Captain Kirk

Een aanvaller heeft ingebroken op de systemen van securitybedrijf FireEye en zo scripts, scanners en tools van het bedrijf kunnen stelen, zo heeft FireEye zelf in een blogposting bekendgemaakt. Het gaat om tools die FireEye gebruikt voor het testen van de beveiliging van klanten, zoals scripts voor het automatisch verkennen van netwerken tot exploitatie-frameworks die op CobaltStrike en Metasploit lijken. Er zijn bij de aanval geen zeroday-exploits of onbekende technieken buitgemaakt. Volgens FireEye zal de diefstal de aanvaller in kwestie dan ook niet veel helpen. Kevin Mandia, ceo van FireEye, stelt dat de aanvaller als primair doel naar informatie over bepaalde overheidsklanten zocht. Er zijn echter geen aanwijzingen gevonden dat er ook data van systemen waarop klantgegevens staan is buitgemaakt. Om misbruik van de gestolen tools te voorkomen heeft het securitybedrijf verschillende rules en signatures voor programma's als Snort, Yara en ClamAV beschikbaar gesteld waarmee de scripts, scanners en frameworks zijn te detecteren. Tevens heeft FireEye een lijst gepubliceerd van kwetsbaarheden waar de gestolen tools onder andere gebruik van maken. Het gaat met name om beveiligingslekken die uit 2018 en 2019 stammen. Hoe de tools konden worden gestolen laat FireEye niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven. bron: https://www.security.nl

Cloudflare, het Nederlandse SURF en verschillende andere partners hebben vandaag Oblivious DNS over HTTPS (ODoH) gelanceerd. ODoH zorgt ervoor dat dns-providers niet kunnen zien welk dns-verzoek bij een bepaald ip-adres hoort, wat de privacy van gebruikers ten goede moet komen. Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen. Om dit te voorkomen werd DNS over HTTPS (DoH) bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers. Hierdoor bestaat het risico dat één partij heel veel inzicht in het dns-verkeer van gebruikers krijgt. Om dit probleem te tackelen bedachten engineers van Apple, Cloudflare en Fastly Oblivious DNS over HTTPS. ODoH versleutelt het dns-verzoek en laat het via een proxyserver lopen. Deze proxyserver, die losstaat van de dns-server, fungeert als tussenpersoon tussen de internetgebruiker en de website die hij wil bezoeken. Doordat het dns-verzoek is versleuteld kan de proxyserver de inhoud niet zien. De proxyserver voorkomt vervolgens weer dat de dns-server het ip-adres van de gebruiker ziet. "De combinatie van deze twee onderdelen garandeert dat alleen de gebruiker op hetzelfde moment toegang tot zowel de dns-berichten als zijn eigen ip-adres heeft", aldus Tanya Verma van Cloudflare in een blogposting. ODoH heeft volgens Verma ook nauwelijks impact op de snelheid waarmee de dns-verzoeken worden verwerkt. Om ODoH goed te laten werken is het nodig dat de proxyserver die het dns-verzoek naar de dns-server doorstuurt, door een andere partij wordt beheerd dan de dns-provider. Hiervoor werkt Cloudflare samen met verschillende proxypartners, te weten PCCW, SURF en Equinix. ODoH is inmiddels te gebruiken met de 1.1.1.1-dns-server van Cloudflare zelf. Daarnaast heeft Cloudflare de ODoH-specificatie aan de Internet Engineering Task Force (IETF) voorgelegd, in de hoop er een internetstandaard van te maken. bron: https://www.security.nl

Antivirusbedrijf NortonLifeLock, dat voorheen bekend stond als Symantec, heeft de Duitse concurrent Avira voor een bedrag van 360 miljoen dollar overgenomen. NortonLifeLock hoopt zo de internationale groei te versnellen, met name in Europa en opkomende markten. Volgens het antivirusbedrijf draait de software van Avira op meer dan dertig miljoen apparaten en heeft het anderhalf miljoen betalende klanten. Daarnaast biedt Avira een freemiummodel waar NortonLifeLock mogelijk ook wat mee wil gaan doen. Avira werd in 1986 opgericht en telt meer dan vijfhonderd medewerkers. Begin dit jaar werd Avira nog voor 180 miljoen dollar door Investcorp overgenomen. Nu krijgt de virusbestrijder opnieuw een nieuwe eigenaar. Travis Witteveen en Matthias Ollig, de ceo en cto van Avira, gaan bij het managementteam van NortonLifeLock aan de slag. Na de overname van Symantecs bedrijfsdivisie door chipgigant Broadcom voor een bedrag van 10,7 miljard dollar ging de consumententak door als NortonLifeLock en richt zich volledig op eindgebruikers. bron: https://www.security.nl

De Amerikaanse geheime dienst NSA heeft vandaag een waarschuwing afgegeven voor een kwetsbaarheid in VMware Workspace One Access die actief wordt misbruikt door aanvallers. Volgens de waarschuwing van de NSA gaat het om door Rusland gesponsorde actoren die via het beveiligingslek kwetsbare servers overnemen. Workspace One Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. De NSA ontdekte een kwetsbaarheid (CVE-2020-4006) in de software en waarschuwde VMware. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Bij de aanvallen die de NSA heeft waargenomen installeren de aanvallers via het beveiligingslek een webshell. Vervolgens authenticeren de aanvallers zich bij Microsoft Active Directory Federation Services (ADFS) en krijgen zo toegang tot beveiligde data. Organisaties worden dan ook opgeroepen om de update van VMware meteen te installeren. Is het installeren van de update niet mogelijk dan moeten organisaties mitigaties doorvoeren om de kans op een aanval te verkleinen. Verder adviseert de NSA om een veilig wachtwoord voor de managementinterface in te stellen. Wanneer wordt vermoed dat de server al is gecompromitteerd raadt de NSA aan om de serverlogs en configuratie van de authenticatieserver te controleren. bron: https://www.security.nl

Virtuele toetsenborden van smartphones en tablets zijn door middel van smart speakers af te luisteren, zo hebben onderzoekers van de Universiteit van Cambridge aangetoond (pdf). In het verleden hebben onderzoekers al laten zien dat het mogelijk is om door middel van een malafide app die de interne microfoon van de telefoon gebruikt om ingevoerde wachtwoorden en pincodes op te vangen. De Cambridge-onderzoekers wilden kijken of dit ook mogelijk is via een externe microfoon, zoals van een smart speaker. Moderne stemassistenten beschikken over twee tot zeven microfoons, zodat ze gerichter kunnen luisteren. De microfoons zijn gevoelig genoeg om op een halve meter afstand het geluid van vingers die de smartphone aanraken waar te nemen. Aan de hand van deze geluiden is af te leiden wat de gebruiker intikte. Zo is een vijfcijferige pincode met tien raadpogingen in vijftien procent van de gevallen te achterhalen. In het geval van ingevoerde tekst kan een nauwkeurigheid van vijftig procent worden gehaald. Voorwaarde is wel dat de aanvaller toegang tot de opgenomen audio heeft. Dit is echter op verschillende manieren mogelijk, zo stellen de onderzoekers. Dit kan bijvoorbeeld door kwaadaardige software op de smart speaker te installeren of wanneer de aanvaller bij de smartspeakerfabrikant zich met spraakverwerking gaat bezighouden. Zo is bekend dat Amazon en Google mensen inhuren om via de smart speaker opgenomen audio te beluisteren. Een andere mogelijkheid om ingevoerde inloggegevens af te luisteren is door middel van verborgen microfoons in de buurt van het slachtoffer te plaatsen. Om dit afluisteren te voorkomen geven de onderzoekers verschillende tips. Zo kunnen smartphonefabrikanten stille "tap-achtige" geluiden afspelen, die voor de gebruiker onhoorbaar zijn, wanneer het toetsenbord actief is. Daarnaast is de aanval alleen mogelijk als de aanvaller over een identiek toestel beschikt. Veel mensen maken echter gebruik van bijvoorbeeld schermfolie of hoezen om hun telefoon te beschermen, wat ook invloed op de akoestiek van het scherm heeft. bron: https://www.security.nl

Onderzoekers hebben een nieuwe variant van de berucht TrickBot-malware ontdekt die in staat is om op besmette systemen de UEFI-firmware te manipuleren. Hierdoor zou de malware in theorie een herinstallatie van het besturingssysteem kunnen overleven, zo meldt securitybedrijf Eclypsium. De eerste versie van TrickBot werd in 2016 waargenomen en betrof een banking Trojan. Het gaat hier om malware speciaal ontwikkeld om gegevens te stelen voor het frauderen met internetbankieren. Niet alleen wisten de ontwikkelaars de afgelopen jaren meer dan een miljoen machines met TrickBot te infecteren, de malware groeide dankzij de modulaire opzet uit tot een veelzijdig gereedschap voor cybercriminelen, zo liet Microsoft onlangs nog weten. Naast het stelen van wachtwoorden en allerlei andere gegevens wordt TrickBot ook ingezet voor het uitrollen van aanvullende malware, waaronder de Ryuk-ransomware. Voor de verspreiding van TrickBot wordt gebruik gemaakt van e-mailbijlagen en andere malware die al op besmette computers aanwezig is, zoals de Emotet-malware. Vorige week kwam de Franse overheid nog met een document waarin het de rol van TrickBot bij de verspreiding van de Ryuk-ransomware beschreef (pdf). In oktober vonden onderzoekers van Eclypsium een TrickBot-versie die over een nieuwe module beschikte die de UEFI-firmware van het systeem controleerde. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De nieuwe TrickBot-versie gebruikte een driver van het programma RWEverything om via de SPI-controller te controleren of de UEFI-firmware kan worden aangepast. RWEverything is een tool waarmee het mogelijk is om aanwezige firmware te overschrijven. Op dit moment controleert TrickBot alleen of de schrijfbeveiliging van de firmware staat ingeschakeld en wordt die niet overschreven. De malware beschikt echter al over de code om firmware te lezen, beschrijven en wissen, zo stellen de onderzoekers. Ze waarschuwen dat dit vergaande gevolgen kan hebben. Zo kan de malware van kwetsbare systemen de firmware wissen zodat de machine niet meer opstart of is het mogelijk om voor het starten van het besturingssysteem aanwezige beveiligingssoftware uit te schakelen. "Gegeven de omvang en reikwijdte van TrickBot is de ontdekking van een module die zich op firmware richt verontrustend", aldus de onderzoekers. "Deze aanvallers verzamelen doelwitten waarvan is bevestigd dat ze kwetsbaar voor firmware-aanpassingen zijn, en één aangepaste regel code maakt van deze verkenningsmodule een aanvalsfunctie." bron: https://www.security.nl

Mozilla heeft een kwetsbaarheid in e-mailclient Thunderbird verholpen die ontstond bij het uitlezen van SMTP-serverstatuscodes. SMTP-servers versturen deze statuscodes na een request van de e-mailclient. Thunderbird bleek statuscodes van SMTP-servers niet goed te verwerken. Dit werd veroorzaakt doordat de e-mailclient een integerwaarde naar een plek in het geheugen schreef die slechts één byte zou moeten bevatten. Afhankelijk van de processorarchitectuur en 'stack layout' kon er een stack overflow ontstaan waar een aanvaller mogelijk misbruik van zou kunnen maken. Mozilla heeft de kwetsbaarheid, CVE-2020-26970, als 'high' bestempeld. Het beveiligingslek is verholpen in Thunderbird 78.5.1. Updaten naar de nieuwe versie kan via de automatische updatefunctie en Thunderbird.net. bron: https://www.security.nl

Microsoft heeft in totaal achttien malafide extensies voor Chromium Edge uit de eigen Addon-store verwijderd. De extensies injecteerden advertenties in de zoekresultaten van Google. Wanneer gebruikers op een zoekresultaat klikten werden ze soms doorgestuurd naar een advertentie of andere website. Op Reddit klaagden meerdere gebruikers dat ze hiermee te maken hadden. Microsoft stelde vervolgens een onderzoek in en ontdekte dat het werd veroorzaakt door de malafide extensies. Die deden zich onder andere voor als de extensies van vpn-diensten NordVPN, Adguard en TunnelBear, maar ook als extensies van de Wayback Machine en "Ublock Adblock Plus". Microsoft adviseert gebruikers die de extensies hebben geïnstalleerd om die te verwijderen. Hieronder het overzicht van de malafide extensies. bron: https://www.security.nl

Fortinet heeft meer dan 50.000 klanten gewaarschuwd dat ze kwetsbare vpn-software draaien en risico lopen om te worden aangevallen. De organisaties in kwestie hebben al anderhalf jaar geen updates voor hun vpn-systeem geïnstalleerd. Op 24 mei 2019 bracht Fortinet een beveiligingsupdate uit voor een kwetsbaarheid in de FortiOS SSL VPN webportal. Het beveiligingslek, aangeduid als CVE-2018-13379, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. In juli stelden de Amerikaanse en Britse autoriteiten nog dat Russische inlichtingendiensten het Fortinet-lek gebruikten om vaccinontwikkelaars aan te vallen. In oktober kwamen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaansee ministerie van Homeland Security nog met een waarschuwing dat aanvallers het op kwetsbare Fortinet vpn-systemen hadden voorzien. Ondanks alle aandacht voor de kwetsbaarheid en de beschikbaarheid van een beveiligingsupdate zijn er nog altijd meer dan 50.000 klanten van Fortinet die risico lopen. Aanleiding voor Fortinet om deze klanten direct te benaderen en te informeren. "Na achttien maanden, meer dan zeven verschillende Fortinet-notificaties en nieuwsdiensten en overheidsinstellingen die voor het risico waarschuwen zijn er nog steeds veel ongepatchte apparaten", aldus het bedrijf. Onlangs werd gemeld dat lijsten met de ip-adressen van deze apparaten op internet worden verhandeld. Maatregelen Naar aanleiding van de huidige situatie heeft Fortinet besloten om verschillende maatregelen door te voeren. Zo zal het voortaan elke eerste dinsdag van de maand met een patchdinsdag komen. In het geval van zeer ernstige of aangevallen kwetsbaarheden wordt hiervan afgeweken. Verder zullen ernstige kwetsbaarheden ook duidelijk in de grafische gebruikersinterface worden vermeld en zal het voor bepaalde firmware "long-time support" gaan bieden. Op deze manier hoopt het bedrijf dat klanten beschikbare beveiligingsupdates zullen installeren. bron: https://www.security.nl

Volgende week dinsdag 8 december zal er een belangrijke beveiligingsupdate voor OpenSSL verschijnen, zo heeft het OpenSSL Project Team aangekondigd. OpenSSL versie 1.1.1i zal één of meerdere kwetsbaarheden verhelpen waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. De laatste OpenSSL-kwetsbaarheid waarvan de impact als high was beoordeeld dateert van april dit jaar, wat meteen het eerste high-lek in drie jaar tijd was. Via het beveiligingslek was het mogelijk om denial of service-aanvallen tegen servers uit te voeren. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat volgende week wordt gepatcht zijn nog niet gegeven. OpenSSL versie 1.1.1i verschijnt volgende week dinsdag 8 december tussen 14:00 en 18:00 uur Nederlandse tijd. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Microsoft waarschuwt voor een spionagegroep die bedrijven en overheidsinstellingen in Frankrijk en Vietnam aanvalt en cryptominers als afleidingsmanoeuvre installeert. De groep wordt door Microsoft "Bismuth" genoemd en vertoont volgens het techbedrijf overeenkomsten met een groep aanvallers die bekendstaat als OceanLotus en APT32. De groep maakt gebruik van phishingmails om organisaties te infecteren. In sommige gevallen wordt er eerst enige tijd met het doelwit gecorrespondeerd voordat die een kwaadaardig document krijgt toegestuurd. Dit document bevat kwaadaardige code die, wanneer door de gebruiker geactiveerd, malware op het systeem installeert. De aanvallers maken hierbij gebruik van een techniek genaamd DLL-sideloading. Ze laten een legitiem programma een kwaadaardig DLL-bestand uitvoeren dat in werkelijkheid malware is. In dit geval downloaden de aanvallers een oude versie van Microsoft Defender Antivirus die kwetsbaar is voor DLL-sideloading en zorgen ervoor dat de virusscanner tijdens het starten van het systeem wordt geladen. Zodra Defender wordt gestart zal die een tevens geïnstalleerd kwaadaardig DLL-bestand uitvoeren. Naast Microsoft Defender Antivirus maken de aanvallers ook gebruik van verouderde versies van Sysinternal DebugView, de McAfee on-demand scanner en Microsoft Word 2007. Vervolgens proberen de aanvallers andere systemen in het netwerk te infecteren en allerlei inloggegevens te stelen. Bij aanvallen die in juli en augustus plaatsvonden installeerden de aanvallers ook een cryptominer die de rekenkracht van besmette machines gebruikte om de digitale valuta Monero te delven. Volgens Microsoft deed de groep dit opzettelijk als afleidingsmanoeuvre om de andere activiteiten te verbergen. Cryptominers zouden minder aandacht van verdedigers trekken omdat het als minder gevaarlijke malware wordt beschouwd, aldus Microsoft. In de tussentijd kunnen de aanvallers doorgaan met het stelen van vertrouwelijke gegevens. Daarnaast levert het gebruik van de cryptominer ook extra inkomsten op. Volgens het techbedrijf werd er met de ontdekte cryptominers in totaal duizenden dollars verdiend. bron: https://www.security.nl

Onderzoekers van het Nederlands Security Meldpunt hebben 313.000 WordPress-sites met een .nl-domeinnaam gescand op kwetsbaarheden. Zo werd er onder andere gekeken naar het versienummer van de WordPress-installatie en geïnstalleerde plug-ins. Aan de hand van de scanresultaten zijn de onderzoekers begonnen met het waarschuwen van de betreffende webmasters en eigenaren. De eerste waarschuwingen die zijn verstuurd gaan over publiekelijk leesbare dump.sql- en installer-log.txt-bestanden. Deze bestanden kunnen gevoelige informatie bevatten. Zo is via installer-log.txt de inhoud van een zip-bestand te vinden met daarin weer bestanden die bijvoorbeeld databasewachtwoorden bevatten. Het bestand blijft achter bij de migratie via de Wordpress-plug-in Duplicator. Door middel van de bestanden kunnen aanvallers WordPress-sites volledig overnemen of toegang tot allerlei vertrouwelijke informatie krijgen. In de e-mail die het Nederlands Security Meldpunt verstuurt wordt advies gegeven om gevonden problemen te verhelpen. Daarnaast wordt WordPress-beheerders aangeraden om hun installaties en plug-ins up-to-date te houden. bron: https://www.security.nl

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder werd op 24 november gewezen op een "acces permission" probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen. Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. Daarnaast worden er aanvullende maatregelen getroffen om herhaling te voorkomen. bron: https://www.security.nl

Een kwetsbaarheid in de website van Xbox Live maakte het mogelijk om het e-mailadres en de naam van gebruikers te achterhalen. De enige vereiste voor een aanvaller was dat hij over de gamertag van een doelwit beschikte. Meerdere personen wisten het beveiligingslek te vinden voordat het door Microsoft werd verholpen. De kwetsbaarheid was aanwezig in de website enforcement.xbox.com, waar gamers terecht kunnen als ze bijvoorbeeld op het Xbox-netwerk zijn geschorst. Wanneer gebruikers op de website inloggen wordt er een cookie aangemaakt met details over de sessie. Dit cookiebestand bevatte een onversleuteld Xbox user ID (XUID). Door het XUID via standaard browsertools met een ander XUID te vervangen was het mogelijk om de voor- en achternaam en het e-mailadres dat bij dit XUID hoorde te bekijken. "Ik probeerde de cookiewaarde te vervangen en deed een refresh, waarna ik het e-mailadres van andere gebruikers kon zien", laat beveiligingsonderzoeker Joseph "Doc" Harris tegenover ZDNet weten. Eerder berichtte ook al Vice Magazine over de kwetsbaarheid. Microsoft heeft het probleem verholpen door het XUID te versleutelen, stelt Harris. In onderstaande video demonstreert hij de kwetsbaarheid met een testaccount. bron: https://www.security.nl

Microsoft Defender, de gratis antivirussoftware die standaard aanwezig is in Windows 10, heeft wederom tijdens een antivirustest van het Duitse testlab AV-Test Institute de maximale score gehaald. De gratis virusscanner scoorde beter dan betaalde pakketten zoals Bitdefender, ESET en G Data. Voor de test werden in totaal 22 anti-viruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 334 "zero-day" malware-exemplaren en ruim 12.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 98,8 procent gehaald. De test met de ruim 12.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Veertien virusscanners scoren op beide onderdelen 100 procent. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Cylance en PC Matic zetten met respectievelijk 2,5 en 4 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Achttien van de 22 pakketten scoren de maximale 6 punten. De overige vier antivirusprogramma's volgen met 5,5 punten, wat aangeeft dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. Cylance eindigt met vier punten wederom onderaan. Van de 22 virusscanners weten er uiteindelijk tien op de alle drie de vlakken maximaal te scoren. Het gaat om AhnLab, BullGuard, F-Secure, Kaspersky, McAfee, Microsoft, Northguard, NortonLifeLock, Trend Micro en Vipre Security. Cylance is met 12,5 punten hekkensluiter. Het is de derde test op rij van dit jaar dat Microsoft Defender van AV-Test de maximale score krijgt. Informatie die Microsoft via Defender verzameld wordt ook binnen de zakelijke beveiligingsoplossing van het techbedrijf gebruikt, waar organisaties voor moeten betalen. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft een waarschuwing afgegeven voor een kwetsbaarheid in de software van MDM-aanbieder MobileIron waar landen en criminelen gebruik van maken om Britse organisaties aan te vallen. MobileIron is een aanbieder van mobile device management (MDM)-software waarmee organisaties de apparaten van hun medewerkers op afstand kunnen beheren. De centrale server waarop de MDM-software draait is een aantrekkelijk doelwit voor aanvallers, aldus het NCSC. Op 15 juni kwam MobileIron met een beveiligingsupdate voor een kritieke kwetsbaarheid in MobileIron Core & Connector, MobileIron Sentry en MobileIron Monitor and Reporting Database (RDB). Het beveiligingslek (CVE-2020-15505) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Door middel van "ongespecificeerde vectoren" kan een aanvaller op afstand willekeurige code op de MDM-server uitvoeren. In september verscheen er proof-of-concept exploitcode waarmee kwetsbare systemen zijn aan te vallen. Sindsdien maken zowel vijandelijke statelijke actoren als cybercriminelen misbruik van de kwetsbaarheid, aldus het NCSC. Zowel gezondheidszorg, lokale overheden, logistieke bedrijven en de juridische sector zijn het doelwit van aanvallen geweest. In oktober waarschuwden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat organisaties via het MobileIron-lek waren aangevallen. Daarnaast stond CVE-2020-15505 in een Top 25 van meest aangevallen kwetsbaarheden die de NSA publiceerde. Eind oktober kwam MobileIron met een bericht dat het sinds het verschijnen van de beveiligingsupdate klanten onder andere heeft gebeld en gemaild om de patch te installeren. Dat zou ervoor hebben gezorgd dat eind oktober naar schatting tussen de 90 en 95 procent van alle MDM-systemen up-to-date was. Organisaties die de update nog niet hebben geïnstalleerd worden door het NCSC en MobileIron opgeroepen dit te doen. bron: https://www.security.nl

Een kwetsbaarheid in cPanel, een populair controlepaneel voor het beheren van websites, maakte het mogelijk om de tweefactorauthenticatie (2FA) tijdens het inloggen te omzeilen. CPanel wordt volgens de ontwikkelaars door meer dan 70 miljoen websites gebruikt. Als extra beveiliging kunnen webmasters tweefactorauthenticatie inschakelen, zodat er naast een wachtwoord een extra code moet worden ingevoerd. CPanel bleek geen beperkingen aan het aantal ingevoerde 2FA-codes te stellen. Door middel van een bruteforce-aanval had een aanvaller op deze manier de tweefactorauthenticatie kunnen omzeilen. De kwetsbaarheid werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 4,3 beoordeeld. CPanel heeft een update uitgebracht om het probleem te verhelpen. Het controlepaneel behandelt een verkeerde ingevoerde 2FA-code nu op dezelfde manier als een verkeerd ingevoerd wachtwoord. Daarnaast wordt er nu rate limiting toegepast om het aantal inlogpogingen te beperken. Beheerders krijgen het advies om te updaten naar cPanel build 11.92.0.2, 11.90.0.17 of 11.86.0.32. bron: https://www.security.nl

Wie een gratis tls-certificaat voor zijn website zoekt kan voortaan naast Let's Encrypt ook bij certificaatautoriteit ZeroSSL terecht. Het bedrijf biedt via het ACME-protocol gratis tls-certificaten aan. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen. Door ZeroSSL uitgegeven certificaten zijn, net als bij Let's Encrypt, negentig dagen geldig. ZeroSSL ondersteunt ook multidomein- en wildcardcertificaten. Volgens beveiligingsonderzoeker Scott Helme kan ZeroSSL als alternatief voor Let's Encrypt dienen en zorgt het voor meer diversiteit. Wanneer Let's Encrypt bijvoorbeeld met een storing te maken heeft kan er door middel van ACME snel op ZeroSSL worden teruggevallen. Op deze manier wordt een "single point of failure" voorkomen, merkt Helme op. Daarnaast wordt het zo eenvoudiger gemaakt om van certificaatautoriteit te veranderen. Let's Encrypt liet onlangs nog weten dat miljoenen sites die van de certificaten gebruikmaken volgend jaar niet meer op oude Androidtelefoons werken. Dan verloopt het rootcertificaat dat deze telefoons gebruiken om de certificaten van Let's Encrypt te vertrouwen. Een update naar een nieuwer rootcertificaat hebben deze telefoons nooit ontvangen. Het rootcertificaat waar ZeroSSL gebruik van maakt is sinds Android 6.0 aanwezig en verloopt pas in 2038. bron: https://www.security.nl

Onderzoekers hebben in een onbeveiligde database die voor iedereen op internet toegankelijk was honderdduizenden gestolen Spotify-wachtwoorden ontdekt. De inloggegevens waren bij andere websites buitgemaakt en vervolgens gebruikt om op Spotify-accounts in te loggen van gebruikers die hun wachtwoorden hergebruiken. De in totaal 72 gigabyte grote Elasticsearch-database bevatte meer dan 380 miljoen records, waaronder e-mailadressen, gebruikersnamen en wachtwoorden en de locatie van de gebruikers. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. In dit geval was de database van een fraudeur die door middel van een credential stuffing-aanval had geverifieerd of de gestolen wachtwoorden ook bij Spotify werkte. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Volgens onderzoekers van vpnMentor, die de database ontdekten, ging het om de inloggegevens van 300.000 tot 350.000 Spotify-gebruikers. De onderzoekers waarschuwden de online muziekdienst, waarna Spotify besloot om de wachtwoorden van alle getroffen gebruikers te resetten. bron: https://www.security.nl

VMware heeft een waarschuwing gegeven voor een kritieke kwetsbaarheid in One Access en gerelateerde onderdelen waarvoor nog geen beveiligingsupdate beschikbaar is. Wel is er als oplossing een workaround gegeven. Het beveiligingslek is aanwezig in Workspace One Access, Workspace One Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation en vRealize Suite Lifecycle Manager. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Ondanks de verschillende voorwaarden voor een succesvolle aanval is de kwetsbaarheid (CVE-2020-4006) op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 beoordeeld. VMware werkt aan een beveiligingsupdate voor de kwetsbaarheid. Wanneer die zal verschijnen is nog onbekend. In de tussentijd is er een workaround die organisaties kunnen implementeren. bron: https://www.security.nl

Een verzameling van 226 miljoen gestolen e-mailadressen en 40 miljoen wachtwoorden, afkomstig van mogelijk 23.000 gecompromitteerde websites, is aan datalekzoekmachine Have I Been Pwned toegevoegd. De dataverzameling is afkomstig van Cit0day, een inmiddels uit de lucht gehaalde website. Deze website bood tegen betaling toegang tot gestolen databases met e-mailadressen, gebruikersnamen en plaintext wachtwoorden. Volgens de website beschikte het over 23.000 gestolen databases. Cit0day werd in september door de Amerikaanse autoriteiten offline gehaald, waarna de complete databaseverzameling op allerlei fora en Telegramkanalen verscheen. Zowel e-mailadressen als wachtwoorden zijn aan Have I Been Pwned toegevoegd, zo laat oprichter en onderzoeker Troy Hunt weten. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 226 miljoen gestolen e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend. Naast het zoeken op gelekte e-mailadressen biedt Have I Been Pwned ook een service genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden die bij websites zijn gestolen. Gebruikers kunnen op wachtwoorden zoeken of die gecompromitteerd zijn of de volledige verzameling als wachtwoordhash downloaden. De dataverzameling van Cit0day bevatte 40 miljoen wachtwoorden die aan Pwned Passwords zijn toegevoegd. Het gaat om wachtwoorden die plaintext door websites waren opgeslagen of waarvan de hash is gekraakt. bron: https://www.security.nl

Een beveiligingslek in videoconferentiesoftware Cisco Webex maakt het mogelijk voor een ongeauthenticeerde aanvaller om ongezien aan een vergadering deel te nemen. Daarnaast zijn er twee kwetsbaarheden gevonden waardoor geschorste deelnemers de audio van de vergadering kunnen blijven beluisteren en een ongeauthenticeerde aanvaller gevoelige informatie van de meeting room lobby kan bekijken. Cisco heeft updates uitgebracht om de problemen te verhelpen. Het probleem waarbij een aanvaller aan een vergadering kon deelnemen zonder op de deelnemerslijst te verschijnen werd volgens Cisco veroorzaakt door het niet goed verwerken van authenticatietokens. Verdere details worden niet gegeven. Wel meldt Cisco dat een aanvaller over de link en het wachtwood van de meeting moest beschikken. Vervolgens was het mogelijk om aan de meeting deel te nemen zonder in deelnemerslijst te verschijnen en had de aanvaller volledige toegang tot audio, video, chat en screensharingmogelijkheden. Daarnaast was er een probleem waarbij een uit de vergadering verwijderde aanvaller of deelnemer toegang tot de audio kon behouden. Een synchronisatieprobleem tussen meeting- en mediaservices op een kwetsbare Webex-site was de boosdoener, aldus Cisco. Dit probleem werd veroorzaakt door het droppen van bepaalde "key control messages" die over de opgezette WebSockets werden uitgewisseld. Dit zorgde ervoor dat de deelnemer niet meer zichtbaar was op de deelnemerslijst, maar de audioverbinding actief bleef. Bij de derde kwetsbaarheid werd gevoelige deelnemersinformatie niet goed beveiligd, waardoor een aanvaller toegang kon krijgen tot onder andere e-mailadressen en ip-adressen van Webex-deelnemers die in de lobby wachtten. Uitgebreide details over de drie kwetsbaarheden, die door IBM werden gevonden, zijn niet gegeven. Mogelijk dat die na de uitrol van de beveiligingsupdates verschijnen. bron: https://www.security.nl

Extensies voor Google Chrome laten vanaf januari 2021 aan gebruikers zien welke data ze verzamelen en hoe hiermee wordt omgegaan, zo heeft Google aangekondigd. Daarnaast heeft Google het beleid aangepast waarin staat wat ontwikkelaars met verzamelde data mogen doen. Extensies moeten straks in de Chrome Web Store vermelden welke data ze verzamelen, op een manier die vergelijkbaar is met het privacylabel van Apple. Het gaat dan bijvoorbeeld om zaken als persoonlijke identificeerbare informatie, authenticatiegegevens en gebruikersactiviteit. Naast informatie over de verzamelde data moet de extensie-ontwikkelaar ook aangeven wat hij niet met de gegevens zal doen. Dit is gebaseerd op aangepast beleid van Google. Zo mag gebruikersdata niet voor gepersonaliseerde advertenties worden gebruikt, is de verkoop van gebruikersdata niet toegestaan, mag gebruikersdata niet worden gebruikt om de kredietwaardigheid van de gebruiker te bepalen en is het uitwisselen van gebruikersdata alleen toegestaan wanneer dit in het belang van de gebruiker is en overeenkomt met het doel van de extensie. Ontwikkelaars kunnen de informatie over hun extensie via het developer dashboard van Google toevoegen. Vanaf 18 januari 2021 zal de informatie in de Chrome Web Store worden getoond. Bij extensies waar dit niet is gedaan zal Google een melding tonen dat de ontwikkelaar geen informatie heeft gegeven over het verzamelen en gebruiken van gebruikersdata. bron: https://www.security.nl

De Amerikaanse hostingprovider Managed.com is na een ransomware-aanval offline gegaan, waardoor ook websites van klanten onbereikbaar zijn. Dat heeft het bedrijf via de eigen statuspagina bekendgemaakt. De aanval vond afgelopen maandag plaats. In eerste instantie meldde Managed.com dat er een "probleem" met de hostingdiensten was, wat gevolgen had voor de bereikbaarheid van de websites van "sommige klanten". Gisteren liet de hostingprovider in een nieuwe verklaring weten dat het om een ransomware-aanval ging. "Om de integriteit van de data van onze klanten te beschermen is een beperkt aantal getroffen sites meteen offline gehaald", aldus de verklaring. Na verder onderzoek werd vervolgens, uit voorzorg volgens Managed.com, besloten om het gehele systeem uit te schakelen en zo de websites van klanten te beschermen. "Onze eerste prioriteit is de veiligheid van uw data", zo stelt het bedrijf. De hostingprovider is nu bezig om de getroffen systemen op te schonen en te herstellen. Om wat voor ransomware het gaat en hoe de systemen besmet konden raken is niet bekendgemaakt. Op Twitter klagen verschillende klanten dat hun websites offline zijn. Ook de website van Managed.com is op het moment van schrijven onbereikbaar. bron: https://www.security.nl

Cisco waarschuwt organisaties voor meerdere kwetsbaarheden in Security Manager, een product voor het monitoren en beheren van firewalls, routers en andere netwerkapparaten. Via de beveiligingslekken kan een aanvaller gevoelige informatie van het systeem stelen of hierop willekeurige commando's uitvoeren. Het gaat in totaal om drie kwetsbaarheden waarvan er twee zijn gepatcht. Een update voor de derde kwetsbaarheid zou binnenkort moeten verschijnen. De kwetsbaarheden waren door beveiligingsonderzoeker Florian Hauser ontdekt en aan Cisco gerapporteerd. Op 11 november liet hij via Twitter weten dat hij Cisco vier maanden geleden voor de problemen had gewaarschuwd. Cisco bracht op 10 november Security Manager versie 4.22 uit, maar in de release notes werd niets over de kwetsbaarheden vermeld. Daarop besloot Hauser om op 16 november verschillende proof-of-concept exploits te publiceren. Cisco liet vervolgens weten dat twee van de drie kwetsbaarheden in versie 4.22 waren verholpen en publiceerde de bijbehorende security-advisories. De gevaarlijkste kwetsbaarheid is CVE-2020-27130. Op een schaal van 1 tot en met 10 wat betreft de ernst is dit lek met een 9,1 beoordeeld. Door middel van path traversal kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie van het systeem benaderen en willekeurige bestanden downloaden. Het tweede beveiligingslek waarvoor een update verscheen is CVE-2020-27125. Het betreft een kwetsbaarheid waardoor statische credentials in de software niet goed zijn beschermd. Een ongeauthenticeerde aanvaller kan deze inloggegevens zodoende op afstand bekijken en voor verdere aanvallen gebruiken. Dit beveiligingslek werd met een 7,4 beoordeeld. Voor kwetsbaarheid nummer drie, aangeduid als CVE-2020-27131, is nog geen update beschikbaar. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand commando's met systeemrechten op het systeem uitvoeren. De patch voor dit probleem zal worden verwerkt in Service Pack 1, die in de komende weken moet verschijnen. bron: https://www.security.nl