. Naast de kwetsbaarheden in de TCP/IP stack en Outlook zijn er andere beveiligingslekken in Windows verholpen, alsmede in Microsoft Office, JET Database Engine, Azure Functions, Exchange Server, Visual Studio, PowerShellGet .NET Framework, Microsoft Dynamics en de Windows Codecs Library. De updates worden op de meeste systemen automatisch geïnstalleerd. bron: security.nl

Voor de derde keer dit jaar heeft Adobe een beveiligingsupdate voor Flash Player uitgebracht die één kritieke kwetsbaarheid in de browserplug-in verhelpt. Eind dit jaar stopt Adobe de ondersteuning van Flash Player en zullen er geen updates meer verschijnen. De afgelopen jaren werden er grote aantallen kwetsbaarheden in Flash Player gevonden, waarvan verschillende bij zeroday- en andere aanvallen werden ingezet. In 2015 ging het nog om 329 kwetsbaarheden, gevolgd door 266 in 2016. Maandelijks kwam Adobe met patches om deze problemen te patchen. Dit jaar laat echter een ander verhaal zien. Vandaag is pas voor de derde keer dit jaar een beveiligingsupdate uitgebracht die net als de voorgaande twee patches slechts één kwetsbaarheid verhelpt. Net als de beveiligingslekken die in februari en juni werden gepatcht betreft het een kritieke kwetsbaarheid waardoor een aanvaller code met rechten van de ingelogde gebruiker had kunnen uitvoeren. Gebruikers krijgen het advies om "snel" te updaten naar Flash Player 32.0.0.445. Dit kan via de automatische updatefunctie of Adobe.com. Adobe zegt niet bekend te zijn met aanvallen die misbruik van de nu verholpen kwetsbaarheid maken. Daarnaast verwacht het softwarebedrijf niet dat er op korte termijn aanvallen zullen plaatsvinden. bron: security.nl

In de back-upsoftware van Acronis zijn verschillende kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot een systeem heeft systeemrechten kan krijgen, om zo het systeem volledig over te nemen. De beveiligingslekken zijn aanwezig in Acronis Cyber Backup 12.5, Acronis Cyber Protect 15 en Acronis True Image 2021. Het onderliggende probleem van de drie kwetsbaarheden wordt veroorzaakt doordat een "unprivileged" gebruiker de software een speciaal geprepareerd .cnf- of .dll-bestand kan laten uitvoeren. Aangezien de software van Acronis met systeemrechten draait worden ook de bestanden van de aanvaller met deze rechten uitgevoerd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 8,1 en een 8,7 beoordeeld. Acronis heeft True Image 2021 build 32010, Cyber Backup 12.5 build 16363 en Acronis Cyber Protect 15 build 24600 uitgebracht om de kwetsbaarheden te verhelpen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Onderzoekers hebben in een horloge voor kinderen een backdoor ontdekt waardoor remote surveillance mogelijk was, zoals het nemen van foto's op afstand, het achterhalen van de locatie en het afluisteren van de omgeving. De fabrikant stelt dat er onbedoeld testcode is achtergebleven en heeft een firmware-update uitgebracht om het probleem te verhelpen. Het gaat om een horloge gefabriceerd door het Chinese bedrijf Qihoo 360 dat door het Noorse Xplora onder de eigen naam op de Europese markt wordt aangeboden. Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren. Onderzoekers van securitybedrijf Mnemonic, die eerder voor de Noorse consumentenautoriteit onderzoek naar smartwatches voor kinderen deden, ontdekten de backdoor. Ze stellen dat de backdoor zelf geen kwetsbaarheid is, maar opzettelijk is aangebracht. Dat blijkt onder andere uit functienamen zoals remote snapshot, wiretap en send location. De backdoor was door middel van het versturen van sms-codes te activeren. Hiervoor moest een eventuele aanvaller wel de geheime encryptiesleutel van het horloge kennen, die tijdens de productie wordt aangemaakt. De onderzoekers stellen dat zowel Xplora als Qihoo 360 over de encryptiesleutel en het telefoonnummer beschikken, waardoor ze de backdoor zouden kunnen activeren. Daarnaast zou een aanvaller met fysieke toegang tot het horloge de sleutel kunnen achterhalen. "De mogelijkheid om via sms af te luisteren of in het geheim foto's te nemen is geen kwetsbaarheid in de software, een misconfiguratie of een misser in het gebruik van verouderde protocollen. Deze functionaliteit is met opzet ontwikkeld", zo luidt de conclusie van de onderzoekers. In een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd. De onderzoekers vonden een deel van de code die niet helemaal uit de firmware was verwijderd", aldus een verklaring van het bedrijf. Na te zijn ingelicht door de onderzoekers heeft Xplora een patch ontwikkeld die de backdoor verwijdert en vorige week onder gebruikers is uitgerold. bron: security.nl

De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd. Een verschil met veel andere privacy-extensies die trackers blokkeren is dat Privacy Badger niet met blocklists werkt of interactie van gebruikers vereist. De privacyplug-in kijkt namelijk naar het gedrag van trackers op websites. Zodra Privacy Badger ziet dat hetzelfde third-party domein de gebruiker op drie verschillende websites volgt besluit het die te blokkeren. Doordat Privacy Badger eerst moet leren welke trackers de gebruiker tegenkomt voordat het die kan blokkeren, dachten veel gebruikers dat de plug-in niet werkte. In het begin worden er namelijk geen trackers en advertenties geblokkeerd. Twee jaar geleden verscheen er een nieuwe versie die standaard allerlei trackers blokkeert, zodat gebruikers weten dat die werkt. Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken. Wanneer een gebruiker van Privacy Badger een website zou bezoeken had een tracker een script kunnen uitvoeren dat ervoor zorgde dat de extensie een unieke combinatie van domeinen zou blokkeren. Wanneer de tracker ook op andere websites actief was kon die de fingerprint van de gebruiker uitlezen en hem zo op deze andere websites volgen. Het was ook mogelijk voor een tracker om te achterhalen of de gebruiker bepaalde websites had bezocht, ook al draaide er geen code van de tracker op deze websites. De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken. bron: security.nl

De op privacy gerichte zoekmachine DuckDuckGo heeft een nieuwe feature gelanceerd die privacyvriendelijke routebeschrijvingen belooft. Voor het weergeven van routebeschrijvingen maakt de zoekmachine gebruik van Apple Maps. Daarbij wordt geen persoonlijke informatie verzameld of gedeeld, zo laat DuckDuckGo in de aankondiging van de nieuwe feature weten. Wanneer een gebruiker een locatie gerelateerde zoekopdracht uitvoert verstuurt de browser locatiegegevens naar de zoekmachine, die DuckDuckGo scheidt van andere persoonlijke informatie die de browser meestuurt, en na gebruik worden verwijderd. Om de locatie van de gebruiker te bepalen maakt DuckDuckGo van een Geo IP lookup. Hierbij wordt er geen persoonlijke identificeerbare informatie zoals ip-adressen met derde partijen gedeeld. Nadat de zoekmachine aan de hand van het ip-adres van de gebruiker zijn locatie heeft bepaald wordt het verwijderd. Op deze manier kan de zoekmachine naar eigen zeggen anonieme lokale resultaten en features bieden zonder het ip-adres van gebruikers op te slaan. Routebeschrijvingen waren een belangrijke feature die nog ontbrak, aldus de zoekmachine. bron: security.nl

Verschillende organisaties, waaronder Mozilla, de EFF en DuckDuckGo, zijn een nieuw initiatief gestart waardoor gebruikers aan websites kunnen laten weten dat hun AVG-rechten gerespecteerd moeten worden worden. Global Privacy Control (GPC) is een experimenteel nieuw protocol waarmee gebruikers via de browser een opt-outverzoek naar websites kunnen sturen dat ze niet willen worden gevolgd. GPC lijkt daarmee op Do Not Track (DNT), waarmee gebruikers ook kunnen aangeven dat ze op geen enkele wijze getrackt willen worden. Het is echter aan websites om hier gehoor te geven en DNT wordt door veel websites gewoon genegeerd. Door privacywetgeving zoals de AVG hebben internetgebruikers nu het recht om zich voor bepaalde vormen van tracking af te melden. GPC moet deze opt-outverzoeken versturen. Het gaat hier echter om een geheel nieuw voorstel voor een standaard en veel websites ondersteunen het dan ook nog niet. De initiatiefnemers hopen dat GPC uiteindelijk een bindend juridisch verzoek zal zijn voor alle bedrijven in landen met een toepasbare privacywetgeving. GPC wordt onder andere door browserextensie Privacy Badger, Brave-browser en de extensie en browser van DuckDuckGo ondersteund. bron: security.nl

Twee kritieke kwetsbaarheden in de software van NAS-fabrikant QNAP maken het mogelijk voor een aanvaller om NAS-systemen over te nemen, zo laat het bedrijf zelf weten. De beveiligingslekken zijn aanwezig in het Helpdesk-onderdeel van het QTS-besturingssysteem. Via de in QTS ingebouwde Helpdesk-app is het mogelijk om problemen met de NAS direct bij QNAP te rapporteren. Details over de kwetsbaarheden en hoe die precies zijn te misbruik zijn niet gegeven, behalve dat het om een kritiek probleem met de "toegangscontrole" gaat waardoor een aanvaller NAS-systemen kan overnemen. De beveiligingslekken zijn verholpen in Helpdesk versie 3.0.3 die op 17 augustus van dit jaar verscheen. QNAP maakt echter nu pas melding van de kwetsbaarheden en adviseert QNAP-gebruikers om naar de nieuwste versie van de Helpdesk-app te updaten. Eind september waarschuwde QNAP nog dat NAS-systemen het doelwit van ransomware waren, waarbij aanwezige bestanden op de systemen werden versleuteld. Hoe de ransomware NAS-systemen weet te infecteren liet QNAP niet weten, maar het bedrijf stelde dat er aanwijzingen waren gevonden dat de ransomware het op oudere versies van Photo Station heeft voorzien. bron: security.nl

De Duitse overheid is begonnen met het informeren van netwerkproviders over kwetsbare Exchange-servers in hun netwerken. De servers bevatten een kwetsbaarheid die wordt aangeduid als CVE-2020-0688. Via het beveiligingslek kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Nu acht maanden later blijken nog altijd duizenden servers niet te zijn geüpdatet, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Daar komt bij dat aanvallers actief misbruik van de kwetsbaarheid maken. Vorige maand maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security nog bekend dat overheidsinstanties vaak via vier kwetsbaarheden worden aangevallen, waaronder het Exchange-lek in kwestie. "Helaas blijven we zien dat gebruikers bestaande beveiligingsupdates maandenlang negeren en dus onnodige maar aanzienlijke risico's nemen. In dit geval is het met name ernstig dat de kwetsbaarheid vanaf het internet is te misbruiken en de benodigde aanvalscode online is verschenen en al is toegevoegd aan bekende aanvalstools", zegt BSI-voorzitter Arne Schönbohm. Volgens Schönbohm is het de hoogste tijd dat organisaties de beveiligingsupdates gaan installeren. Het Computer Emergency Response Team van de Duitse overheid, CERT-Bund, dat onder het BSI valt, is daarom begonnen met het informeren van Duitse netwerkproviders over de ip-adressen van kwetsbare Exchange-servers in hun netwerk. De provider kan vervolgens klanten waarschuwen dat ze hun Exchange-server moeten updaten. Deze week liet NBIP, de Nationale Beheersorganisatie Internetproviders, weten dat het een dergelijke rol in Nederland wil gaan vervullen. De organisatie heeft een systeem ontwikkeld dat meldingen van het Nationaal Cyber Security Centrum (NCSC) kan ontvangen en doorzetten naar de betreffende providers (pdf). Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders. bron: security.nl

Een kritiek beveiligingslek in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval volledige controle over het onderliggende systeem kan krijgen. Google heeft gisterenavond een nieuwe versie van de browser uitgebracht waarin het probleem is verholpen. De kwetsbaarheid is aanwezig in het onderdeel van Chrome dat wordt gebruikt voor het uitvoeren van betalingen. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een use after free te veroorzaken. Vervolgens is het mogelijk om willekeurige code met rechten van de gebruiker uit te voeren. De kwetsbaarheid, aangeduid als CVE-2020-15967, werd op 11 september door beveiligingsonderzoeker Man Yue Mo van GitHub aan Google gerapporteerd. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend. Naast de bovengenoemde kritieke kwetsbaarheid zijn in de nieuwe Chrome-versie 34 andere beveiligingslekken met een lagere impact verholpen. Het gaat onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Nieuwe features Chrome 86.0.4240.75 introduceert ook verschillende nieuwe features. Zo waarschuwt de browser voor onveilig verstuurde webformulieren. Het gaat dan om webformulieren op https-sites die via een onbeveiligde verbinding worden verstuurd. Dit is volgens Google een risico voor de security en privacy van gebruikers, aangezien een aanvaller op deze manier verstuurde formulieren kan onderscheppen, lezen en aanpassen. De nieuwe browser blokkeert ook standaard uitvoerbare bestanden, archiefbestanden en disk-images die op https-sites via http worden aangeboden. Tevens waarschuwt Chrome voor andere "mixed content" downloads die via http plaatsvinden, met als uitzondering downloads van audio-, video- en tekstbestanden. Tevens gaat Google in Chrome 86 experimenteren met de weergave van url's in de adresbalk. Een testgroep zal niet meer de volledige url te zien krijgen. In plaats daarvan wordt alleen het domein weergegeven. Gebruikers hebben nog wel de optie om de volledige url te bekijken. Ook start Google in deze versie van de browser met het uitschakelen van FTP. Bij één procent van de gebruikers wordt de FTP-ondersteuning uitgeschakeld. Gebruikers kunnen FTP nog wel zelf inschakelen. Met de lancering van Chrome 87 zal FTP standaard bij de helft van alle gebruikers worden uitgeschakeld. Uiteindelijk zal FTP-support in Chrome 88 volledig verdwijnen. De nieuwe Chrome-versie wordt bij de meeste gebruikers automatisch geïnstalleerd. Aangezien er ook een kritieke kwetsbaarheid is verholpen probeert Google alle gebruikers binnen dertig dagen naar de nieuwe versie te krijgen. bron: security.nl

De websites van browserontwikkelaar Brave zijn tegenwoordig ook toegankelijk via het Tor-netwerk, wat gebruikers meer privacy en security moet bieden. Brave is geen onbekende met het Tor-netwerk. In 2018 besloot het bedrijf om de browser van privétabs met Tor-integratie te voorzien. De privétabs met Tor-integratie laten het internetverkeer via het Tor-netwerk lopen. Op deze manier wordt het ip-adres van de gebruiker afgeschermd en kan de provider niet meer meekijken. Daarnaast beheert Brave verschillende servers die binnen het Tor-netwerk worden gebruikt. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. Brave wilde nog een stap verder gaan door de eigen websites op het Tor-netwerk te hosten. Hierdoor hoeven Tor-gebruikers het Tor-netwerk niet te verlaten, wat de veiligheid van gebruikers moet vergroten. Adressen op het Tor-netwerk eindigen op .onion en bestaan uit een string van zestien karakters. In het geval van Brave is er gekozen voor het domein brave5t5rjjg3s6k.onion. De browserontwikkelaar heeft de eigen onion-site niet alleen aangekondigd, maar ook in technische detail stap voor stap beschreven hoe het dit domein aanmaakte. bron: security.nl

Mozilla heeft nieuwe badges voor gecontroleerde Firefox-extensies geïntroduceerd. Dit moet het duidelijker voor gebruikers maken van welke extensies de code is geïnspecteerd. Firefox-extensies die via addons.mozilla.org (AMO) worden aangeboden werden altijd handmatig door Mozilla-medewerkers gecontroleerd. Aangezien dit een tijdsintensief proces is besloot de browserontwikkelaar hiermee te stoppen. In 2019 werd daarop het Recommended Extensions-programma gelanceerd. Het gaat hier om door Mozilla gecontroleerde extensies. Alleen bij extensies in dit programma vindt nog een handmatige check plaats. Het programma telt inmiddels 98 extensies, die allemaal het label "Recommended" hebben. Bij alle andere extensies laat Mozilla een waarschuwing zien dat de extensie geen controle van het Recommended Extensions-programma heeft ondergaan en gebruikers er zeker van moeten zijn dat ze de extensie vertrouwen voordat ze die installeren. Ontwikkelaars van deze extensies lieten onlangs weten dat ze zich zorgen maken dat de waarschuwing Firefox-gebruikers afschrikt om hun extensie te installeren. Mozilla werd dan ook gevraagd of het mogelijk is om weer een handmatige controle van extensies uit te voeren, waarbij sommige ontwikkelaars aangaven hiervoor te willen betalen. Om deze ontwikkelaars tegemoet te komen is Mozilla een betaald controleproces gestart. Ontwikkelaars kunnen uit twee betaalde opties kiezen. Bij de eerste optie zal de goedgekeurde extensie het label "Verified" krijgen. Vervolgens is het mogelijk om tegen een extra bedrag deze Verified extensies op de homepage van addons.mozilla.org te plaatsen. Naast de Verified en Recommend Firefox-extensies biedt Mozilla ook eigen extensies aan. Daarvoor is nu ook een nieuwe badge ontwikkeld met de naam "By Firefox". Gebruikers kunnen op addons.mozilla.org specifiek op de verschillende badges zoeken. Zo zijn er op het moment van schrijven vier extensies van Mozilla zelf en negen extensies met het label Verified. Het totaal aantal gecontroleerde Firefox-extensies komt daarmee uit op 111. bron: security.nl

Het afgelopen jaar wisten criminelen door middel van sim-swapping miljoenen euro's te stelen en deze vorm van cybercrime vormt dan ook een serieus risico, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA). Daarin maakt de opsporingsdienst ook de zorgen kenbaar die het heeft over de impact van encryptie op onderzoeken, bijvoorbeeld in het geval van DNS over HTTPS. Bij sim-swapping belt een oplichter de provider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Zodoende kan de oplichter toegang tot allerlei accounts van het slachtoffer krijgen en bijvoorbeeld sms-codes ontvangen die de bank voor het uitvoeren van financiële transacties verstuurt. Begin dit jaar wisten de Spaanse autoriteiten in samenwerking met Europol een bende op te rollen die ervan wordt verdacht via sim-swapping 3,5 miljoen euro te hebben gestolen. In 2019 was Europol nog betrokken bij het oprollen van een bende die op een zelfde manier meer dan een half miljoen euro van Oostenrijkse bankrekeningen wist te stelen. Bij deze aanvallen hadden de criminelen, bijvoorbeeld via malware, toegang tot de inloggegevens voor internetbankieren gekregen. . Zodra ze door middel van sim-swapping de controle over het telefoonnummer van hun slachtoffers hadden gekregen, logden ze in op een mobiele bank-app of banksite en voerden frauduleuze transacties uit. Zo maakt sim-swapping het mogelijk om de aanwezige tweefactorauthenticatie die banken toepassen te omzeilen. Volgens Europol is sim-swapping een belangrijke nieuwe trend in het IOCTA en zagen Europese opsporingsdiensten de afgelopen twaalf maanden een toename van deze methode. Encryptie Een ander onderwerp dat in het rapport meerdere keren wordt benoemd is de impact van encryptie op het onderzoekswerk van opsporingsdiensten. Zo stelt Europol dat het gebruik van versleutelde chat-apps, en voorstellen om dit uit te breiden, een risico voor kindermisbruik vormt en het lastig voor opsporingsdiensten maakt om online kindermisbruik te detecteren. Ook het gebruik van versleutelde e-maildiensten zoals ProtonMail, Tutanota en ***.li worden genoemd. "Het gebruik van bepaalde technologieën heeft het lastiger voor opsporingsdiensten gemaakt om bij onderzoeken toegang tot gegevens te krijgen. Het wijdverbreide gebruik van encryptie is één van de meest prominente voorbeelden", zo laat het rapport weten. "Van een beveiligingsstandpunt biedt het vele voordelen, maar het is ook een ontwikkeling waar criminelen dankbaar gebruik van maken." Europol merkt op dat encryptie in steeds meer diensten en tools wordt verwerkt. Eén voorbeeld dat de dienst noemt is DNS over HTTPS (DoH). DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Het kan zijn dat internetgebruikers om van DoH gebruik te maken een andere DNS-provider kiezen. Doordat de DNS-verzoeken zijn versleuteld maakt dit het lastiger voor opsporingsdiensten om hier toegang toe te krijgen, laat Europol weten. Worden DNS-verzoeken op dit moment vaak door de lokale internetprovider van de betreffende gebruiker afgehandeld, DoH kan ervoor zorgen dat straks een handvol providers alle verzoeken ontvangt. "Als een gevolg hiervan zullen bij de meeste DoH-gerelateerde onderzoeken internationale juridische verzoeken komen kijken. De DoH-provider zal waarschijnlijk over een privacybeleid beschikken, wat het nog lastiger voor opsporingsdiensten maakt om de noodzakelijke informatie voor het onderzoek te verkrijgen", gaat het rapport verder. Europol-directeur Catherine De Bolle laat echter ook weten dat Europol voorop loopt als het om innovatie gaat en de dienst verschillende oplossingen biedt met betrekking tot encryptie. bron: security.nl

Onderzoekers hebben verschillende malafide npm-packages ontdekt die gegevens van gebruikers op Github publiceerden, zo blijkt uit een advisory van het npm Security Team en een analyse van securitybedrijf Sonatype. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. De malafide packages, met de namen electorn, lodashs, loadyaml en loadyml, waren bij elkaar meer dan 550 keer gedownload. Eenmaal geïnstalleerd verzamelden de packages het ip-adres, ip-gebaseerde locatiegegevens, naam van de home directory en lokale gebruikersnaam. Deze informatie werd in een reactie op GitHub geplaatst. De ontwikkelaar besloot twee van de malafide packages kort na de publicatie in augustus weer te verwijderen. De twee resterende packages, loadyaml en electorn, een bewust verkeerde spelling van het populaire Electron-framework, werden vorige week door het npm Security Team uit de npm registry verwijderd. bron: security.nl

Onderzoekers hebben bij twee organisaties UEFI-images ontdekt die met malware besmet bleken te zijn en een backdoor aan het systeem toevoegden. Doordat de malware in de UEFI-firmware verborgen zat kon de backdoor een herinstallatie van het systeem overleven, zo meldt antivirusbedrijf Kaspersky. De virusbestrijder ontdekte de malware bij twee niet nader genoemde organisaties. De malware was gebaseerd op een gelekte UEFI-bootkit van het Italiaanse bedrijf Hacking Team. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Volgens de onderzoekers was deze malware tot nu toe nooit in het wild waargenomen. Hoe de systemen met de UEFI-bootkit besmet raakten is onbekend. Eén mogelijke optie is dat de aanvallers fysieke toegang tot de systemen van de twee organisaties hadden. In een uitleg van Hacking Team over de UEFI-bootkit wordt een infectiemethode beschreven die gebruikmaakt van een usb-stick. Het systeem moet vanaf een usb-stick worden gestart, die vervolgens de malafide firmware via een speciale updatetool installeert. Eenmaal actief zorgde de malware in de UEFI-firmware ervoor dat het bestand IntelUpdate.exe in de Startup-map van het systeem wordt geplaatst. Het gaat hier om een backdoor die automatisch bij het starten van Windows wordt geladen. Wanneer de gebruiker of een virusscanner dit bestand verwijdert zorgt de UEFI-malware voor een nieuwe installatie van het bestand. De groep die voor de aanvallen verantwoordelijk wordt gehouden zou van 2017 tot en met 2019 "diplomatieke entiteiten" en NGO's in Afrika, Azië en Europa hebben aangevallen. Bij twee van deze organisaties werd de UEFI-bootkit geïnstalleerd. De organisaties zouden allemaal een link met Noord-Korea hebben, zo stellen de onderzoekers. Daarnaast bleek dat de aanvallers Noord Korea gerelateerde informatie van de besmette systemen stalen. bron: security.nl

Cisco heeft beveiligingsupdates voor de IOS XR-software uitgebracht waarmee twee kwetsbaarheden worden verholpen die al zeker een maand het doelwit van aanvallen zijn. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers. De kwetsbaarheden (CVE-2020-3566 en CVE-2020-3569) bevinden zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen. Op 29 augustus kwam Cisco met een waarschuwing dat er actief misbruik werd gemaakt van de kwetsbaarheden voor het uitvoeren van denial of service-aanvallen. Er werden vervolgens verschillende mitigaties genoemd om het probleem te verhelpen. Nu een maand later zijn er beveiligingsupdates voor de kwetsbaarheden verschenen. bron: security.nl

Zo'n 140.000 servers die Exchange 2010 draaien zullen over twee weken geen beveiligingsupdates meer ontvangen. Microsoft stopt op 13 oktober namelijk dan de support van de software. In maart van dit jaar werd Exchange 2010 nog op 166.000 servers aangetroffen, een aantal dat nu naar 140.000 is gedaald, zo blijkt uit onderzoek van securitybedrijf Rapid7. Microsoft heeft de afgelopen jaren verschillende service packs voor Exchange 2010 uitgebracht. Om nog beveiligingsupdates te ontvangen moeten servers over Exchange 2010 Service Pack 3 beschikken, een upgrade die in 2013 uitkwam. Rapid7 ontdekte dat van de 140.000 servers er echter 40.000 op Exchange Service Pack 1 of 2 draaien en dus al jarenlang geen beveiligingsupdates meer ontvangen. Bijna 54.000 Exchange 2010-servers bleken al zes jaar lang niet meer te zijn bijgewerkt met updates. Zo draaien er bijna 10.000 servers nog de eerste versie van Service Pack 3 die op 12 februari 2013 uitkwam. Verder telde Rapid7 ruim 16.000 Exchange 2007-servers die vanaf het internet toegankelijk zijn en waarvan de ondersteuning op 11 april 2017 eindigde. Ook bij andere Exchange-servers is het mis. Zo zijn er ruim 102.000 Exchange 2013-servers, waarvan er 35.000 de laatste update draaien. Tienduizenden van deze servers zijn in jaren niet geüpdatet. Op 11 april 2023 stopt Microsoft de ondersteuning van Exchange 2013. Bij Exchange 2016 en 2019 is de situatie niet anders en blijkt een meerderheid niet de laatste update te draaien. Organisaties die nog met Exchange 2010 werken wordt aangeraden om met spoed hun omgeving naar een wel ondersteunde versie te upgraden. In het geval van Exchange 2013 krijgen organisaties het advies om een migratieplan klaar te hebben liggen, zodat er tijdig kan worden overgestapt. Daarnaast doen organisaties er verstandig aan om de laatste Exchange-updates te installeren. bron: security.nl

Veel mensen werken nog altijd thuis en voor deze groep is het belangrijk dat ze hun persoonlijke computer en zakelijke computer gescheiden houden, zo stelt de Belgische politie. Zo wijst de Federale Politie naar een onderzoek waaruit blijkt dat thuiswerkers wekelijks tientallen risicovolle en frauduleuze websites bezoeken, die gevolgen kunnen hebben voor de veiligheid van hun bedrijf. "De frauduleuze sites hadden kunnen worden geblokkeerd als de werknemer vanop zijn computer op het werk werkte. De beveiliging is bij je thuis echter niet dezelfde", zo stelt de Belgische politie. Thuiswerkers krijgen dan ook het advies geen privézaken op de werkcomputer te doen. "Als je thuiswerkt en gebruikmaakt van een door je werkgever ter beschikking gestelde computer, beperk dan het gebruik ervan tot deze beroepsactiviteit", zegt commissaris Olivier Bogaert van de Federal Computer Crime Unit. bron: security.nl

Na Microsoft en de Amerikaanse overheid heeft ook Cisco een waarschuwing afgegeven voor actief misbruik van het "Zerologon-lek" in Windows Server. Volgens het netwerkbedrijf is er een toename van het aantal exploitpogingen zichtbaar. Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen. Microsoft bracht op 11 augustus een beveiligingsupdate uit. Vorige week waarschuwde het techbedrijf dat het aanvallen had waargenomen waarbij het beveiligingslek, dat de naam Zerologon heeft gekregen, actief werd misbruikt. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen. Het Amerikaanse ministerie van Homeland Security kwam vanwege de impact met een aparte "Emergency Directive" waarin federale overheidsinstanties werden verplicht om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Een aantal dagen later meldde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruik van de kwetsbaarheid en riep organisaties op om alle domeincontrollers meteen te patchen. Een advies dat door de Britse overheid werd overgenomen (pdf). Nu meldt Cisco dat het een stijging van het aantal exploitpogingen ziet. Securitybedrijf Pen Test Partners laat daarbij weten dat er ook een risico bestaat dat ontevreden eigen personeel van organisaties, wanneer er een eenvoudige 'point and click' exploit verschijnt, de kwetsbaarheid kan gaan misbruiken. bron: security.nl

Een koffiezetapparaat dat niet meer werkt omdat het met ransomware is geïnfecteerd, onderzoekers van antivirusbedrijf Avast hebben laten zien dat dit geen sciencefiction is. De aanval is mogelijk door de onveilige updateprocedure van het koffiezetapparaat van fabrikant Smarter. Het koffiezetapparaat is naast de normale manier ook via een app te bedienen. Wanneer de machine voor het eerst wordt aangezet creëert het een eigen wifi-netwerk waar de gebruiker via de bijbehorende app verbinding mee kan maken. Vervolgens kan de gebruiker het koffiezetapparaat zo instellen dat het verbinding maakt met zijn wifi-netwerk. Onderzoekers van Avast ontdekten dat de firmware van het koffiezetapparaat in de app zelf aanwezig is. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat. Die maakt namelijk geen gebruik van encryptie of digitale handtekeningen. Daarnaast schakelt het koffiezetapparaat het eigen onbeveiligde wifi-netwerk voor de updateprocedure in. "Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde", aldus de onderzoekers. Een aanvaller zou zo een kwaadaardige firmware-versie kunnen maken om die vervolgens naar het koffiezetapparaat te sturen. Daarbij zijn er verschillende aanvalsvectoren, bijvoorbeeld wanneer de machine nog niet is ingesteld en zijn eigen wifi-netwerk open heeft staan. Een andere aanvalsvector is via het wifi-netwerk, bijvoorbeeld via een op afstand gecompromitteerde router. Een derde optie is het gebruik van een malafide app die zich als de machine-app voordoet. Om te demonstreren dat een aanval mogelijk is ontwikkelden de onderzoekers een malafide firmware-versie die de machine onbruikbaar maakt door continu heet water en de koffiemolen te laten lopen. Daarnaast wordt de warmhouder ingeschakeld en verschijnt er een melding op de display die om losgeld vraagt. Het enige dat de gebruiker op dat moment kan doen is het uitschakelen van de machine, zo merken de onderzoekers op. De fabrikant laat op de eigen website weten dat deze versie van het koffiezetapparaat niet meer wordt ondersteund. Gebruikers moeten dan ook geen beveiligingsupdate verwachten, stelt Avast. Via Wigle vonden de onderzoekers 570 koffiezetapparaten van Smarter die nog niet zijn ingesteld, wat inhoudt dat iedereen in de buurt van deze machines die via het open wifi-netwerk van het apparaat zouden kunnen aanvallen. bron: security.nl

NAS-fabrikant QNAP heeft een waarschuwing afgegeven voor de AgeLocker-ransomware die bestanden op NAS-systemen versleutelt. Hoe de ransomware NAS-systemen weet te infecteren laat QNAP niet weten, maar het bedrijf stelt dat er aanwijzingen zijn gevonden dat AgeLocker het op oudere versies van Photo Station heeft voorzien. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. In mei werden er details over verschillende kwetsbaarheden in de QNAP-software gepubliceerd. Via de beveiligingslekken kan een aanvaller vanaf het internet en zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. QNAP had eind vorig jaar al beveiligingsupdates voor de kwetsbaarheden in Photo Station uitgebracht, die op een schaal van 1 tot en met 10 wat betreft de ernst allemaal met een 9,8 zijn beoordeeld. Aangezien de door AgeLocker gebruikte aanvalsvector nog niet bekend is adviseert QNAP in ieder geval om de laatste versie van het QTS-besturingssysteem en geïnstalleerde NAS-applicaties te installeren. "We zijn bezig met een uitgebreid onderzoek en zullen zo snel als mogelijk meer informatie vrijgeven" aldus de NAS-fabrikant. NAS-systemen van QNAP zijn geregeld het doelwit van malware. In juli waarschuwden het Britse National Cyber Security Centre (NCSC) en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat er wereldwijd 62.000 besmette QNAP NAS-systemen waren ontdekt. bron: security.nl

Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie. Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken. Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA. Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en vervolgens het dataverkeer onderscheppen. Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen. bron: security.nl

Cisco heeft een reeks kritieke patches uitgebracht voor Cisco IOS en IOS XE, de besturingssystemen waarop veel hardware van het bedrijf draait. Het gaat om een bundeling van 25 beveiligingsadviezen die gezamenlijk 34 kwetsbaarheden oplossen. Alle 25 beveiligingsadviezen hebben het label "hoog risico" gekregen. Uit de toelichting van Cisco blijkt dat kwaadwillenden dankzij meerdere fouten in het web management framework van IOS en IOS XE in staat zijn om beheerdersrechten op Cisco-apparatuur te verkrijgen.Verder blijken de industriële Cisco 800 Serie routers en de Cisco 1000 Connected Grid routers-serie overgenomen te kunnen worden door softwarefouten. Ook zijn er patches uitgebracht voor de Catalyst switches uit de 9000-serie. Bovendien wordt er nog een aantal DoS-kwetsbaarheden in de besturingssystemen opgelost. Organisaties die willen weten of hun Cisco-apparatuur kwetsbaar is voor een van de fouten, wordt aangeraden om de Cisco Software Checker te gebruiken. Cisco brengt naar eigen zeggen op verzoek van klanten twee keer per jaar een beveiligingsupdate voor IOS en IOS XE uit. Dit gebeurt elk jaar in maart en september. bron: security.nl