Captain Kirk

NAS-systemen van fabrikant QNAP waren kwetsbaar door een hardcoded wachtwoord. Ook hadden aanvallers door middel van command injection toegang tot kwetsbare apparaten kunnen krijgen. Dat heeft QNAP vandaag bekendgemaakt. De beveiligingslekken werden eerder dit jaar verholpen, maar bij de release notes destijds werd er geen melding van gemaakt. Met QES 2.1.1 Build 20200515, het besturingssysteem dat op de NAS-systemen draait, is het probleem met het hardcoded wachtwoord verholpen. Deze versie verscheen op 22 mei van dit jaar. Daarnaast bleek QES ook kwetsbaar te zijn voor command injection, waardoor aanvallers willekeurige commando's op het NAS-systeem hadden kunnen uitvoeren. Dit beveiligingslek werd in oktober via QES 2.1.1 Build 20201006 opgelost. De impact van beide kwetsbaarheden is door QNAP als "high" bestempeld. Gebruikers wordt geadviseerd om de laatste versie van de firmware te installeren. bron: https://www.security.nl

Netwerkfabrikant Zyxel heeft een kritieke kwetsbaarheid in de eigen apparatuur verholpen die ontstond door een ongedocumenteerd gebruikersaccount met een niet te wijzigen wachtwoord. Met het account hadden aanvallers via de webinterface en SSH op Zyxel-apparaten kunnen inloggen. Het beveiligingslek was aanwezig in de firmware voor de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX met versienummer 4.60. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in deze firmware het ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Het gebruikersaccount was niet zichtbaar voor gebruikers en ook bleek het wachtwoord niet te kunnen worden gewijzigd. In een eerdere versie van de firmware was het gebruikersaccount wel aanwezig, maar ontbrak een wachtwoord. Volgens Teusink lijkt het erop dat de kwetsbaarheid in versie 4.60 van de firmware is geïntroduceerd. Via openbare data van Project Sonar ontdekte de onderzoeker drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien laat de onderzoeker niet weten. Eye waarschuwde Zyxel op 29 november van dit jaar, waarop de kwetsbare firmware op 9 december door de netwerkfabrikant werd teruggetrokken. Op 15 december verscheen firmware 4.60 patch 1 waarin de kwetsbaarheid (CVE-2020-29583) is verholpen. Gebruikers wordt aangeraden de laatste versie te installeren. bron: https://www.security.nl

Cisco, GitHub, Google, LinkedIn, Microsoft, VMWare en de Internet Association hebben zicht achter Facebook geschaard in een rechtszaak tegen de NSO Group. Facebook spande een rechtszaak aan tegen de NSO Group wegens het aanbieden van een exploit en spyware waarmee 1400 WhatsApp-gebruikers werden geïnfecteerd. NSO Group is de ontwikkelaar van de Pegasus-spyware. Via de spyware is het mogelijk om via de telefoonmicrofoon de omgeving van het slachtoffer af te luisteren, audio van versleutelde telefoongesprekken op te nemen, foto's via de camera te maken, de locatie van het toestel te achterhalen en toegang tot opgeslagen wachtwoorden te krijgen. Het bedrijf wordt in verband gebracht met de ontwikkeling van meerdere zeroday-exploits. Zo werden deze zomer nog tientallen journalisten en redacteuren van Al Jazeera via een zerodaylek in Apple iMessage gecompromitteerd. Volgens onderzoekers van Citizen Lab is de exploit ontwikkeld door de NSO Group. Het bedrijf heeft in de rechtszaak door Facebook om immuniteit gevraagd. Het wil daarbij meeliften op de "foreign sovereign immunity", die ervoor zorgt dat buitenlandse overheden in bepaalde gevallen niet in de VS kunnen worden aangeklaagd. De techbedrijven stuurden een 'amicus curiae brief' naar een Amerikaanse rechtbank waarin het oproept om de NSO Group geen immuniteit te verlenen. Amicus curiae, wat staat voor 'vrienden van de rechtbank', betreft organisaties en personen die geen partij zijn in een zaak, maar gevraagd of ongevraagd hun mening of advies over een zaak aan de rechtbank geven. Wanneer de NSO Group niet terecht hoeft te staan zou het de cybersurveillance-industrie aanmoedigen om, in strijd met Amerikaanse wetgeving, kwetsbaarheden en exploits te blijven ontwikkelen wat uiteindelijk voor meer aanvallen en schade zorgt, aldus de techbedrijven. "Privébedrijven moeten aansprakelijk gehouden kunnen worden wanneer ze hun cybersurveillancetools in strijd met Amerikaanse wetgeving gebruiken, ongeacht wie hun klanten zijn", aldus de conclusie van de brief (pdf). Microsoft Tom Burt, Microsofts Corporate Vice President, Customer Security & Trust, haalt in een blogposting hard uit naar de NSO Group. Hij noemt het bedrijf een stel 'cyberhuurlingen' die 'cyberwapens' ontwikkelen waarmee overheden op de systemen van mensen kunnen inbreken. Wapens waar onschuldige mensen en bedrijven slachtoffer van worden, aldus Burt. De Microsoft-vicepresident stelt dat bedrijven zoals NSO Group de mensenrechten bedreigen. Dit soort bedrijven moeten dan ook aansprakelijk gehouden kunnen worden wanneer ze hun cybersurveillancetools gebruiken om de wet te overtreden, of toestaan dat deze tools hiervoor worden gebruikt. Daarbij zou het niet mogen uitmaken wie de klanten van de NSO Group zijn, besluit Burt. bron: https://www.security.nl

Bij een internationale actie van politiediensten is vpn-dienst Safe-Inet uit de lucht gehaald. Volgens de autoriteiten maakten criminelen gebruik van het vpn-netwerk. Bij de operatie zijn in Duitsland, Nederland, Zwitserland, Frankrijk en de Verenigde Staten servers in beslag genomen en uitgeschakeld. Criminelen achter de BitPaymer- en Sodinokibi-ransomware maakten gebruik van de vpn-dienst, die al tien jaar operationeel was, zo stelt de politie. "Deze vpn-dienst verkocht z’n diensten tegen hoge bedragen aan de criminele onderwereld. Met anonieme vpn-verbindingen van wel vijf lagen zette het zichzelf in de markt als een van de best beschikbare opties om onderschepping door de autoriteiten te vermijden." Verder stelt de politie dat er wereldwijd zo'n 250 bedrijven zijn geïdentificeerd die met behulp van deze vpn-dienst door criminelen werden bespioneerd en het risico liepen om door ransomware te worden geïnfecteerd. De verschillende opsporingsdiensten waarschuwden vervolgens deze bedrijven, zodat die maatregelen konden nemen tegen een aanval. Bij "Operation Nova" waren de Nationale Politie, Europol, de FBI, de Franse Direction Centrale de la Police Judiciaire, de Zwitserse Bundesamt für Polizei en de Polizeipräsidium Reutlingen uit Duitsland betrokken. Europol laat weten dat er meerdere onderzoeken in verschillende landen lopen om gebruikers van Safe-Inet te identificeren en te vervolgen. bron: https://www.security.nl

Microsoft, McAfee, Citrix en verschillende andere techbedrijven en organisaties zijn samen de Ransomware Task Force gelanceerd, die slachtoffers van ransomware moet bijstaan. Zo zal de taskforce een framework gaan opzetten met maatregelen en acties die organisaties kunnen nemen. Ook zal de RTF bestaande oplossingen gaan beoordelen, tekortkomingen bij de huidige aanpak in kaart brengen en een roadmap met concrete doelen en mijlpijlen voor beleidsmakers opstellen. Tevens zegt de RTF dat het papers zal publiceren en met stakeholders in overleg gaat over gevalideerde oplossingen voor de aanpak van ransomware. De website van de Ransomware Task Force wordt volgende maand gelanceerd. McAfee was ook betrokken bij de lancering van NoMoreRansom.org. Een website die mede met de Nederlandse politie, Europol en Kaspersky in 2016 werd gestart en slachtoffers van ransomware helpt met informatie en decryptietools voor het ontsleutelen van bestanden. bron: https://www.security.nl

Zowel Cisco als VMware maken gebruik van het SolarWinds Orion Platform en hebben updates voor de software geïnstalleerd die een backdoor bleken te bevatten. Dat hebben beide bedrijven bekendgemaakt. Updates voor het platform werden vanaf maart dit jaar door aanvallers voorzien van een backdoor. Zo'n 18.000 klanten van SolarWinds installeerden de besmette updates, waaronder Cisco en VMware. "We hebben de getroffen software in een klein aantal labomgevingen en een beperkt aantal endpoints van medewerkers aangetroffen en verwijderd", aldus Cisco. Het netwerkbedrijf voegt toe dat op dit moment er geen gevolgen bekend zijn voor de eigen producten die het aanbiedt. Ook zijn er geen aanwijzingen dat de aanvallers toegang tot klantgegevens hebben gekregen. VMware laat weten dat de SolarWinds-backdoor ook in de eigen omgeving is aangetroffen. Er zijn echter geen sporen van verder misbruik gevonden. Securitybedrijf FireEye liet weten dat de aanvallers bij zo'n vijftig organisaties en bedrijven via de backdoor aanvullende malware hebben geïnstalleerd. Daarnaast zegt VMware dat het geen meldingen heeft ontvangen over een combinatie van een zerodaylek in VMware Workspace One Acces en de SolarWinds-backdoor. De NSA waarschuwde onlangs voor een kwetsbaarheid in de VMware-software die actief werd aangevallen voordat een beveiligingsupdate beschikbaar was. Workspace One Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. De NSA ontdekte een kwetsbaarheid (CVE-2020-4006) in de software en waarschuwde VMware. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Om de aanval uit te voeren moet een aanvaller wel over geldige inloggegevens beschikken. Die zouden kunnen worden verkregen door systemen binnen de organisatie via de SolarWinds-backdoor te compromitteren. VMware heeft naar eigen zeggen geen meldingen gekregen dat de backdoor en kwetsbaarheid in combinatie met elkaar zijn gebruikt. bron: https://www.security.nl

Bijna 85 procent van de eindgebruikers die met Windows 10 werkt logt zonder wachtwoord in. In plaats daarvan wordt er gebruik gemaakt van pincodes, biometrische authenticatie en beveiligingssleutels, die onderdeel zijn van het inloggen via Windows Hello. Dat heeft Alex Simons corporate vicepresident van het Microsoft Identity Program Management, in een blogposting bekendgemaakt. Volgen Simons logt inmiddels 84,7 procent van de eindgebruikers op Windows 10 in via Windows Hello. Vorig jaar was dat nog 69,4 procent. Het lijkt een ongekend hoog percentage, maar op Twitter stelt Simons dat de cijfers correct zijn en Microsoft al vier jaar bezig is om het gebruik van wachtwoorden uit te faseren, op weg naar een "wachtwoordloze toekomst". Bij het inloggen via een pincode maakt Windows Hello gebruik van de Trusted Platform Module (TPM) van de computer. Een aanvaller die op het account van de gebruiker wil inloggen moet dan ook over de computer en pincode beschikken. Naast eindgebruikers zit ook het zakelijke gebruik van Windows Hello in de lift. Zo is het inloggen op Azure Active Directory door middel van Windows Hello for Business, de Microsoft Authenticator en FIDO2-beveiligingssleutels met vijftig procent toegenomen. Ook zijn er meer dan 150 miljoen gebruikers voor Azure Active Directory en Microsoft-accounts die geen gebruik van een wachtwoord maken. bron: https://www.security.nl

De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten. Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. De verkeerd geconfigureerde API-key was sinds 9 augustus 2018 actief. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld. Ledger maakt gebruik van een derde partij voor het versturen en analyseren van transactie- en marketingmails aan klanten die producten op Ledger.com hebben aangeschaft of zich voor de nieuwsbrief hebben aangemeld. De gestolen gebruikersgegevens werden in eerste instantie verkocht, voordat ze deze maand openbaar werden gemaakt op internet, zo stelt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. De één miljoen e-mailadressen zijn inmiddels toegevoegd aan de zoekmachine, waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend. Update Op het forum waar de data wordt aangeboden staat dat het om de adresgegevens van 272.000 Ledger-gebruikers gaat en 1,3 miljoen e-mailadressen. bron: https://www.security.nl

Aanvallers hebben via een verlopen domein waar een WordPress-plug-in gebruik van maakte malware verspreid, wat volgens onderzoekers het risico aantoont om niet meer ondersteunde plug-ins te blijven gebruiken. De plug-in in kwestie is "My Weather", die op WordPress-sites een weeroverzicht weergeeft. De plug-in maakt gebruik van een extern domein voor het ophalen van weergegevens, die vervolgens op de website worden getoond. Deze domeinnaam verliep en werd geregistreerd door criminelen. Die vervingen de weerdata door kwaadaardige JavaScript die vervolgens in de browser van internetgebruikers werd uitgevoerd als die een website met de weerplug-in bezochten. Volgens onderzoeker Krasimir Kronov van securitybedrijf Sucuri bleek uit verder onderzoek dat het domein malware verspreidde die gebruikers een kwaadaardige extensie probeert te laten installeren. De weerplug-in zelf wordt al lang niet meer door de ontwikkelaar ondersteund. "Dit voorbeeld laat duidelijk zien hoe verouderde en niet meer ondersteunde onderdelen je website risico kunnen laten lopen", aldus Kronov. bron: https://www.security.nl

Microsoft is één van de organisaties die ook slachtoffer is geworden van de aanval met de SolarWinds-backdoor. Dat heeft het techbedrijf via de eigen website bekendgemaakt. Volgens Microsoft heeft het de SolarWinds-backdoor in de eigen omgeving aangetroffen, maar is er geen bewijs gevonden dat de aanvallers toegang tot productiediensten of klantgegevens hebben gekregen. Daarnaast zijn er geen aanwijzingen gevonden dat de systemen van Microsoft vervolgens door de aanvallers zijn gebruikt om anderen aan te vallen. Na ontdekking van de besmette systemen werden die geïsoleerd en verwijderd. Verdere details zijn niet gegeven. Persbureau Reuters kwam eerder met een verhaal gebaseerd op anonieme bronnen dat Microsofts producten, nadat de aanvallers toegang tot de systemen van de techgigant hadden gekregen, waren gebruikt om anderen aan te vallen. Iets dat volgens Microsoft niet klopt. Aanvallers wisten in te breken bij softwarebedrijf SolarWinds, dat producten ontwikkelt voor het monitoren van it-omgevingen. Vervolgens werd er een backdoor toegevoegd aan officiële updates voor het product. Deze updates werden bij bijna 18.000 gebruikers van SolarWinds geïnstalleerd. Naast Microsoft hebben ook securitybedrijf FireEye en verschillende Amerikaanse ministeries bevestigd dat aanvallers op deze manier toegang tot hun systemen hebben gekregen. bron: https://www.security.nl

Versleutelde e-maildienst ProtonMail heeft een nieuwe feature gelanceerd waarmee gebruikers verzonden e-mail kunnen intrekken. Volgens ProtonMail moet "Undo Send" voorkomen dat berichten bijvoorbeeld bij de verkeerde partij terechtkomen. Wanneer gebruikers een e-mail versturen verschijnt er een knop en heeft men vijf seconden de tijd om het bericht in te trekken. Dit werkt ongeacht of de ontvangende partij ook van ProtonMail gebruikmaakt, zoals bijvoorbeeld bij Exchange het geval is. Bij Exchange is het ook mogelijk om berichten in te trekken, maar alleen als de ontvangende partij van dezelfde Exchange-server gebruikmaakt. Op dit moment is het voor ProtoinMail-gebruikers niet mogelijk om het aantal seconden voor het intrekken van e-mail aan te passen. De nieuwe feature is daarnaast alleen beschikbaar voor betalende klanten van ProtonMail en vooralsnog alleen te gebruiken in de bètaversie van de webapplicatie. Gebruikers moeten de optie "Delay message sending" wel eerst zelf inschakelen. bron: https://www.security.nl

Onderzoekers hebben malafide extensies voor Google Chrome en Microsoft Edge ontdekt die het verkeer van gebruikers onderscheppen en naar advertenties en phishingsites doorsturen. De extensies zijn bij elkaar zo'n drie miljoen keer gedownload, meldt antivirusbedrijf Avast. Via de extensies kunnen gebruikers video's van verschillende platformen downloaden, zoals Vimeo, Facebook en Instagram. Kwaadaardige code in de extensies zorgt ervoor dat er aanvullende malware op het systeem kan worden gedownload. Daarnaast onderscheppen de extensies het verkeer van gebruikers. Wanneer die op een link klikken wordt informatie hierover naar een server van de aanvallers gestuurd. Vervolgens kan het slachtoffer naar een andere website worden doorgestuurd, om later alsnog op de beoogde website uit te komen. Avast laat verder weten dat de aanvallers ook e-mailadressen, geboortedata en apparaatgegevens van besmette systemen stelen, waaronder besturingssysteem, browserversie en ip-adres. Sommige van de in totaal 28 gevonden extensies zijn al jarenlang in de Chrome Web Store te vinden. Volgens onderzoeker Jan Rubín was de kwaadaardige code goed verborgen en werd die pas na een aantal dagen actief. Daarnaast werd de malware niet ingeschakeld op systemen van webontwikkelaars, merkt Rubin op. Waar de malware hierbij precies op lette wordt niet duidelijk gemaakt. Avast waarschuwde Google en Microsoft, maar de malafide extensies zijn nog steeds in de extensiestores te vinden. Gebruikers die de extensies hebben geïnstalleerd wordt aangeraden die te verwijderen. Op deze pagina staat een overzicht van de extensies. bron: https://www.security.nl

Softwarebedrijf SolarWinds heeft alle softwareproducten die het aanbiedt naar eigen zeggen gecontroleerd op de backdoor die aanwezig was in updates voor het Orion Platform. Uit dat onderzoek blijkt dat er geen andere programma's zijn gecompromitteerd. Verder heeft het bedrijf alle besmette versies van de software die werden aangeboden offline gehaald. SolarWinds heeft 300.000 klanten. 33.000 daarvan maken gebruik van het Orion Platform, waarmee organisaties hun it-omgeving kunnen beheren en monitoren. Tussen maart en juni van dit jaar wisten aanvallers meerdere digitaal gesigneerde updates van het platform van een backdoor te voorzien. Volgens SolarWinds kregen de aanvallers toegang tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen. Hoe de aanvallers hierin zijn geslaagd is nog altijd niet bekendgemaakt. "Deze aanval was zeer complex en geraffineerd. De kwetsbaarheid was gemaakt om niet te worden opgemerkt en alleen te draaien wanneer detectie onwaarschijnlijk was", aldus een verklaring van SolarWinds. Het bedrijf spreekt structureel over een "kwetsbaarheid" in plaats van een door aanvallers aangebrachte backdoor. Van de 33.000 Orion-klanten installeerden er 18.000 de besmette updates. Eenmaal actief maakt de backdoor verbinding met een domein van de aanvallers en kan aanvullende malware installeren. De Amerikaanse ministeries van Handel, Homeland Security en Landbouw hebben in het openbaar bekend getroffen te zijn. Het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger. Naar aanleiding van de aanval heeft SolarWinds het certificaat voor het signeren van code vervangen en is de toegang tot de build-omgeving beperkt. bron: https://www.security.nl

Onderzoekers hebben malware ontwikkeld die door middel van wifi-signalen data van een air-gapped computer kan stelen. Net als eerdere onderzoeken om gegevens van offline computers te exfiltreren is ook dit onderzoek uitgevoerd door onderzoekers van de Ben-Gurion University. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes. Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden en toetsenbordlampjes zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De aanval die de onderzoekers nu presenteren wordt "AIR-FI" genoemd. Wederom moet de air-gapped computer met malware zijn besmet. Deze malware kan vervolgens via de geheugenbus wifi-signalen genereren. Gevoelige data kan vervolgens worden gemoduleerd en via deze signalen verstuurd. Een smartphone, laptop of Internet of Things-apparaat in de buurt kan deze signalen opvangen, decoderen en via het internet naar de aanvallers terugsturen. Om AIR-FI uit te voeren hoeft het besmette systeem niet over een wifi-netwerkkaart of speciale rechten te beschikken. De malware kan via de DDR SDRAM-geheugenbus van de computer elektromagnetische golven genereren die binnen de 2,4 Ghz wifi-frequentie vallen. De signalen zijn in een radius van bijna drie meter op te vangen. Afhankelijk van de afstand van het ontvangende apparaat kan er data met een snelheid van honderd bit per seconde worden verstuurd. Er zijn verschillende manieren om de aanval te voorkomen, zoals het jammen van de wifi-frequentie of het gebruik van 'Faraday shielding' om zo het lekken van de wifi-signalen te blokkeren. bron: https://www.security.nl

Microsoft heeft de controle gekregen over de domeinnaam die door de SolarWinds-backdoor wordt gebruikt. Zodoende kan het techbedrijf zien bij welke bedrijven en organisaties er nog besmette systemen actief zijn. Aanvallers voegden een backdoor toe aan updates voor het SolarWinds Orion Platform. Dit is een oplossing voor het monitoren van it-omgevingen die door 33.000 bedrijven en organisaties wereldwijd wordt gebruikt. 18.000 klanten installeerden de besmette updates. Eenmaal geïnstalleerd maakt de backdoor verbinding met een subdomein van avsvmcloud[.]com voor het downloaden van aanvullende malware en verdere communicatie met de aanvallers. De domeinnaam is nu in handen van Microsoft, zo meldt it-journalist Brian Krebs. Microsoft bevestigde dit vervolgens ook via Twitter. Doordat het techbedrijf de domeinnaam in handen heeft kan het de ip-adressen zien van servers die er nog steeds verbinding mee maken. Eerder werden organisaties die gebruikmaken van het SolarWinds Orion Platform opgeroepen om te kijken of er vanuit hun netwerk verkeer naar de domeinnaam in kwestie is gegaan. Het is niet de eerste keer dat Microsoft een domeinnaam in handen krijgt die door cybercriminelen is gebruikt. Het techbedrijf deed dit eerder bij verschillende operaties tegen botnets en bij phishingaanvallen gebruikte domeinen. bron: https://www.security.nl

Microsoft Defender blokkeert vanaf vandaag bestanden van softwarebedrijf SolarWinds die door aanvallers van een backdoor zijn voorzien. Dat heeft Microsoft bekendgemaakt. Het gaat om bestanden van het SolarWinds Orion Platform. Afgelopen zondag werd bekend dat aanvallers toegang tot systemen van SolarWinds hadden gekregen en zo updates voor het platform van backdoors konden voorzien. Microsoft bracht zondag ook updates voor Defender uit waarmee organisaties voor de besmette bestanden werden gewaarschuwd. Vanaf vandaag zal de antivirussoftware die ook blokkeren. Hierbij worden bestanden in quarantaine geplaatst, ook wanneer het proces draait. "We beseffen dat dit een serverproduct is dat in klantomgevingen draait, dus het is mogelijk niet eenvoudig om het product buiten gebruik te stellen. Desondanks blijft Microsoft adviseren dat klanten deze servers isoleren en onderzoeken", zo laat het Microsoft 365 Defender Threat Intelligence Team weten. In het geval organisaties niet tijdelijk zonder hun SolarWinds-oplossing kunnen moeten ze maatregelen nemen om ervoor te zorgen dat de besmette bestanden niet in quarantaine worden geplaatst. bron: https://www.security.nl

Mozilla heeft vandaag met Firefox 84 de allerlaatste Firefox-versie gelanceerd die Adobe Flash Player ondersteunt. De volgende versie van de browser zal geen support meer voor Flash bieden. Volgens cijfers van Mozilla heeft op dit moment 35 procent van de Firefox-gebruikers Flash Player geïnstalleerd. Vorige week bracht Adobe al de allerlaatste update uit voor Flash Player. Over drie weken op 31 december 2020 wordt de ondersteuning van de software volledig stopgezet. Vanaf 12 januari volgend jaar zal Adobe het afspelen van Flash-content in Flash Player blokkeren. Alle browserontwikkelaars hebben aangegeven dat ze vanaf volgende maand de ondersteuning van Flash Player zullen stoppen. Mozilla doet dit met Firefox 85, die gepland staat voor 26 januari. Met Firefox 84 worden ook veertien kwetsbaarheden in de browser verholpen. Eén van deze beveiligingslekken is als kritiek aangemerkt en kan een aanvaller in het ergste geval volledige controle over het systeem geven, waarbij alleen het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie voldoende is. Updaten naar Firefox 84 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

De Europese Raad heeft een resolutie aangenomen waarin staat dat opsporingsdiensten toegang tot versleutelde data zouden moeten hebben. Versleutelde e-maildienst ProtonMail maakt zich zorgen. De Raadsresolutie Encryptie vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen. Volgens de resolutie zijn opsporingsdiensten steeds meer afhankelijk van toegang tot elektronisch bewijsmateriaal om terrorisme, georganiseerde misdaad, kindermisbruik, cybercrime en andere misdrijven te bestrijden. "Het kan essentieel zijn dat bevoegde autoriteiten toegang tot elektronisch bewijsmateriaal hebben, niet alleen om een succesvol onderzoek uit te voeren om criminelen te vervolgen, maar ook om slachtoffers te beschermen en de veiligheid te garanderen", zo laat de tekst van de resolutie weten. De resolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Om dit mogelijk te maken wordt er in de EU samen met techbedrijven en andere relevante partijen onderzocht welke technische oplossingen er zijn om effectief inzicht te kunnen verkrijgen in versleutelde data. Daarbij wordt er gesproken over mogelijke technische oplossingen, maar concrete voorbeelden worden niet genoemd. Verder wordt in de resolutie het belang van "sterke encryptie" genoemd. Wat er precies hiermee wordt bedoeld is onduidelijk. In het geval van end-to-end encryptie houdt dit in dat alleen de afzender en ontvanger de inhoud van een bericht kunnen zien. Mocht er een manier komen waardoor een derde partij toegang tot de communicatie zou kunnen krijgen, is er geen sprake meer van end-to-end encryptie. Backdoor De resolutie van de raad is niet bindend. Toch is versleutelde e-maildienst ProtonMail bang dat het zal leiden tot een anti-encryptieoffensief. Volgens Richie Koch van ProtonMail moet er iets worden gedaan om criminelen op het internet te bestrijden, maar is het verzwakken van encryptie niet de oplossing. "Het onder druk zetten van veelgebruikte diensten, zoals WhatsApp of ProtonMail, om een backdoor aan de encryptie toe te voegen voorkomt niet dat criminelen hun eigen versleutelde diensten beginnen", aldus Koch. Hoewel het woord backdoor niet in de resolutie wordt genoemd, is dat wel wat waar de "technische oplossing" in de tekst op doelt, gaat Koch verder. Die stelt dat zowel de werking van encryptie moet worden behouden, alsmede toegang door opsporingsdiensten mogelijk moet zijn. Dit is echter niet haalbaar. "Je kunt niet beide hebben", stelt Koch. "Er is geen backdoor die alleen de good guys binnenlaat." Hij roept EU-burgers op om aan hun Europarlementariër te laten weten dat ze tegen de resolutie zijn. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële software-updates van it-beheersoftware SolarWinds van een backdoor te voorzien en zo overheden en bedrijven wereldwijd aan te vallen. Dat hebben SolarWinds, Microsoft, securitybedrijf FireEye en het Amerikaans CISA bekendgemaakt. De aanvallers wisten op deze manier ook bij FireEye binnen te dingen. SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. Tussen maart en juni van dit jaar werden meerdere digitaal gesigneerde getrojaniseerde updates op de website van SolarWinds geplaatst die via de updatefunctie van de software gedownload konden worden, meldt FireEye. Naast het handmatig installeren van updates beschikt het Orion Platform ook over een automatische updatefunctie. De backdoor was aanwezig in versies 2019.4 HF 5 tot en met 2020.2.1. Hoe de aanvallers toegang tot de systemen van SolarWinds wisten te krijgen is nog onbekend. Eenmaal actief op een systeem maakte de backdoor verbinding met een domein voor het downloaden van aanvullende malware, het verder infecteren van de organisatie en het stelen van data. FireEye meldt dat het bij meerdere organisaties wereldwijd de backdoor heeft aangetroffen. Slachtoffers bevinden zich in verschillende sectoren, waaronder overheid, consultancy, technologie en telecom, in Noord-Amerika, Europa, Azië en het Midden-Oosten. Namen van getroffen organisaties zijn niet bekendgemaakt. Bronnen laten aan Reuters weten dat de Amerikaanse ministeries van Financiën en Handel slachtoffer zijn geworden en aanvallers toegang tot het e-mailverkeer hadden. SolarWinds adviseert klanten om zo snel als mogelijk te updaten naar Orion Platform versie 2020.2.1 HF 1, die beschikbaar is via de SolarWinds Customer Portal. Morgen verschijnt een aanvullende hotfix, 2020.2.1 HF 2, die zowel het gecompromitteerde onderdeel verwijdert als aanvullende beveiligingsmaatregelen toevoegt. FireEye heeft voor Snort, Yara en ClamAV rules gepubliceerd om malware van de aanvallers te detecteren. Amerikaanse overheid Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een "Emergency Directive" afgegeven. Federale overheidsinstanties zijn hierdoor verplicht om systemen met kwetsbare versies van het Orion Platform uit te schakelen of los van het netwerk te koppelen en verschillende andere maatregelen te nemen. Een aantal van deze maatregelen moeten vandaag al worden doorgevoerd. bron: https://www.security.nl

Ook ik kan ij aansluiten bij wat problemen van de 20H2. Op het werk moet bij sommige profielen de juiste activering van Office, welke gekoppeld is aan het account van de gebruiker, opnieuw gekoppeld worden.

Het populaire archiveringsprogramma WinZip was kwetsbaar voor verschillende aanvallen doordat er via het onbeveiligde http op updates werd gecontroleerd. Een aanvaller had hier misbruik van kunnen maken door een malafide "update" aan te bieden. Ook bleek dat registratiegegevens via http werden verstuurd, zoals gebruikersnaam en registratiecode. "Aangezien http onversleutelde cleartext is, kan het door iedereen die het verkeer kan zien worden onderschept, gemanipuleerd of gekaapt", zegt onderzoeker Martin Rakhmanov van securitybedrijf Trustwave. Een aanvaller op hetzelfde netwerk als de gebruiker met een kwetsbare versie van WinZip zou bijvoorbeeld door middel van technieken als "DNS poisoning" de applicatie kunnen misleiden om een malafide update te downloaden. Een gebruiker die denkt dat het om een nieuwe versie gaat zou zo kwaadaardige code kunnen uitvoeren. In de probeerversie van WinZip wordt van tijd tot tijd een pop-up getoond. De inhoud van deze pop-up werd ook via http geladen en kon eenvoudig door een aanvaller op het netwerk worden aangepast. Wederom zou een aanvaller op deze manier een update kunnen aanbieden die in werkelijkheid malware is. WinZip werd op 30 maart over de kwetsbaarheid in WinZip 24 ingelicht. Op 1 september verscheen WinZip 25 waarin het probleem is verholpen. Vandaag publiceerde Trustwave de details van het probleem. Gebruikers wordt aangeraden naar de nieuwste versie te upgraden. bron: https://www.security.nl

Google voert volgend jaar aanpassingen door aan de extensies voor Chrome, waardoor die niet meer standaard toegang tot websites krijgen. Tevens wordt het vanaf 18 januari voor extensies verplicht om een privacylabel te tonen. Volgens Google worden er elke dag vier miljoen Chrome-extensies gedownload. Inmiddels telt de Chrome Web Store meer dan 250.000 extensies waar gebruikers uit kunnen kiezen. Op dit moment heeft een geïnstalleerde Chrome-extensie toegang tot alle websites die een gebruiker bezoekt. Dat gaat volgend jaar veranderen, zo meldt Google. Gebruikers kunnen dan per website aangeven of een extensie daar toegang toe mag krijgen. "Je kunt nog steeds een extensie toegang tot alle bezochte websites geven, maar dat zal niet langer de standaard zijn", zegt Alexandre Blondin, productmanager van Chrome. Verder zullen Chrome-extensies vanaf 18 januari volgend jaar in de Chrome Web Store een privacylabel laten zien, waarin staat welke data ze verzamelen en voor welk doel. Ook zegt Google dat het de mogelijkheden voor ontwikkelaars om verzamelde data te gebruiken gaat beperken. bron: https://www.security.nl

Adobe heeft de allerlaatste update uitgebracht voor Flash Player en bedankt iedereen die de software de afgelopen twee decennia heeft gebruikt. Over drie weken op 31 december 2020 wordt de ondersteuning van de software volledig stopgezet. Vanaf 12 januari volgend jaar zal Adobe het afspelen van Flash-content in Flash Player blokkeren. Adobe roept echter alle gebruikers op om Flash Player nu al van hun systeem te verwijderen. Sommige gebruikers zullen hier door middel van systeemmeldingen op worden gewezen. Alle browserontwikkelaars hebben ook aangegeven dat ze vanaf volgende maand de ondersteuning van Flash Player zullen stoppen. Op dit moment heeft bijvoorbeeld 35 procent van alle Firefoxgebruikers Adobe Flash Player nog op het systeem staan. De laatste update voor Adobe Flash Player, versie 32.0.0.465, bevat geen securityfixes. bron: https://www.security.nl

Chrome-gebruikers die wachtwoorden in hun Google-account opslaan kunnen die straks op meerdere apparaten gebruiken, zonder dat ze hiervoor de synchronisatie-feature moeten inschakelen. Dat heeft Google bekendgemaakt. Op dit moment zijn in een Google-account opslagen wachtwoorden alleen op meerdere apparaten te gebruiken wanneer synchronisatie staat ingeschakeld. Straks volstaat het om alleen op het Google-account in te loggen, waarna er met de opgeslagen wachtwoorden kan worden ingelogd, ongeacht of synchronisatie staat ingeschakeld. Wanneer gebruikers van de desktopversie van Chrome een nieuw wachtwoord op willen slaan krijgen ze de keuze om dit lokaal op het systeem of in hun Google-account te doen. De feature wordt de komende maanden onder gebruikers uitgerold. Daarnaast wil Google dat Chrome-gebruikers op Android eenvoudiger op hun Google-account kunnen inloggen. Dat kan straks door middel van een enkele tap, ook wanneer synchronisatie niet staat ingeschakeld. Bij het inloggen op een Google-dienst zoals Gmail kunnen gebruikers er straks voor kiezen om met één van de Google-accounts op de telefoon in te loggen op Chrome. Het is dan niet meer nodig om het wachtwoord opnieuw in te voeren. bron: https://www.security.nl

Tijdens de laatste patchdinsdag van 2020 heeft Microsoft in totaal 58 kwetsbaarheden verholpen, waaronder kritieke beveiligingslekken in Exchange, SharePoint en Hyper-V. Door middel van de kwetsbaarheden kan een aanvaller in het ergste geval het onderliggende systeem overnemen. Het beveiligingslek in Exchange, CVE-2020-17132, werd door drie verschillende beveiligingsonderzoekers ontdekt. Dat geeft volgens securitybedrijf Zero Day Initiative (ZDI) aan dat het probleem enigszins eenvoudig was te vinden. Om misbruik van de kwetsbaarheid te maken moet een aanvaller wel geauthenticeerd zijn. "Dit geeft aan dat als je iemands mailbox overneemt je de hele Exchange-server kunt overnemen", zegt Dustin Childs van ZDI. Een soortgelijke kwetsbaarheid die Microsoft in februari van dit jaar patchte wordt al maandenlang actief bij aanvallen misbruikt. De kwetsbaarheid in virtualisatiesoftware Hyper-V maakt het mogelijk voor een aanvaller om vanuit een gevirtualiseerd gastsysteem het onderliggende hostsysteem over te nemen. In het geval van één van de twee kritieke SharePoint-kwetsbaarheden kan een geauthenticeerde gebruiker willekeurige .NET-code op de server uitvoeren. Standaard beschikken geauthenticeerde SharePoint-gebruikers over alle permissies die voor een dergelijke aanval nodig zijn. Naast de bovengenoemde beveiligingslekken kwam Microsoft ook met updates voor Windows, Office, Edge, ChakraCore, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK en Azure Sphere. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd. bron: https://www.security.nl