Captain Kirk

Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen. De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto's naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly . Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media. Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren. Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt. bron: security.nl

Op de server werden zoekopdrachten opgeslagen die met de mobiele Bing app zijn uitgevoerd. Behalve de zoekopdrachten van gebruikers uit ongeveer 70 landen, werden ook apparaatgegevens en gps-coördinaten opgeslagen. De server was beveiligd met een wachtwoord maar vanaf de eerste week van september was die beveiliging eraf, aldus Wizcase. Op 12 september ontdekte Wizcase de server waarna op 13 september Microsoft werd ingelicht over de server. Enkele dagen later nam Microsoft maatregelen. Volgens de onderzoekers werd tussen 10 en 12 september een ‘Meow’-aanval uitgevoerd waarbij bijna de hele database werd verwijderd en alleen het woord ‘meow’ achterblijft. Op 14 september werd een tweede Meow-aanval uitgevoerd. Wizcase verzamelde uiteindelijk ongeveer 100 miljoen datarecords en analyseerde de zoekopdrachten, waaronder ook zoekopdrachten naar schietpartijen en kinderporno. Een woordvoerder van Microsoft bevestigt tegenover The Register dat de misconfiguratie is hersteld en dat ‘een kleine hoeveelheid zoekopdrachten is uitgelekt’. “Na analyse hebben we vastgesteld dat de uitgelekte gegevens beperkt waren en niet tot personen herleidbaar." bron: security.nl

Ongeveer een week na de bekendmaking van Zerologon, de ernstige kwetsbaarheid in Windows Server welke hackers toegang kan geven tot interne netwerken, zijn hackers druk bezig om misbruik te maken van deze kwetsbaarheid. Dat constateert het Microsoft Security Intelligence team. “We hebben aanvallen waargenomen waarbij vrij verkrijgbare exploits worden ingezet”, aldus Microsoft op Twitter. Zerologon is een kwetsbaarheid die ruim een week geleden door het Nederlandse security-bedrijf Secura werd geopenbaard. Het geeft aanvallers de mogelijkheid om domeinbeheerder te worden zonder over inloggegevens te beschikken door een authenticatietoken voor de Netlogon-functie te vervalsen. Op 11 augustus publiceerde Microsoft een patch voor deze kwetsbaarheid. Omdat misbruik zo eenvoudig is, wordt het snel patchen van servers sterk aangeraden. Ook de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde vorige week nog voor het risico van uitbuiting van Zerologon. “Ongepatchte servers zijn aantrekkelijk voor hackers”, waarschuwde de organisatie. bron: security.nl

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor een opmars van LokiBot, de beruchte malware die informatie van slachtoffers steelt. Sinds twee maanden zien de experts van het CISA een duidelijke toename van het gebruik van LokiBot activiteiten op hun eigen EINSTEIN Intrusion Detection System. LokiBot werd voor het eerst in 2015 ontdekt. De malware richt zich met name op browsers, e-mailclients, FTP-programma’s en cryptowallets. De malware kan echter meer dan het stelen van logingegevens en andere informatie. In de afgelopen jaren is LokiBot in staat gebleken om te fungeren als een real-time key-logger en kan het ook wachtwoorden stelen. Tevens kan het screenshots maken van de desktop en fungeert LokiBot als een backdoor waarmee weer andere malware op de geïnfecteerde machine geplaatst kan worden. Overigens is het niet alleen het CISA dat een toename in het gebruik van LokiBot ziet, ook beveiligingsbedrijf ProofPoint bevestigt de waarnemingen van LokiBot- en Emotet-malware, zo melden diverse Amerikaanse media. bron: security.nl

De grootste bedreiging voor de beveiliging van endpoints is fileless malware. Dat concludeert Cisco na onderzoek van telemetriegegevens van de eerste helft van 2020. Fileless malware is een soort kwaadaardige software die werkt vanuit het geheugen van de pc van het slachtoffer, niet vanuit bestanden op de schijf. Dit maakt het moeilijker om te detecteren omdat er geen bestanden zijn om te scannen. Ook maakt het forensisch onderzoek moeilijker omdat de malware gewoon verdwijnt wanneer de computer van het slachtoffer opnieuw wordt opgestart. Uit de cijfers van Cisco blijkt dat fileless malware goed is voor 30 procent van de beveiligingsmeldingen. Hiervoor wordt vaak Kovter, Poweliks, Divergent en LemonDuck gebruikt. Een andere serieuze bedreiging vormen de zogenoemde dual-use tools, de apps die door de aanvaller voor zowel de exploitatie als daarna kunnen worden gebruikt. Voorbeelden van dual-use tools zijn PowerShell Empire, Cobalt Strike, Powersploit en Metasploit, die ook vaak worden gebruikt door bij pentesters. De derde grote bedreiging die Cisco is tegengekomen, is ‘credential dumping’, oftewel een tool om op gecompromitteerde pc’s op zoek te gaan naar login-gegevens. Dit wordt hoofdzakelijk gedaan met behulp van Mimikatz. Deze drie categorieën bedreigingen vormen samen ongeveer driekwart van alle beveiligingsmeldingen, schrijft Ben Nahorney op het Cisco-blog. De overige 25 procent bestaat uit onder meer ransomware, wormen zoals Ramnit en Qakbot, remote access trojans en bank trojans. bron: security.nl

In het tweede kwartaal van 2020 zijn massaal DDoS-aanvallen uitgevoerd. Volgens cijfers van cybersecuritybedrijf Nexusguard steeg het aantal DDoS-aanvallen in een jaar tijd met ruim 500 procent. Ten opzichte van het eerste kwartaal van 2020 was de stijging bijna 39 procent. De toename is vooral te wijten aan de sterke stijging van het aantal ‘bit-and-piece’ aanvallen. Bit-and-piece aanvallen zijn gericht op het ASN-niveau van de communicatie service provider (CSP) netwerken en daarbij worden kleine en gerichte DDoS-aanvallen over honderden IP-adressen verspreid om detectie te voorkomen. Uit de cijfers (pdf) blijkt dat de hoeveelheid bit-and-piece aanvallen in het tweede kwartaal met 570 procent is gegroeid ten opzichte van het eerste kwartaal van dit jaar. Verder is opvallend dat de meeste aanvallen (51%) kleiner waren dan 30Mbps. Ongeveer 4.000 aanvallen waren zelfs kleiner dan 5Mbps. “Er is een duidelijke afname van de omvang van de aanval, waarbij de daders ervoor kiezen om kleinschalig aanvalsverkeer te gebruiken om meer IP-prefixen /24 aan te vallen”, stelt Nexusguard. Bijna 8 op de 10 aanvallen duurde 90 minuten of korter. Zo’n 21 procent van de aanvallen duurde langer dan die 90 minuten. Dat brengt de gemiddelde duur van DDoS-aanvallen in het tweede kwartaal op ruim 137 minuten. bron: security.nl

Het Digital Trust Center, het CERT voor organisaties die opereren in niet-vitale onderdelen van de maatschappij, waarschuwt voor kwetsbaarheden in oude Magento webshopsoftware. De kwetsbaarheden in de oude software worden al misbruikt. Een betrouwbare bron heeft bij het DTC gemeld dat er ook Nederlandse domeinen (.nl) slachtoffer zijn van Magento-hacks. Magento Enterprise Edition (tegenwoordig Magento Commerce) wordt sinds juni van dit jaar niet meer ondersteund door eigenaar Adobe. Sinds die tijd verschijnen er geen updates meer. Dat is onlangs ook voor creditcardbedrijf VISA aanleiding geweest om webshopeigenaren te waarschuwen voor het gebruik van deze verouderde software. Het DTC roept webshophouders op om direct na te gaan of zij gebruik maken van Magento versie 1. “Wie gebruik maakt van Magento versie 1 is waarschijnlijk al gehackt of wordt dat op korte termijn”, zo luidt de waarschuwing van het DTC. Als een webshop gehackt is, zijn de betaalgegevens niet meer in veilige handen. Het advies is daarom aangifte te doen en de webshop offline te (laten) halen als er sprake is van een hack. Magento versie 1.14 werd in juli 2014 uitgebracht en heeft dus zes jaar support gehad. De meest actuele versie is Magento 2.4.0. bron: security.nl

Bewustwordingstrainingen op het gebied van cybersecurity en phishing moeten na ongeveer zes maanden herhaald worden om er voor te zorgen dat de medewerkers phishingmails goed blijven herkennen. Dat blijkt uit een onderzoek (PDF) dat door enkele Duitse universiteiten is uitgevoerd bij een organisatie uit de publieke sector. In Duitsland zijn publieke organisaties verplicht om een managementsysteem voor informatiebeveiliging (ISMS) te implementeren om medewerkers beter bewust te maken informatiebeveiliging. Het onderzoek richtte zich op de vraag hoe effectief die bewustwordingstrainingen na verloop van tijd nog zijn. Daarvoor werd er periodiek getest of medewerkers in staat waren om phishingmails te herkennen. De medewerkers werden verdeeld in testgroepen en kregen na vier, zes, acht, tien en twaalf maanden na afronding van hun training weer een phishingtest. Daaruit bleek dat de deelnemers na vier maanden nog prima in staat zijn om phishingmails te herkennen. Dat was niet meer het geval als de phishingtraining zes maanden of langer geleden was, schrijft ZDNet. De onderzoekers concludeerden dat het trainen van medewerkers op het gebied van security awareness en het detecteren van phishing-e- mails organisaties kan helpen om bepaalde aanvallen af te weren. Wel moet de training periodiek herhaald of opnieuw gevolgd worden, bij voorkeur elke zes maanden en met behulp van interactieve trainingen of videotrainingen. bron: security.nl

Microsoft heeft aan Internet Explorer een waarschuwing toegevoegd die gebruikers laat weten dat Adobe Flash Player na december 2020 niet meer wordt ondersteund. Dat laat het techbedrijf via de eigen website weten. Wanneer gebruikers op een site komen die Flash-content bevat verschijnt er een balk dat de ondersteuning over een aantal maanden afloopt. Deze waarschuwingsbalk zal tot 31 december 2020 elke zestig dagen verschijnen. Voor Enterprise-gebruikers is die via het Register uit te schakelen, aldus Microsoft. De balk verwijst naar een pagina van Microsoft waarin het einde van de Flash Player-support wordt besproken. Microsoft heeft Flash Player in Edge en Internet Explorer 11 ingebouwd en zal na december 2020 geen beveiligingsupdates meer voor de browserplug-in uitbrengen en die uit de eigen browsers verwijderen. Als eerste zal Flash Player in januari 2021 uit Chromium Edge verdwijnen, de nieuwe Edge-versie gebaseerd op de open source Chromium-browser. In het geval van Edge Legacy en Internet Explorer 11 wordt er een ander schema gehanteerd. Deze herfst komt Microsoft met een update genaamd "Update for Removal of Adobe Flash Player" die de browserplug-in uit de browsers verwijdert. In eerste instantie gaat het om een optionele update. In januari 2021 zal Microsoft Flash Player-versies van voor juni 2020 standaard in Edge Legacy en IE11 blokkeren. Volgend jaar zomer zal de update die Flash Player uit Edge Legacy en IE11 verwijdert onder gebruikers van Windows 10, Windows 8.1, Windows Server 2012 en Windows Embedded 8 worden uitgerold. bron: security.nl

De versleutelde e-maildienst Tutanota is al een maand het doelwit van ddos-aanvallen, waardoor gebruikers meerdere dagen geen gebruik van de dienst konden maken. De aanvallen begonnen halverwege augustus en de aanvallers veranderden steeds van aanvalsvector, aldus Tutanota. Afgelopen weekend werd de e-maildienst wederom onder vuur genomen en was deze week bezig om de aanval af te slaan. Zo konden honderden gebruikers afgelopen zondag geen gebruik van de e-maildienst maken. Een dag later was Tutanota opnieuw down. Een situatie die zich de afgelopen dagen meerdere keren herhaalde. De e-maildienst meldt nu via Twitter dat het de dienstverlening heeft hersteld. Volgens de e-maildienst is er geen losgeld geëist om de aanvallen te stoppen. "Het enige doel dat de aanvallers kunnen hebben is het beschadigen van Tutanota en te voorkomen dat mensen wereldwijd van versleutelde e-mail gebruikmaken", zegt Matthias Pfau, medeoprichter van Tutanota. bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid meldt een toename van spamcampagnes die de Emotet-malware verspreiden. Volgens het NCSC zitten de campagnes dermate goed in elkaar, dat er is besloten om een waarschuwing af te geven. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. "Eén van de karakteristieken van de malware is dat het adresboek van het slachtoffer wordt gebruikt om mailadressen te stelen die vervolgens weer worden ingezet voor verdere spam-mails. Hierdoor lijken de e-mails voor een ontvanger afkomstig te zijn van een bekende persoon", aldus het NCSC. Het doel van de huidige Emotet-campagnes is onbekend. Beveiligingsadvies Om infecties met Emotet te voorkomen adviseert het NCSC om verschillende best practices te volgen, zoals het blokkeren van bepaalde e-mailbijlagen met .dll, .exe, .zip en andere bestandsextensies. Tevens wordt aangeraden om gebruikers zo min mogelijk rechten te geven, netwerken en functies te scheiden en onnodige communicatie binnen netwerken en systemen zoveel mogelijk te beperken. Vorige week waarschuwden ook Frankrijk, Japan en Nieuw-Zeeland voor nieuwe Emotet-aanvallen. Daarnaast kwam Z-Cert met een waarschuwing voor de Nederlandse zorgsector. bron: security.nl

Bluetooth-apparaten zijn kwetsbaar voor een nieuwe spoofingaanval genaamd BLESA, waardoor een aanvaller foutieve of kwaadaardige data naar een apparaat kan sturen. Mogelijk zouden meer dan 1 miljard bluetooth-apparaten en 16.000 apps kwetsbaar zijn, aldus onderzoekers van de Purdue University. BLESA staat voor BLE Spoofing Attack en maakt misbruik van kwetsbaarheden in de "reconnection" procedure tussen twee eerder gepairde bluetooth low energy (BLE)-apparaten. Geregeld komen gepairde bluetooth-apparaten buiten elkaars bereik. Zodra de apparaten weer in elkaars buurt komen wordt de verbinding automatisch hersteld. De onderzoekers besloten naar deze procedure te kijken. Bij eerdere onderzoeken zou dit onderdeel van bluetooth namelijk geen aandacht hebben gekregen. Het onderzoek leverde twee ontwerpfouten in BLE op. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren en IoT-apparaten maken er gebruik van. Bij sommige van de BLE-apparaten is de authenticatie tijdens de reconnection optioneel in plaats van verplicht. Bij andere apparaten blijkt dat de authenticatie is te omzeilen wanneer het apparaat van de gebruiker het bluetooth-apparaat niet dwingt om de uitgewisselde data te authenticeren. Zodoende kan een aanvaller zich voordoen als het bluetooth-apparaat waarmee de gebruiker bijvoorbeeld via zijn telefoon verbinding maakt. Vervolgens zijn verschillende soorten aanvallen mogelijk. Zo kunnen er kwaadaardige toetsaanslagen naar de smartphone of desktop worden verstuurd wanneer die met een bluetooth-keyboard opnieuw verbinding maken. Een andere mogelijkheid is om een verkeerde bloedsuikerspiegel weer te geven wanneer de gebruiker via zijn smartphone data van een bloedsuikermeetapparaat uitleest. Een derde aanval die de onderzoekers noemen is het versturen van valse fitnessgegevens wanneer de gebruiker opnieuw verbinding maakt met zijn fitnesstracker. "Deze kwetsbaarheid heeft een grote impact op de mainstreamplatformen die BLE-communicatie ondersteunen, waaronder Linux, Android en iOS", zegt onderzoeker Jianliang Wu. "Volgens recent onderzoek maken meer dan 1 miljard BLE-apparaten geen gebruik van applicatielaagbeveiliging, wat als een tweede verdedigingslinie kan dienen." Wu voegt toe dat zeker 8.000 Android BLE-apps met 2,38 miljard installaties de data van BLE-apparaten in plaintext lezen. Mogelijk is de situatie bij iOS-apps hetzelfde, merkt de onderzoeker op. De onderzoekers waarschuwden Apple en Google. Apple heeft het probleem in juni via iOS 13.4 en iPadOS 13.4 verholpen, zo meldt de universiteit in een persbericht. Het Androidtoestel van de onderzoekers is nog altijd kwetsbaar, zo schrijven ze in het onderzoeksrapport. In onderstaande video wordt de aanval gedemonstreerd. bron: security.nl

Een groep aanvallers maakt actief misbruik van bekende kwetsbaarheden in Pulse Secure, Citrix en BIG-IP om organisaties aan te vallen, zo laten de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een waarschuwing weten. Het zou om een vanuit Iran opererende groep gaan die ook bekend staat als Pioneer Kitten en UNC757. De groep zoekt actief op internet naar kwetsbare vpn-servers en probeert vervolgens toegang te krijgen. Het gaat hierbij om kwetsbaarheden in de eerder genoemde producten waarvoor al geruime tijd beveiligingsupdates beschikbaar zijn. Zodra er toegang is verkregen proberen de aanvallers inloggegevens van beheerders te bemachtigen. Daarmee wordt een webshell geïnstalleerd om toegang tot het gecompromitteerde systeem te behouden, aldus de waarschuwing van de FBI en het CISA. Het doel van de aanvallers is vermoedelijk het stelen van gevoelige gegevens, zo blijkt uit het gebruik van het programma 7-Zip en het bekijken van gevoelige documenten. Ook zou de groep toegang tot gecompromitteerde organisaties aan cybercriminelen verkopen. Het vermoeden bestaat dat de groep als "contractor" werkt voor de belangen van de Iraanse overheid, maar met de aanvallen ook het eigen financiële gewin dient. Zowel federale Amerikaanse overheidsinstanties alsmede andere in de VS gebaseerde netwerken zijn het doelwit van de aanvallers geworden. In de waarschuwing geven de FBI en het CISA een omschrijving van de werkwijze van de groep, alsmede adviezen om netwerken te beveiligen, waaronder het up-to-date houden van software. bron: security.nl

Organisaties of eindgebruikers die hun printer wegdoen moeten controleren dat die geen harde schijf bevat, anders kunnen eerder gemaakte afdrukken in verkeerde handen terechtkomen, zo waarschuwt de Belgische politie vandaag. Veel printers beschikken tegenwoordig over een harde schijf die de te printen data opslaat, zodat afdrukken bijvoorbeeld sneller kunnen worden gemaakt. In het geval van diefstal of wanneer de printer wordt weggedaan is het belangrijk hiermee rekening te houden, alsmede waar de printer wordt neergezet. "Natuurlijk in de veronderstelling dat het toestel een harde schijf heeft waarop de kopieën van de afgedrukte documenten meerdere weken of maanden bewaard worden. Wanneer je de printer moet vervangen, is het ook zeer belangrijk om de harde schijf eruit te halen voor je hem wegdoet", stelt Olivier Bogaert van de Computer Crime Unit van de Federale Politie. Tevens raadt Bogaert aan om in het geval van wifi-printers met MAC-filtering te werken, waarbij alleen het MAC-adres van bepaalde apparaten verbinding met de printer mogen maken. "In de instellingen van de printer kun je bepalen aan welke toestellen je toestemming geeft om hem te gebruiken. Op die manier kunnen toestellen van derden er geen gebruik van maken, zelfs al is hij zichtbaar op je netwerk." bron: security.nl

Een kritieke kwetsbaarheid in Windows Server geeft aanvallers de mogelijkheid om domeinbeheerder te worden en details over het beveiligingslek zijn nu openbaar gemaakt. De kwetsbaarheid wordt Zerologon genoemd en werd ontdekt door het Nederlandse securitybedrijf Secura. Vorige maand rolde Microsoft beveiligingsupdates uit voor het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld. De kwetsbaarheid (CVE-2020-1472) wordt veroorzaakt door het onveilig gebruik van AES-CFB8-encryptie door het Netlogon Remote Protocol. Deze interface is beschikbaar op Windows-domeincontrollers en wordt gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers. Het gaat dan bijvoorbeeld om het laten inloggen van gebruikers via het NTLM-protocol en het updaten van de wachtwoorden van computers. De AES-CFB8-standaard vereist dat elke byte van plaintext, zoals een wachtwoord, over een willekeurige initialization vector (IV) beschikt. Dit moet voorkomen dat het wachtwoord wordt geraden. Een functie van Netlogon stelt echter dat de IV altijd uit 16 zero bytes bestaat. "Voor 1 op de 256 keys zal het gebruik van AES-CFB8-encryptie voor een all-zero plaintext in all-zero ciphertext resulteren", zo stellen de onderzoekers van Secura. Wanneer een client tijdens het inloggen een challenge van acht nullen opgeeft, zal voor 1 van de 256 sessiekeys de juiste client credential ook uit acht nullen bestaan. "Het verwachte gemiddelde aantal pogingen zal 256 zijn, wat in de praktijk drie seconden duurt", zo laten de onderzoekers verder weten. Door de kwetsbaarheid kan een aanvaller een authenticatietoken voor de Netlogon-functie vervalsen en zich zo tegenover de domeincontroller als elke computer op het netwerk voordoen. Alleen het versturen van een aantal Netlogon-berichten waarin verschillende velden met nullen zijn gevuld maken het voor een aanvaller mogelijk om het wachtwoord van de domeincontroller aan te passen die in de ActiveDirectory is opgeslagen. Dit kan vervolgens worden gebruikt om het wachtwoord van de domeinbeheerder te verkrijgen en het originele domeincontroller-wachtwoord te herstellen, aldus Secura in een uitleg over de aanval. De enige vereiste voor het uitvoeren van een aanval is dat de aanvaller vanaf het lokale netwerk de domeincontroller kan benaderen. Deze RPC-verbinding kan zowel direct of via SMB worden opgezet. De aanval zelf is volledig ongeauthenticeerd. De aanvaller hoeft niet over inloggegevens te beschikken. De gevolgen zijn echter groot, aangezien een aanvaller wel volledige controle over het netwerk kan krijgen. Secura heeft naast een whitepaper over de kwetsbaarheid (pdf) op GitHub een testtool uitgebracht waarmee organisaties kunnen testen of ze kwetsbaar zijn. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt dat er exploitcode voor de kwetsbaarheid online is verschenen. Securitybedrijven Rapid7 en Tenable verwachten dat erop korte termijn misbruik van het lek zal worden gemaakt, bijvoorbeeld voor het verspreiden van ransomware. Voor het uitvoeren van de aanval moet een aanvaller wel toegang tot het lokale netwerk van een organisatie hebben, maar dat blijkt in de praktijk niet altijd een probleem, zoals meerdere ransomware-aanvallen in het verleden hebben aangetoond. bron: security.nl

Bij een grootschalige aanval op Magento-webwinkels zijn dit weekend bijna tweeduizend webshops van malware voorzien die creditcard- en persoonsgegevens van klanten steelt. Het grootste deel van de getroffen webwinkels draait op Magento versie 1, die sinds juni end-of-life is en niet meer met beveiligingsupdates wordt ondersteund. Dat meldt beveiligingsonderzoeker Willem de Groot van securitybedrijf Sansec. Veel van de webwinkels hadden geen verleden als het om beveiligingsincidenten gaat, aldus De Groot. "Dit suggereert een nieuwe aanvalsmethode om toegang tot deze winkels te krijgen." De exacte aanvalsvector wordt nog onderzocht, maar de onderzoeker sluit niet uit dat er gebruik is gemaakt van een zeroday-exploit voor Magento 1 die onlangs op internet te koop werd aangeboden. Wereldwijd zouden nog zo'n 95.000 webwinkels op Magento 1 draaien. Bij de nu waargenomen aanvallen installeren de aanvallers een webshell en krijgen zo volledige toegang tot de webshop. Vervolgens wordt er malware aan de bestelpagina van de gecompromitteerde winkels toegevoegd. Zodra klanten afrekenen worden hun gegevens onderschept en naar de aanvallers teruggestuurd. De Groot schat dat op deze manier de gegevens van duizenden klanten in handen van criminelen zijn gekomen. bron: security.nl

Een kritieke kwetsbaarheid in de firewalls van Palo Alto Networks maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code met rootrechten op het systeem uit te voeren. Alleen het versturen van een speciaal geprepareerd request naar een kwetsbaar apparaat is voldoende. Het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 is beoordeeld, is aanwezig in PAN-OS, het besturingssysteem van de firewalls. Het probleem doet zich alleen voor wanneer Captive Portal of Multi-Factor Authentication (MFA) zijn ingeschakeld. Via MFA zijn gevoelige services en applicaties te beschermen, aldus het netwerkbedrijf. Wanneer een aanvaller een speciaal geprepareerd request naar de interface van de Captive Portal of Multi-Factor Authentication stuurt kan er een buffer overflow ontstaan en is het uitvoeren van code met rootrechten mogelijk. Gisteren kwam Palo Alto Networks met een beveiligingsupdate voor de kwetsbaarheid. Via zoekmachine Shodan zijn meer dan 14.000 PAN-OS-apparaten te vinden, meldt securitybedrijf Tenable. Hoeveel van deze apparaten kwetsbaar zijn is onbekend. In juni van dit jaar werd er een andere kritieke kwetsbaarheid in PAN-OS ontdekt waardoor een aanvaller op afstand en zonder geldige inloggegevens onder andere toegang tot gateways, vpn's en portals kon krijgen. De Amerikaanse overheid riep organisaties destijds op om de beveiligingsupdate meteen te installeren. Het gisteren verholpen beveiligingslek heeft geen impact op de GlobalProtect VPN of de PAN-OS managemeninterfaces. bron: security.nl

Onderzoekers hebben malware ontdekt die specifiek ontwikkeld is om gegevens van twee type voip-softswitches te stelen. Het gaat om de VOS2009 en VOS3000 van fabrikant Linknat, zo laat antivirusbedrijf ESET in een analyse weten. Een softswitch is een essentieel onderdeel van een voip-netwerk en is onder andere verantwoordelijk voor het beheer van voip-verkeer, routering en facturatie. De VOS2009 en VOS3000 zijn softwaregebaseerde oplossingen die op standaard Linux-servers worden geïnstalleerd. Onderzoekers van ESET ontdekten dat de malware, die ze CDRThief noemen, gegevens van de twee type softswitches steelt. Het gaat mede om gespreksgegevens, die metadata over voip-gesprekken bevatten. Denk aan de ip-adressen van de beller en ontvanger, gespreksduur en starttijd van het gesprek. Deze data bevindt zich in een MySQL-database die door de malware wordt uitgelezen. Om toegang tot de database te krijgen zoekt de malware in verschillende configuratiebestanden naar het wachtwoord. Het wachtwoord is versleuteld opgeslagen. Toch weet de malware het te ontsleutelen. Volgens onderzoeker Anton Cherepanov toont dit aan dat de malware-ontwikkelaars uitgebreide kennis van het betreffende voip-platform hebben. Hoe de aanvallers toegang tot de voip-softswitches weten te krijgen is op dit moment nog onbekend. Mogelijk gebruiken ze hiervoor een bruteforce-aanval of een kwetsbaarheid, merkt Cherepanov op. Een aantal jaren geleden werd er nog een beveiligings in de voip-software gevonden. Door middel van SQL-injection was het mogelijk om de inloggegevens te achterhalen en zo op het systeem in te loggen. bron: security.nl

Onderzoekers hebben een beveiligingslek in Bluetooth ontdekt waardoor een man-in-the-middle-aanval mogelijk is, zo laten de Bluetooth Special Interest Group (SIG) en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De kwetsbaarheid wordt BLURtooth genoemd en is aanwezig in de Cross-Transport Key Derivation (CTKD) van Bluetooth 4.0 tot en met 5.0. Via CTKD is het mogelijk om Bluetooth-apparaten te pairen die zowel Bluetooth Low Energy (BLE) als Basic Rate/Enhanced Data Rate (BR/EDR) ondersteunen. Het gaat hierbij om zogenoemde "dual-mode" apparaten die zelf kunnen kiezen of ze van BLE of BR/EDR voor de verbinding gebruikmaken. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren maken er gebruik van. BD/EDR heeft een hogere doorvoer en wordt bijvoorbeeld door draadloze koptelefoons gebruikt. Om ervoor te zorgen dat de apparaten slechts één keer via één van beide transportmethodes hoeven te pairen genereert CTKD zowel de BR/EDR als de BLE Long Term Keys (LTK). Wanneer de authenticatie tussen twee Bluetooth-apparaten succesvol is wordt de LTK door beide apparaten berekend. De LTK wordt voor het versleutelen van de verbinding gebruikt. In het geval van de BLURtooth-aanval kan een aanvaller de bestaande LTK overschrijven. Om de aanval uit te voeren moet een kwetsbaar apparaat wel pairing zonder authenticatie voor BR/EDR of BLE toestaan. Vervolgens kan een aanvaller voor de andere mode via CTKD een key genereren die een bestaande maar sterkere key overschrijft, of een key die door middel van authenticatie was gemaakt vervangen. Een aanvaller kan dan een man-in-the-middle-aanval uitvoeren op apparaten die eerder met het aangevallen apparaat zijn gepaird. De Bluetooth Special Interest Group laat weten dat versie 5.1 van de Bluetoothspecificatie beperkingen voor CTKD biedt om de aanval te voorkomen en adviseert fabrikanten om hier gebruik van te maken. Eindgebruikers krijgen het advies om beveiligingsupdates te installeren zodra die beschikbaar komen. bron: security.nl

Google was bij het oplossen van een beveiligingslek in Google Maps niet grondig genoeg, waardoor de onderliggende kwetsbaarheid nog steeds kon worden misbruikt. Dat laat beveiligingsonderzoeker Zohar Shachar via zijn eigen blog weten. Google Maps biedt gebruikers de optie om een eigen map te maken en die vervolgens als KML-bestand te exporteren. Dergelijke bestanden zijn vervolgens te gebruiken om geografische data binnen Google Earth en andere applicaties weer te geven. Bij het maken van de map is het mogelijk om die van een naam te voorzien. Deze tekst wordt echter niet weergegeven door de browser. Shachar ontdekte een manier om de tekst die in het naamveld werd opgegeven toch door de browser van een gebruiker uit te laten voeren. Door het toevoegen van speciale karakters kon de beperking worden omzeild en was cross-site scripting (XSS) mogelijk. Hiervoor had een aanvaller een nieuwe map moeten maken, voorzien van de XSS-code. Deze map moest vervolgens als KML-bestand worden geëxporteerd. Als laatste stap had een aanvaller de downloadlink naar het KML-bestand naar een slachtoffer moeten sturen. Wanneer die het bestand opende zou het mogelijk zijn om zijn cookies te stelen. De onderzoeker waarschuwde Google waarna het techbedrijf een oplossing doorvoerde en de onderzoeker met 5.000 dollar beloonde. Shachar besloot te kijken of Google het probleem echt had verholpen. Binnen tien minuten lukte het hem naar eigen zeggen om de oplossing van Google te omzeilen en was cross-site scripting wederom mogelijk. Weer waarschuwde de onderzoeker Google, dat het probleem dit keer wel volledig verhielp en Shachar opnieuw een beloning van 5.000 dollar gaf. De kwetsbaarheid in Google Maps is niet het enige probleem dat in eerste instantie niet goed door Google werd opgelost. De oplossing voor een beveiligingslek in Gsuite dat Shachar rapporteerde werd ook door de onderzoeker omzeild, wat hem wederom een dubbele beloning opleverde. De onderzoeker controleert nu alle fixes voor de door hem gemelde bugs en adviseert andere onderzoekers om dit ook te doen. bron: security.nl

Organisaties die met behulp van Windows Server Update Services (WSUS) de computers in hun netwerk up-to-date houden moeten controleren dat ze geen gebruik van http en user-proxies maken, anders zullen computers niet meer kunnen controleren of er beveiligingsupdates beschikbaar zijn. Dat heeft Microsoft aangekondigd. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. De verbinding tussen Microsoft en de WSUS-server vindt plaats via https. In het geval er meerdere WSUS-servers hiërarchisch zijn ingesteld zullen de downstream-servers de update-metadata van de upsteam-servers ontvangen. Wanneer er http voor deze verbindingen wordt gebruikt zijn organisaties kwetsbaar voor aanvallen en kan de informatie worden aangepast. Om de "chain of trust" in stand te houden en aanvallen op computers in het netwerk te voorkomen moeten alle verbindingen waarbij metadata wordt uitgewisseld via https plaatsvinden, aldus Microsoft. Organisaties kunnen ervoor kiezen dat computers in het netwerk via een proxy verbinding met een WSUS-server maken om te kijken of er updates beschikbaar zijn. Volgens Microsoft is het belangrijk om hierbij een systeem-gebaseerde proxy te gebruiken en geen user-gebaseerde proxy. Bij een user-gebaseerde proxy wordt de gebruiker geauthenticeerd. In het geval van een user-gebaseerde proxy kan een gebruiker de data die tussen de updateserver en de computers in het netwerk wordt uitgewisseld onderscheppen en manipuleren, zo stelt Microsoft. Om dit te voorkomen heeft Microsoft deze maand een update voor Windows 10-computers uitgerold die de omgang van computers met WSUS aanpast. Na installatie van de beveiligingsupdates van deze maand zullen computers die via http en een user-gebaseerde proxy verbinding met de WSUS-server maken geen updatescans bij de WSUS-server kunnen uitvoeren. Daardoor lopen deze computers het risico dat ze geen beveiligingsupdates meer ontvangen en dus kwetsbaar zijn. Om ervoor te zorgen dat computers toch via de WSUS-server naar updates kunnen zoeken adviseert Microsoft het gebruik van https voor de WSUS-omgeving, het gebruik van een systeem-gebaseerde proxy wanneer nodig en het instellen van een fallback-policy. bron: security.nl

Een kritieke kwetsbaarheid in Exchange-servers maakt het mogelijk voor aanvallers om systemen over te nemen door alleen het versturen van een speciaal geprepareerde e-mail. Microsoft heeft gisterenavond beveiligingsupdates voor het beveiligingslek uitgebracht, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 is beoordeeld. Tijdens de patchdinsdag van september heeft Microsoft in totaal 129 beveiligingslekken verholpen waarvan er 23 kritiek zijn en "remote code execution" mogelijk maken. Deze kwetsbaarheden bevinden zich in Windows, Dynamics 365, SharePoint, Exchange, Windows, IE11 en Edge. De kwetsbaarheid in Exchange is volgens securitybedrijf ZDI het gevaarlijkst. Een geauthenticeerde aanvaller kan door het versturen van een e-mail code met systeemrechten uitvoeren. Het feit dat de aanvaller geauthenticeerd moet zijn houdt in dat hij op een e-mailaccount moet kunnen inloggen. Dat blijkt in de praktijk geen obstakel te zijn. Een soortgelijke kwetsbaarheid waarvoor in februari een patch verscheen werd kort na het verschijnen van details actief aangevallen. Ook bij dit beveiligingslek kon een geauthenticeerde aanvaller door het versturen van een e-mail code met systeemrechten uitvoeren. Op deze was het mogelijk om Exchange-servers over te nemen en bijvoorbeeld het e-mailverkeer te onderscheppen en manipuleren. Het ZDI verwacht dat aanvallers op korte termijn misbruik van het nieuwe beveiligingslek zullen maken. Organisaties worden dan ook oproepen om de beveiligingsupdate voor de Exchange-kwetsbaarheid, aangeduid als CVE-2020-16875, de hoogste prioriteit te geven. Twee andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in de Windows Media Audio Decoder. Alleen door het bezoeken van een kwaadaardige of gecompromitteerde website kan een aanvaller willekeurige code uitvoeren. Iets wat ook mogelijk is door een lek in de Windows Codecs Library. In dit geval moet een programma een malafide afbeelding verwerken. Het grootste deel van de verholpen kwetsbaarheden is als "Belangrijk" beoordeeld. Vier van deze beveiligingslekken bevinden zich in Microsoft Office en zullen waarschijnlijk bij phishingaanvallen worden misbruikt, zo stelt Cisco. Alleen het openen van een kwaadaardig Office-document kan een aanvaller willekeurige code op het systeem laten uitvoeren. De door Microsoft uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

De Franse, Japanse en Nieuw-Zeelandse overheid hebben een waarschuwing afgegeven voor nieuwe aanvallen door de Emotet-malware en roepen organisaties onder andere op om personeel te onderwijzen dat ze geen macro's in Microsoft Office-documenten inschakelen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .doc-bestanden met kwaadaardige macro's bevatten. De malware lift daarbij mee op eerdere e-mailconversaties tussen al besmette slachtoffers en potentiële doelwitten. Die krijgen vervolgens een e-mail toegestuurd met een kwaadaardig bestand of een link hiernaar. Nieuwe versies van Emotet stelen ook adresboeken, e-mailbijlagen en de inhoud van berichten om die voor nieuwe aanvallen te gebruiken. Zodra de ontvanger van een dergelijke e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Hierbij maakt Emotet gebruik van SMB-kwetsbaarheden en gestolen wachtwoorden, zo stelt het Franse Computer Emergency Response Team (CERT-FR). De overheidsinstantie meldt dat Franse bedrijven en overheidsinstellingen al meerdere dagen doelwit zijn van aanvallen met Emotet. In het geval van een succesvolle aanval zal Emotet aanvullende malware installeren die grote gevolgen voor slachtoffers kan hebben, zo laat de waarschuwing van CERT-FR weten. Zo is Emotet gebruikt voor de installatie van de TrickBot-malware, die weer ransomware op systemen installeert. CERT-FR geeft organisaties verschillende adviezen om infecties door Emotet te voorkomen. Zo moeten gebruikers bewust worden gemaakt om geen macro's in ontvangen Office-documenten in te schakelen. Verder moeten besmette machines uit het netwerk worden gehaald zonder daarbij gegevens te verwijderen. In het algemeen is het volgens de Franse overheidsinstantie niet voldoende om malware met een virusscanner te verwijderen. "Alleen de herinstallatie van de machine verzekert dat de malware is verwijderd", aldus het advies. Tevens worden organisaties die malafide bijlagen ontvangen gevraagd om die naar het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) te sturen. Naast de Franse overheid waarschuwt ook het Nieuw-Zeelandse CERT (CERT NZ) dat er een toename is van Emotet-activiteit. CERT NZ adviseert om macro's binnen Microsoft Office in zijn geheel uit te schakelen en alleen macro's toe te staan die digitaal zijn gesigneerd of van een vertrouwde locatie afkomstig zijn. Ook moet PowerShell zo worden ingesteld dat het alleen gesigneerde scripts mag uitvoeren. In het geval van een besmet systeem raadt ook het CERT NZ aan om de machine te re-imagen. Het derde land dat een toename van aanvallen met Emotet meldt is Japan. Het Japanse CERT (JPCERT) zag begin deze maand een sterke stijging van besmette .jp-e-mailadressen die werden gebruikt om Emotet te verspreiden. Daarbij maken de aanvallers niet alleen gebruik van .doc-bestanden, maar ook van met wachtwoord beveiligde zip-bestanden die een kwaadaardig document bevatten. Net als de andere CERTs raadt ook JPCERT aan om macro's niet zomaar in te schakelen. bron: security.nl

Gebruikers van Thunderbird 68 worden zeer binnenkort automatische geüpdatet naar Thunderbird 78. Dat heeft MZLA, de dochteronderneming van Mozilla die de e-mailclient ontwikkelt, bekendgemaakt. De update zal met name gevolgen hebben voor gebruikers van de Enigmail-extensie. Via Enigmail is het mogelijk om Thunderbird met OpenPGP te gebruiken en versleuteld te mailen. Enigmail wordt echter niet door Thunderbird 78 ondersteund. Daarnaast is Thunderbird 68 vanaf deze herfst end-of-life en zal geen beveiligingsupdates meer ontvangen. De Thunderbird-ontwikkelaars hebben daarom besloten om de ondersteuning van OpenPGP direct in de e-mailclient in te bouwen. Eind augustus verscheen Thunderbird 78.2.1, de eerste Thunderbird-versie met ingebouwde OpenPGP-support die standaard staat ingeschakeld. MZLA meldt nu dat het gebruikers van Thunderbird 68 automatisch naar deze versie gaat updaten. In het geval van Engimail, dat meer dan 100.000 actieve gebruikers telt, wordt er een migratietool gebruikt om bestaande instellingen en sleutels te migreren. Dit geldt alleen voor gebruikers van de Classic Mode van Enigmail. Gebruikers van de Enigmail Junior Mode moeten aanvullende software downloaden of de migratie handmatig uitvoeren. De nieuwe Thunderbird werkt standaard niet met de GnuPG-software, waar Enigmail gebruik van maakt. In plaats daarvan werkt Thunderbird 78 met RNP, een OpenPGP-library die als vervanging van GnuPG dient. Er is echter een optionele configuratie voor "gevorderde gebruikers" waarmee die handmatig het gebruik van apart geïnstalleerde GnuPG-software kunnen instellen. Een ander verschil met Enigmail is dat Thunderbird 78 geen optie biedt voor het beveiligen van secret keys met een wachtwoord. In plaats daarvan is de enige optie het instellen van een Master Password in Thunderbird. Gebruikers die met de overstap tegen problemen aan lopen worden naar deze Thunderbird-supportgroep doorverwezen. bron: security.nl

FTP moet eigenlijk niet meer worden gebruikt, maar toch zijn er nog miljoenen FTP-servers toegankelijk vanaf het internet, zo stelt securitybedrijf Rapid7 aan de hand van eigen onderzoek. Voor het onderzoek werd een internetbrede scan uitgevoerd, die bijna 13 miljoen "nodes" opleverde. Bij 6,6 miljoen van deze nodes kon worden vastgesteld welke FTP-software ze draaiden. Het uit 1971 stammende File Transfer Protocol (FTP) maakt geen gebruik van versleuteling, waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. "In 2020 is er één aanvaardbaar gebruik van FTP, en dat is het bieden van een anonymous FTP-downloaddienst van min of meer openbare data", zegt Tod Beardsley van Rapid7. In dit geval worden er geen inloggegevens in plain text verstuurd, maar gaat de data wel onversleuteld naar de server. "Alle andere toepassingen van FTP moeten als onveilig worden beschouwd en worden vermeden", merkt Beardsley op. "Zelfs deze toepassing is op het randje van het onacceptabele, aangezien FTP geen checksumming of foutcontrole van uitgewisselde bestanden biedt, waardoor het eenvoudig is om data via een man-in-the-middle aan te passen." Toch zijn erop internet nog miljoenen FTP-servers te vinden. Meer dan 3,1 miljoen van deze servers draaien Pure-FTPd, gevolgd door ProFTPD met iets meer dan 1 miljoen. Op de derde plek vonden de onderzoekers Microsoft IIS (823.000), met daarna vsFTPd (661.000). Veel van deze servers bleken een kwetsbare versie van de FTP-software te draaien. In het geval van vsFTPd maken 496.000 servers gebruik van een verouderde en kwetsbare versie. Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien. Deze versies bevatten een uit 2015 stammende kwetsbaarheid die op een schaal van 1 tot en met 10 wat betreft de impact met een 10 is beoordeeld. Via het beveiligingslek kan een aanvaller willekeurige bestanden lezen en schrijven. Beardsley adviseert IT-afdelingen om het gebruik van FTP te vermijden en SFTP of SCP te gebruiken. Verder wordt cloudproviders aangeraden om het gebruik van FTP door klanten te ontmoedigen. bron: security.nl