Captain Kirk

Er is een grootschalige aanval tegen WordPress-sites ontdekt die gebruikmaken van themes die op het Epsilon-framework zijn gebaseerd, zo meldt securitybedrijf Wordfence. De in totaal vijftien themes waar de aanvallers het op hebben voorzien zijn naar schatting op meer dan 150.000 WordPress-sites geïnstalleerd. Het aantal WordPress-sites dat de aanvallers op de kwetsbare themes controleren ligt vele malen hoger. Zo zag Wordfence aanvallen tegen meer dan 1,5 miljoen websites. Het gaat hier alleen om websites die van de Wordfence-plug-in gebruikmaken. Het werkelijke aantal sites ligt dan ook mogelijk hoger. Volgens het securitybedrijf zijn de aanvallen afkomstig van meer dan 18.000 ip-adressen. Vooralsnog kijken de aanvallers alleen of de kwetsbare themes geïnstalleerd zijn. Via de beveiligingslekken is remote code execution mogelijk en kan een aanvaller volledige controle over de website krijgen. Details over de aanvallen wil Wordfence nog niet geven. Van de vijftien kwetsbare themes zijn Shapely (60.000 installaties), NewsMag (20.000 installaties), Activello en Illdy (beide 10.000 installaties) het populairst. Gebruikers van de themes wordt aangeraden om, wanneer mogelijk, naar de nieuwste versie te updaten. In het geval er geen update beschikbaar is wordt geadviseerd het theme in kwestie uit te schakelen. bron: https://www.security.nl

Gebruikers van Google Chrome die naar de nieuwste versie van de browser updaten hebben een grote kans dat ze standaard geen gebruik meer van FTP kunnen maken. Google heeft in Chrome 87 de FTP-ondersteuning bij de helft van de gebruikers namelijk uitgeschakeld. Gebruikers kunnen in deze versie de FTP-support nog wel inschakelen. In de volgende Chrome-versie zal de ondersteuning van FTP echter volledig zijn verwijderd. Gebruikers die dan bijvoorbeeld een FTP-link willen openen zullen hiervoor een apart programma moeten gebruiken. Het uit 1971 stammende File Transfer Protocol (FTP). FTP maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Daarnaast zijn er allerlei veiligere alternatieven voor het uitwisselen van data beschikbaar. Verder zijn met de lancering van Chrome 87 in totaal 33 kwetsbaarheden in de browser verholpen. De beveiligingslekken zijn als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google is niet bekend met misbruik van de nu verholpen lekken. Updaten naar Chrome 87.0.4280.66 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Een zerodaylek in FreeType dat werd gebruikt om gebruikers van Google Chrome aan te vallen vormde geen risico voor Firefox-gebruikers, tenzij die een bepaalde optie hadden ingesteld. Dat heeft Mozilla bekendgemaakt. FreeType is een gratis library voor het weergeven van fonts waar browsers gebruik van maken. Vorige maand maakte Google bekend dat Chrome-gebruikers via een kwetsbaarheid in FreeType waren aangevallen. Bij deze aankondiging liet Google weten dat het alleen aanvallen tegen Chrome-gebruikers had gezien, maar dat alle software die van FreeType gebruikmaakte risico liep. Vandaag heeft Mozilla Firefox 83 uitgebracht, waarmee in totaal 21 kwetsbaarheden worden verholpen. Het ging onder andere om het zerodaylek in FreeType dat door Google was onthuld. Firefox was in de standaardconfiguratie niet kwetsbaar, zo meldt Mozilla. Alleen als Firefox-gebruikers op Android of Linux een bepaalde "verborgen" instelling hadden ingeschakeld konden ze via de kwetsbaarheid worden aangevallen. Om welke instelling het gaat is nog niet bekendgemaakt. Firefox biedt naast het instellingenmenu ook via about:config allerlei configuratieopties. Firefox voor andere besturingssystemen was helemaal niet kwetsbaar. Updaten naar Firefox 83 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Microsoft heeft vandaag een nieuwe security-processor genaamd Pluton aangekondigd die AMD, Intel en Qualcomm aan hun eigen processors gaan toevoegen. Pluton moet onder andere bescherming tegen fysieke aanvallen bieden. Veel computers maken tegenwoordig gebruik van een Trusted Platform Module (TPM). Dit is een apart hardwareonderdeel dat wordt gebruikt voor de opslag van keys en het controleren van de integriteit van het systeem. De TPM wordt onder andere voor Windows Hello en BitLocker gebruikt. Doordat de TPM allerlei beveiligingstaken uitvoert is het een doelwit van aanvallers geworden, aldus Microsoft. Aanvallers richten zich daarbij op het communicatiekanaal tussen de processor en de TPM, wat meestal een bus-interface is. Deze interface biedt de mogelijkheid om informatie tussen de hoofdprocessor en security-processor uit te wisselen. Het biedt echter ook mogelijkheden voor een aanvaller om tijdens deze uitwisseling informatie via een fysieke aanval te stelen of aan te passen. De Pluton-processor elimineert deze aanvalsvector door de security direct in de cpu te integreren. Windowscomputers die van de Pluton-architectuur gebruikmaken zullen een TPM emuleren. Daarbij zal de Pluton-processor encryptiesleutels, identiteiten en persoonlijke data beschermen. Zelfs wanneer een aanvaller malware heeft geïnstalleerd of fysieke toegang tot de computer heeft kan hij geen informatie uit de Pluton-processor stelen, zo claimt Microsoft. Hiervoor wordt gevoelige data, zoals encryptiesleutels, binnen de Pluton-processor opgeslagen, die geïsoleerd is van het systeem. Verder biedt Pluton een technologie genaamd Secure Hardware Cryptography Key (SHACK) die ervoor moet zorgen dat keys nooit buiten de beveiligde hardware beschikbaar zijn. Firmware Een ander probleem dat Pluton volgens Microsoft moet gaan oplossen is het updaten van firmware. Alle computers zijn uitgerust met firmware. Firmware-updates zijn echter van verschillende partijen afkomstig, wat het lastig kan maken om beschikbare updates tijdig te installeren. Pluton zal het proces voor het updaten van firmware gaan integreren met het Windows Update-proces. Zodoende wil Microsoft de firmware voor het gehele pc-ecosysteem up-to-date kunnen houden. Wanneer de eerste AMD- en Intel-processors met de nieuwe Pluton-processor verschijnen is nog onbekend. bron: https://www.security.nl

Mozilla stopt op 26 januari 2021 de ondersteuning van Adobe Flash Player in Firefox, zo heeft de browserontwikkelaar vandaag aangekondigd. Ook Adobe en andere browserontwikkelaars zullen vanaf januari de support van Flash eindigen. Firefox 84, die op 15 december uitkomt, is de laatste Firefox-versie die met Flash Player werkt. Waneer Firefox 85 op 26 januari 2021 verschijnt zal de browser Flash niet meer ondersteunen. Dit zal volgens Mozilla de veiligheid en prestaties van de browser verbeteren. Voor gebruikers van Firefox Nightly en Beta, twee testversies van de browser, zal de Flash-support op respectievelijk vandaag en 14 december eindigen. Het is dan niet meer mogelijk om Flash op enige manier in de browser in te schakelen. Flash Player zal na 12 januari 2021 geen Flash-content meer laden, zo laat Mozilla verder weten. Adobe riep gebruikers eerder al op om de browserplug-in te verwijderen. Sinds vorige maand laat Flash Player ook meldingen zien waarin dit aan gebruikers wordt gevraagd. Dagelijks maken 223 miljoen mensen gebruik van de desktopversie van Firefox. Daarvan heeft 35 procent (78 miljoen) Flash Player op het systeem geïnstalleerd staan. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe in 2017 aan dat het de ondersteuning van de browserplug-in in 2020 beëindigt. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. bron: https://www.security.nl

Op internet zijn nog altijd honderdduizenden servers te vinden die kwetsbaar zijn voor beveiligingslekken zoals BlueKeep en Heartbleed, ook al zijn beveiligingsupdates om de kwetsbaarheden te verhelpen al lange tijd beschikbaar. Dat stelt Jan Kopriva, handler bij het Internet Storm Center (ISC), op basis van eigen onderzoek. Kopriva voerde een scan uit met zoekmachine Shodan en verifieerde een deel van de resultaten met handmatige Nmap-scans. Zo bleken er 247.000 servers kwetsbaar te zijn voor BlueKeep. De kwetsbaarheid, die de naam BlueKeep kreeg, is aanwezig in de Remote Desktop Services (RDS) van Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Microsoft bracht op 14 mei 2019 een beveiligingsupdate voor de kwetsbaarheid uit. Kopriva telde ook meer dan 200.000 servers die de update voor de Heartbleed-kwetsbaarheid niet hebben geïnstalleerd. Via dit beveiligingslek uit 2014 is het mogelijk om de inhoud van het geheugen van webservers die OpenSSL gebruiken uit te lezen. Tevens bevatten zo'n 247.000 Exim-servers een bekende kwetsbaarheid waarvan actief misbruik wordt gemaakt. "De resultaten laten zien dat zelfs zeer bekende kwetsbaarheden soms jarenlang niet worden gepatcht", aldus Kopriva. "Alleen omdat we er niet meer over praten verdwijnen Heartbleed, Bluekeep en andere beveiligingslekken niet." De ISC-handler voegt toe dat voor bedrijven die hun patchmanagement niet op orde hebben "historische" kwetsbaarheden nog altijd een risico vormen. bron: https://www.security.nl

De bekende hacker Peiter Zatko, alias Mudge, is het nieuwe hoofd security van Twitter. Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen. Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon. Tegenover persbureau Reuters laat Zeitko weten dat hij bij Twitter onder andere naar de informatiebeveiliging, fysieke beveiliging, platformintegriteit en engineering zal kijken. bron: https://www.security.nl

Mozilla introduceert vandaag een nieuwe Firefox-versie die van een beveiligingsfeature is voorzien waardoor http-sites standaard niet meer worden geladen. De HTTPS-Only Mode zorgt ervoor dat Firefox standaard elke website via https zal benaderen. In het geval een website geen https ondersteunt vraagt de browser de gebruiker om toestemming om de site toch te laden. De meeste websites maken inmiddels gebruik van https. Toch vallen websites volgens Mozilla nog geregeld terug op het onveilige en gedateerde http-protocol. Daarnaast zijn er nog miljoenen oude http-links op het web te vinden die naar de http-versie van websites wijzen. Met de HTTPS-Only Mode zal Firefox geen onbeveiligde verbindingen met websites meer opzetten tenzij de gebruiker dit toestaat. Ook wanneer de gebruiker http in de adresbalk tikt of op een http-link klikt zal Firefox bij deze mode standaard er https van maken. Wanneer een website geen https aanbiedt toont de browser een foutmelding en legt het beveiligingsrisico uit. Vervolgens kan de gebruiker ervoor kiezen om de website wel of niet te bezoeken. In het geval van 'mixed-content', waarbij de website van https gebruikmaakt, maar bijvoorbeeld afbeeldingen, advertenties of filmpjes via http laadt, kan HTTPS-Only ervoor zorgen dat de website niet goed wordt weergegeven. In deze situaties is het mogelijk om de beveiligingsfeature tijdelijk voor de betreffende website uit te schakelen. Mozilla stelt dat als het gebruik van https verder toeneemt browsers de ondersteuning van http volledig kunnen uitschakelen en https voor elke website kunnen verplichten. Volgens cijfers van Let's Encrypt wordt zo'n 84 procent van de websites die Firefox-gebruikers bezoeken via https geladen. De HTTPS Only Mode is beschikbaar in Firefox 83 die later vandaag verschijnt. Gebruikers moeten de optie wel zelf inschakelen. bron: https://www.security.nl

Het Amerikaanse kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. The North Face heeft bij de Amerikaanse autoriteiten melding van een datalek gemaakt, hoewel het hier naar eigen zeggen niet toe verplicht was. Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer. Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht. Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken. bron: https://www.security.nl

Een kwetsbaarheid in VMware ESXi waarvoor op 4 november een beveiligingsupdate verscheen wordt actief bij ransomware-aanvallen misbruikt. Dat meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Naast deze kwetsbaarheid, aangeduid als CVE-2020-3992, maken de aanvallers ook gebruik van een ander ESXi-lek (CVE-2019-5544) waarvoor vorig jaar een update verscheen. Beaumont meldt in een tweet dat een groep ransomwarecriminelen de twee kwetsbaarheden gebruikt om de beveiliging van Windows te omzeilen, door virtual machines uit te schakelen en de virtual machine disk direct op de hypervisor te versleutelen. Securitybedrijf Rapid7 waarschuwt dat op deze manier virtuele datacentra volledig door ransomware op slot kunnen worden gezet. Een hypervisor is software voor het maken en draaien van virtual machines. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. De recent verholpen kwetsbaarheid in ESXi maakt het mogelijk voor een aanvaller die toegang tot poort 427 van een kwetsbare machine heeft om een een use-after-free te veroorzaken en zo op afstand willekeurige code op het systeem uit te voeren. VMware kwam op 20 oktober met een beveiligingsupdate voor deze kwetsbaarheid. De patch bleek echter niet volledig te zijn, waarop er op 4 november een tweede beveiligingsupdate verscheen. bron: https://www.security.nl

Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting. Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn. Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen. "Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd." De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden. bron: https://www.security.nl

Het populaire online kinderspel Animal Jam, dat in samenwerking met National Geographic Kids werd gelanceerd, heeft de gegevens van 46 miljoen gebruikers gelekt. De gebruikersdatabase werd rond 10 oktober door nog onbekende aanvallers gestolen, zo laat spelontwikkelaar WildWorks in een verklaring weten. Hoewel het datalek een maand geleden plaatsvond kwam WildWorks daar pas gisteren achter toen het door onderzoekers werd gewaarschuwd. Die zagen dat de gebruikersdata op een forum werd geplaatst en informeerden vervolgens de spelontwikkelaar. Volgens WildWorks wisten de aanvallers toegang tot de server van een leverancier te krijgen die het voor interne bedrijfscommunicatie gebruikt. Daar wisten ze een key te bemachtigen die toegang tot de database gaf, aldus een verklaring van WildWorks. Verdere details over de aanval zijn niet gegeven. De gestolen data gaat tot tien jaar terug. Het betreft zeven miljoen e-mailadressen van ouders waar zo'n 32 miljoen gebruikersnamen aan zijn gekoppeld. Verder bevat de database via het PBKDF2-algoritme gehashte wachtwoorden. Ook gaat het bij 23,9 miljoen gebruikers om het opgegeven geslacht, was bij 14,8 miljoen gebruikers het geboortejaar vermeld en waren 5,7 miljoen accounts van de volledige geboortedatum voorzien. Ruim 12.000 ouder-accounts bevatten de volledige naam en het factuuradres. Bij meer dan 16.000 ouder-accounts gaat het alleen om de naam. Naar aanleiding van het datalek moeten alle spelers van Animal Jam hun wachtwoord wijzigen. Daarnaast zegt WildWorks dat het alle gebruikersdatabases tegen soortgelijke aanvallen heeft beveiligd, maar details worden niet gegeven. De zeven miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 55 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Google heeft voor de derde keer in drie weken tijd actief aangevallen zerodaylekken in de desktopversie van Chrome gepatcht. In tegenstelling tot de zerodays die op 20 oktober en 2 november werden gepatcht zijn de nieuwste twee kwetsbaarheden niet door Google zelf ontdekt. De zerodaylekken, aangeduid als CVE-2020-16013 en CVE-2020-16017, bevinden zich in de V8 JavaScript-engine, die wordt gebruikt voor het uitvoeren van JavaScript, en de site isolation-beveiligingsfeature van de browser. Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. De twee kwetsbaarheden zijn door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De twee zerodaylekken die Google op 2 november patchte bevonden zich ook in de V8 JavaScript-engine, net als een zerodaylek waarvoor Google eind februari een beveiligingsupdate uitbracht. Google heeft geen verdere details over de nu verholpen kwetsbaarheden gegeven. Gisteren liet Vice Magazine op basis van een bron weten dat er een relatie tussen de zerodays van de afgelopen weken zit, maar exacte details zijn onbekend. De beveiligingslekken zijn verholpen in Chrome 86.0.4240.198. Op de meeste systemen wordt de update automatisch geïnstalleerd. bron: https://www.security.nl

Het is tien jaar geleden dat de Amerikaanse burgerrechtenbeweging EFF de browserextensie HTTPS Everywhere lanceerde. Sindsdien is er het nodige op het web veranderd, waaronder de opmars van https. De EFF hoopt dat de komende tien jaar ook de laatste jaren van de extensie zullen zijn. HTTPS Everywhere laadt websites die https ondersteunen standaard over https, ook al tikt de gebruiker in de adresbalk http of opent een link die met http begint. Dit moet man-in-the-middle-aanvallen voorkomen en de privacy van gebruikers beschermen. Om te kijken of websites https ondersteunen maakt HTTPS Everywhere gebruik van lijsten. Periodiek worden deze lijsten door de extensie bijgewerkt. Wanneer een website geen https biedt wordt die gewoon via http geladen. Inmiddels is HTTPS Everywhere een standaardonderdeel van de Brave-browser en Tor Browser geworden. De Chrome-versie van de extensie telt meer dan twee miljoen gebruikers, terwijl 733.000 Firefox-gebruikers de extensie hebben geïnstalleerd. Toch hoopt dat de EFF dat de komende tien jaar ook de laatste jaren van de extensie zijn. "Dit project is opgezet om privacy en security niet alleen toegankelijk maar ook bereikbaar voor iedereen te maken", zegt Alexis Han*** van de EFF. "Anonimiteit en privacy op het web zouden niet moeten zijn voorbehouden aan personen met zeer technische kennis. Hopelijk zal bij een volgende update over tien jaar HTTPS Everywhere zijn uitgefaseerd omdat de bescherming die het biedt een standaardonderdeel van 'het net' is geworden." bron: https://www.security.nl

Er is een relatie tussen de zeven recente zerodaylekken in Chrome, iOS en Windows die door Google zijn ontdekt. Dat laat een bron met kennis van de kwetsbaarheden tegenover Vice Magazine weten. Op 20 oktober kwam Google met een update voor een actief aangevallen zerodaylek in de desktopversie van Chrome. Tien dagen later op 30 oktober maakte het techbedrijf de details bekend van een zerodaylek in de Windows-kernel. Door de kwetsbaarheden in Chrome en Windows te combineren was het mogelijk voor aanvallers om systemen volledig over te nemen. Op 2 november kwam Google vervolgens met updates voor twee aangevallen zerodaylekken in de Android- en desktopversie van Chrome. Drie dagen later rolde Apple beveiligingsupdates uit voor drie aangevallen zerodaylekken in iOS. De zeven zerodays waren ontdekt door Google Project Zero, een team van Google dat zich bezighoudt met het onderzoeken van allerlei diensten, producten en programma's. Volgens Google waren de ontdekte kwetsbaarheden bij "gerichte aanvallen" ingezet, maar verdere details werden niet gegeven. Wel stelde het techbedrijf dat de waargenomen aanvallen losstaan van de Amerikaanse presidentsverkiezingen. Een anonieme bron laat aan Vice Magazine weten dat de kwetsbaarheden met elkaar verband houden, maar op wat voor manier wordt niet duidelijk gemaakt. Ryan Stortz van securitybedrijf Trail of Bits denkt dat het om een spionageoperatie gaat. De kwetsbaarheden zouden mogelijk bij een "watering hole" aanval zijn ingezet. Hierbij compromitteren aanvallers websites die beoogde slachtoffers uit zichzelf bezoeken en voorzien die van exploits. Stortz vermoedt dat Google een aanval tegen één platform ontdekte en aan de hand daarvan de exploits voor de twee andere platformen vond. In een verklaring laat Google weten dat het geen verdere informatie over de zerodays kan geven. bron: https://www.security.nl

Een groep criminelen die organisaties met ransomware infecteert maakt nu gebruik van advertenties op Facebook om slachtoffers bij naam te noemen en zo tot betalen te dwingen. Dat laat it-journalist Brian Krebs weten. Afgelopen maandag verscheen er op Facebook een advertentie van het Ragnar Locker Team dat het systemen van de Italiaanse drankenproducent Campari had versleuteld. Verschillende groepen ransomwarecriminelen maken gebruik van eigen websites om slachtoffers bij naam te noemen. Voordat systemen worden versleuteld maken deze criminelen allerlei data buit. Als het bedrijf niet betaalt dreigen de criminelen om de gestolen data via de eigen website openbaar te maken. Nu worden ook Facebookadvertenties ingezet. De advertenties waren geplaatst via een gecompromitteerd Facebookaccount van een Amerikaanse dj. In totaal hadden de criminelen 500 dollar voor de advertentiecampagne gereserveerd. Zo'n 7200 Facebookgebruikers kregen de advertentie met daarin het nieuws over de aanval op Campari te zien, wat 770 clicks opleverde. Het is onbekend of andere gecompromitteerde Facebookaccounts voor de advertentiecampagne zijn ingezet. Campari, dat eerder nog over een malware-aanval sprak, heeft inmiddels een update over het incident gegeven en stelt dat het herstel van de getroffen systemen langer in beslag neemt. De drankenproducent verwacht dan ook dat de aanval impact op de financiële prestaties zal hebben (pdf). bron: https://www.security.nl

Het is bijna een jaar geleden dat Microsoft de ondersteuning van Windows 7 en Server 2008 R2 stopte. Sinds 14 januari 2020 ontvangen beide besturingssystemen geen gratis beveiligingsupdates meer. Organisaties die nog altijd van Windows 7 of Server 2008 R2 gebruikmaken kunnen tegen betaling tot januari 2023 patches blijven ontvangen. Het eerste jaar van deze "Extended Security Updates" zit er bijna op, wat gevolgen heeft voor organisaties. De betaalde updates worden namelijk in periodes van 12 maanden door Microsoft aangeboden. Organisaties die volgend jaar met Windows 7 en Server 2008 R2 blijven werken en ook maandelijks beveiligingsupdates willen blijven ontvangen zullen een nieuw contract moeten afsluiten en op elk Windows 7- of Server 2008 R2-systeem een nieuwe licentiesleutel moeten activeren. Wanneer organisaties niet voor het eerste jaar van de Extended Security Updates hebben betaald, maar nu alsnog de betaalde updates willen ontvangen, zullen ze voor zowel het eerste als tweede jaar moeten betalen. Microsoft roept organisaties op om zich voor te bereiden op het tweede jaar van de Extended Security Updates dat op 12 janari 2021 begint. Volgens marktvorser NetMarketshare draait zo'n twintig procent van de desktops wereldwijd nog op Windows 7. bron: https://www.security.nl

Microsoft heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Windows-kernel die actief werd aangevallen voordat de patch beschikbaar was. Google maakte details van het zerodaylek eind oktober openbaar. Via de kwetsbaarheid, die in Windows 7 tot en met Windows 10 en Server 2008 tot en met Server versie 1909 aanwezig is, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen of uit een sandbox ontsnappen. Het beveiligingslek werd op 22 oktober aan Microsoft gerapporteerd. Normaliter geeft Google ontwikkelaars en bedrijven negentig dagen de tijd om gerapporteerde kwetsbaarheden te verhelpen. Aangezien het om een actief aangevallen beveiligingslek gaat hanteert Google een deadline van zeven dagen. Microsoft kwam in die zeven dagen niet met een beveiligingsupdate, waarop Google de details van het lek, aangeduid als CVE-2020-17087, openbaar maakte. Microsoft brengt elke tweede dinsdag van elke maand beveiligingsupdates uit en wijkt daar alleen vanaf als kwetsbaarheden bijvoorbeeld op grote schaal worden aangevallen. Volgens Google is het lek bij gerichte aangevallen ingezet. Het door Google onthulde zerodaylek kan daarnaast alleen in combinatie met een ander lek of vanaf een al gecompromitteerd systeem worden gebruikt, wat de impact beperkt. In totaal verhielp Microsoft tijdens de patchdinsdag van november 112 kwetsbaarheden, waarvan er zeventien als kritiek zijn aangemerkt. Het gaat onder andere om een beveiligingslek in het Windows Network File System waardoor remote code execution mogelijk is. Op een schaal van 1 tot en met 10 wat betreft de ernst is deze kwetsbaarheid met een 9,8 beoordeeld. Details over het lek zijn echter niet gegeven, behalve dat er geen interactie van gebruikers is vereist om de kwetsbaarheid te misbruiken. Securitybedrijf ZDI adviseert dan ook totdat anders blijkt het lek als "wormable" te beschouwen. Verder zijn er kwetsbaarheden verholpen in Exchange Server, Microsoft Office, Internet Explorer, Chromium Edge, Edge Legacy, ChakraCore, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender Microsoft Teams, Azure SDK en DevOps en Visual Studio. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: https://www.security.nl

Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites. Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9. De scores geven aan dat het om kritieke kwetsbaarheden gaat die eenvoudig zijn te misbruiken. Na ontdekking van de beveiligingslekken waarschuwde Wordfence de ontwikkelaars van Ultimate Member. Op 29 oktober verscheen versie 2.1.12 van de plug-in waarmee de kwetsbaarheden zijn verholpen. Nu een kleine twee weken later heeft Wordfence de details van de beveiligingslekken openbaar gemaakt. Uit cijfers van WordPress blijkt dat er nog tienduizenden websites kwetsbaar zijn. Zo zijn er 20.000 websites die versie 2.0 of ouder gebruiken. Tachtig procent draait versie 2.1.x, maar het exacte versienummer wordt niet vermeld. Sinds 29 oktober is de plug-in zo'n 76.000 keer gedownload. Webmasters die van de plug-in gebruikmaken wordt aangeraden de nieuwe versie te downloaden. The plugin allows you to add beautiful user profiles to your site and is perfect for creating advanced online communities and membership sites. bron: https://www.security.nl

Google Chrome en andere Chromium-gebaseerde browsers krijgen bescherming tegen zogeheten "tab-napping" aanvallen. Dat heeft Chrome-ontwikkelaar Mike West via Twitter bekendgemaakt. Bij tab-napping kan een nieuw geopende tab de tab waar die vandaan werd geopend naar een andere url doorsturen. Dit is mogelijk door gebruik te maken van het het attribuut target="_blank" voor externe links in combinatie met JavaScript. Wanneer een gebruiker op een link klikt die van het attribuut target="_blank" is voorzien een nieuwe tab geopend. Door gebruik te maken van de JavaScript-functie window.opener kan de nieuw geopende tab de originele pagina aanpassen en zo een malafide pagina laden. Wanneer de gebruiker terug naar deze tab gaat kan de originele pagina bijvoorbeeld zijn vervangen door een phishingsite. Om dergelijke redirects te voorkomen werd het attribuut rel="noopener" voor html-links bedacht. Er zijn echter websites waar target="_blank" nog steeds voor links wordt gebruikt. Voor dergelijke situaties besloten Firefox en Safari om in 2018 voor alle links met target="_blank" automatisch het noopener-attribuut toe te passen en zo de link op een veilige manier te openen. Microsoft Edge-ontwikkelaar Eric Lawrence heeft de feature nu aan Chromium toegevoegd, de opensourcebrowser die de basis voor Chrome, Brave en Chromium Edge vormt. De feature is inmiddels in een vroege testversie van Chrome beschikbaar en staat gepland voor de releaseversie van Chrome 88, die volgend jaar januari moet uitkomen. bron: https://www.security.nl

Mozilla heeft een kritiek beveiligingslek in Firefox en Thunderbird verholpen waardoor een aanvaller het onderliggende systeem kan overnemen. De kwetsbaarheid werd afgelopen zaterdag tijdens de Tianfu Cup in China gedemonstreerd. Dit is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers 'S0rryMybad' en 'B1aN' slaagden erin om via een kwetsbaarheid in Firefox remote code execution op het onderliggende Windows 10-systeem te krijgen. Een aanval die met 40.000 dollar werd beloond. Gisterenavond, twee dagen na de demonstratie, kwam Mozilla met een beveiligingsupdate. Door een opcode van Firefox op een bepaalde manier te gebruiken was het mogelijk voor een aanvaller om een use-after-free te veroorzaken en zo code uit te voeren. De kwetsbaarheid, aangeduid als CVE-2020-26950, is verholpen in Firefox 82.0.3, Firefox ESR 78.4.1 en Thunderbird 78.4.2. Updaten kan via de updatefunctie van de software, Mozilla.org of Thunderbird.net. bron: https://www.security.nl

Burgerrechtenbeweging Bits of Freedom is vandaag een nieuwe campagne gestart genaamd "Fix je privacy" om de online privacy van mensen te beschermen. De campagne is voorzien van een website met verschillende tips die voor meer privacy en security moeten zorgen. Het gaat dan om het gebruik van een wachtwoordmanager, tweefactorauthenticatie en alternatieven voor WhatsApp, Zoom, Skype, Google Search, Gmail en Google Maps. Ook worden er specifieke tips gegeven voor het instellen van onder andere Twitter, TikTok, Instagram Facebook, YouTube, browsers en locatie-instellingen. De privacy- en beveiligingstips zijn ook als sticker- en kaartenset beschikbaar. "We willen mensen oproepen om na te denken over hun eigen privacy, maar ook om er met hun collega’s, familieleden of vrienden over in gesprek te gaan", zegt Evelyn Austin van Bits of Freedom. "We merken een toename in zowel de interesse in veiliger online zijn als de frequentie van de incidenten. Er lijkt wel geen dag voorbij te gaan zonder datalek of hack en je wordt om de oren geslagen met verhalen over oplichting via WhatsApp en internetbankieren. Hopelijk kunnen mensen met onze toolbox zich beter wapenen tegen dit soort zaken." bron: https://www.security.nl

Criminelen die organisaties met ransomware infecteren stelen geregeld ook de data van hun slachtoffers. Mocht het bedrijf niet willen betalen voor het ontsleutelen van de data, bijvoorbeeld omdat er nog een werkende back-up beschikbaar is, dreigen de criminelen met de publicatie van de gestolen data. Een bekend voorbeeld is cloudsoftwarebedrijf Blackbaud dat door ransomware werd getroffen. Voordat de aanvaller de ransomware uitrolde werd er eerst allerlei data van Blackbaud en diens klanten gestolen, waaronder de TU Delft en Universiteit Utrecht. Het ging om de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de Nederlandse universiteiten. Van zesduizend afgestudeerden van de Universiteit Utrecht werden ook burgerservicenummers buitgemaakt. Blackbaud betaalde de verantwoordelijke crimineel om de gestolen data te verwijderen. Volgens securitybedrijf Coveware blijkt uit de praktijk dat criminelen niet altijd hun woord houden. Zo zijn er meerdere gevallen bekend waarbij slachtoffers die betaalden een aantal weken later met dezelfde gestolen data opnieuw werden afgeperst. Ook zijn er voorbeelden van criminelen die de gestolen data, nadat slachtoffers hadden betaald, alsnog publiceerden. Organisaties van wie de data wordt gestolen moeten er dan ook niet van uitgaan dat de data echt wordt verwijderd, aldus Coveware. Volgens het securitybedrijf moeten organisaties er daarom rekening mee houden dat aanvallers de gestolen data aan andere criminelen doorverkopen of de organisatie er opnieuw mee afpersen. "Het betalen van de aanvaller om de gestolen data niet te publiceren heeft bijna geen voordelen voor het slachtoffer", zo laat het bedrijf weten. bron: security.nl

Cisco heeft een waarschuwing afgegeven voor een kwetsbaarheid in de vpn-software AnyConnect waar nog geen beveiligingsupdate voor beschikbaar is. Wel is er inmiddels proof-of-concept exploitcode online verschenen waarmee er misbruik van het beveiligingslek kan worden gemaakt. Via de kwetsbaarheid kan een lokale aanvaller een gebruiker van AnyConnect een kwaadaardig script laten uitvoeren. Het beveiligingslek in de Cisco AnyConnect Secure Mobility Client is op een schaal van 1 tot en met 10 wat betreft de ernst met een 7,3 beoordeeld. Er zijn namelijk verschillende voorwaarden vereist om misbruik van de kwetsbaarheid te kunnen maken. Zo moet er een actieve AnyConnect-verbinding van de gebruiker zijn en moet de aanvaller over geldige inloggegevens beschikken van het systeem waarop de AnyConnect-client draait. Door het versturen van een speciaal geprepareerd interprocess communication (IPC)-bericht naar de AnyConnect-client kan er vervolgens een kwaadaardig script worden uitgevoerd. Er zijn geen workarounds voor de kwetsbaarheid, maar wel een mitigatie. Gebruikers kunnen er volgens Cisco voor kiezen om de automatische updatefunctie uit te schakelen. Wanneer dit niet mogelijk is kan het uitschakelen van de Enable Scripting-configuratie het aanvalsoppervlak verkleinen. Cisco zegt het beveiligingslek in de toekomst via een update te zullen verhelpen. Het is echter nog onbekend wanneer de patch precies zal verschijnen. bron: security.nl

Google heeft twee zerodaylekken in Chrome verholpen die actief zijn gebruikt om gebruikers van de browser aan te vallen. Twee weken geleden bracht Google ook al een update uit voor een ander zerodaylek. De twee kwetsbaarheden, CVE-2020-16009 en CVE-2020-16010, bevinden zich in de V8 JavaScript-engine van de browser. CVE-2020-16009 is aanwezig in de desktopversie van Chrome en maakt volgens Ben Hawkes van Google remote code execution mogelijk. Google heeft de kwetsbaarheid als "high" bestempeld, wat inhoudt dat een tweede kwetsbaarheid is vereist om code op het onderliggende systeem uit te voeren. Kwetsbaarheden met een "high" impact maken het op zichzelf mogelijk om data van andere websites te kunnen lezen of aanpassen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. In het geval van CVE-2020-16010 betreft het ook een kwetsbaarheid met de beoordeling "high". Het gaat om een heap buffer overflow in de user interface van Chrome voor Android. Via het beveiligingslek is het mogelijk om uit de sandbox van Chrome te ontsnappen. Wederom is er een tweede kwetsbaarheid nodig om code op het onderliggende systeem uit te voeren. Verdere details over de kwetsbaarheden en waargenomen aanvallen zijn niet door Google gegeven, behalve dat het om "targeted exploitation" gaat. Gebruikers krijgen het advies om te updaten naar Chrome 86.0.4240.183 voor macOS, Linux en Windows en Chrome 86.0.4240.185 voor Android. Op de meeste systemen zal dit automatisch gebeuren. Naast de drie zerodaylekken van de afgelopen twee weken verhielp Google eind februari ook een zerodaylek in de browser. bron: security.nl