Captain Kirk

De Britse overheid werkt aan wetgeving die standaard wachtwoorden voor Internet of Things-apparaten, smartphones en computers verbiedt. Ook moeten fabrikanten duidelijk maken hoelang ze hun apparatuur van beveiligingsupdates blijven voorzien en waar onderzoekers gevonden kwetsbaarheden kunnen melden. Dat staat in een wetsvoorstel waar Britse burgers op kunnen reageren. Het is voor het eerst dat de Britse overheid een gedetailleerd wetsvoorstel openbaar maakt en het publiek om reacties vraagt, zo meldt het Britse National Cyber Security Centre (NCSC). Volgens Matt Warman, minister voor Digitale Infrastructuur, moet de wetgeving voor veiligere smart producten zorgen. Het gaat echter niet alleen om IoT-apparatuur voor eindgebruikers. Ten opzichte van een eerdere versie van het voorstel zijn ook smartphones, laptops en pc's toegevoegd. Voor dergelijke apparatuur gelden straks drie voorwaarden. Producten die niet aan deze eisen voldoen mogen, als het wetsvoorstel wordt aangenomen, niet in het Verenigd Koninkrijk worden verkocht. De eerste eis is een verbod op het leveren van producten met standaard wachtwoorden. Daarbij is de Britse overheid ook van plan om unieke wachtwoorden te verbieden als die eenvoudig te raden zijn. Het niet gebruik van wachtwoorden is volgens de overheid de eenvoudigste manier om aan deze eis te voldoen. Gebruikers zouden in plaats van een wachtwoord via een app verbinding met hun apparaat kunnen maken. Wanneer een wachtwoord toch is vereist, zou dit door de gebruiker zelf moeten worden opgegeven. De tweede vereiste is een methode voor onderzoekers om kwetsbaarheden te rapporteren. Via een vulnerability disclosure policy moeten fabrikanten laten weten hoe ze zijn te benaderen en hoe er met ontvangen bugmeldingen wordt omgegaan. Volgens het NCSC zal deze eis ervoor zorgen dat wanneer een kwetsbaarheid in een product wordt gevonden, die sneller zal worden verholpen. Als derde en laatste vereiste moeten fabrikanten duidelijk maken hoelang ze een product van beveiligingsupdates blijven voorzien. Deze periode moet op een toegankelijke manier worden gepubliceerd die duidelijk en transparant voor gebruikers is. "Het is voor veel producten nog steeds onduidelijk hoelang ze worden ondersteund, wat het lastig voor consumenten maakt om te bepalen of ze risico lopen", stelt het NCSC. Britse burgers kunnen tot 6 september dit jaar op het wetsvoorstel reageren. Wanneer de wet wordt aangenomen hebben fabrikanten, zoals nu wordt voorgesteld, negen maanden de tijd om met standaard wachtwoorden te stoppen. Het doorgeven van de updateperiode moet binnen zes maanden zijn geregeld, terwijl voor het opstellen van de vulnerability disclosure policy drie maanden is genomen. bron: security.nl

Het Europees Hof van Justitie heeft het privacyschild-verdrag tussen de EU en de Verenigde Staten ongeldig verklaard. Privacyschild regelt het uitwisselen van persoonsgegevens tussen bedrijven in de Europese Unie en de VS. Volgens het Hof zijn persoonsgegevens van EU-burgers die in de Verenigde Staten zijn opgeslagen niet voldoende beschermd. Het Hof constateert dat "de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven." Maatregelen om dergelijke inmenging tegen te gaan, zoals een ombudsman die de klachten van EU-burgers over de verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten verwerkt, voldoen niet aan de vereiste juridische standaarden van de EU. Het Hof vindt dat het ombudsmanmechanisme burgers geen mogelijkheid biedt om in beroep te gaan bij een orgaan waarvan de waarborgen overeenkomen met die door het Unierecht worden vereist, dat gegarandeerd onafhankelijk is en besluiten kan nemen die bindend voor Amerikaanse inlichtingendiensten zijn. "Om al deze redenen verklaart het Hof besluit 2016/1250 ongeldig", zo laat het Hof in een persbericht weten (pdf). De uitspraak volgt in een zaak die jaren geleden door privacyactivist Max Schrems was aangespannen. Schrems maakt gebruik van Facebook en had geëist dat het doorsturen van zijn gegevens naar de Amerikaanse servers van Facebook zou worden verboden. Volgens Schrems biedt de VS geen voldoende bescherming van gegevens die naar het land worden doorgestuurd. Hij diende in 2015 een klacht in bij de Ierse privacytoezichthouder, die de zaak uiteindelijk aan het Europees Hof voor Justitie voorlegde. "Ik ben zeer tevreden met het vonnis. Het lijkt erop dat het Hof ons op alle punten heeft gevolgd. Dit is een klap voor de Ierse privacytoezichthouder en Facebook. Het is duidelijk dat de VS de surveillancewetgeving echt moet veranderen als Amerikaanse bedrijven een grote rol op de EU-markt willen spelen", laat Schrems in een reactie weten. Het Hof heeft bepaald dat modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers wel geldig blijven. Die standaardbepalingen bevatten volgens het hof wel de mechanismen om persoonsgegevens volgens de EU-normen te beschermen . "Dit is een hele mooie opsteker voor al die Europeanen die privacy en bescherming van persoonsgegevens echt belangrijk zijn gaan vinden de laatste jaren. Het is ook een klap voor overheden die dat belang al jaren negeren", zegt D66-Europarlementariër Sophie in't Veld. "Techreuzen mogen niet zomaar persoonsgegevens doorsluizen naar de VS als ze worden gebruikt voor massasurveillance door de geheime diensten. De Europese wet vereist rechtsbescherming voor burgers, stelt de hoogste Europese rechter vandaag." Volgens In't Veld betekent de uitspraak dat bedrijven geen persoonsgegevens meer legaal kunnen doorgeven van de EU naar de VS, bijvoorbeeld om daar op hun servers op te slaan. "De uitspraak is een drama voor bedrijven, maar is volledig te wijten aan het schoothondjesgedrag van de Europese Commissie bij de Amerikaanse regering", aldus de D66-Europarlementariër, die vindt dat de Europese Commissie nu zo snel mogelijk met de Amerikaanse regering om de tafel moet om tot een nieuw juridisch waterdicht akkoord te komen. Britse privacytoezichthouder De Britse privacytoezichthouder ICO stelt in een reactie dat het de uitspraak van het Europese Hof en de impact die dit op internationale gegevensuitwisseling heeft aan het bestuderen is. "We staan klaar om Britse organisaties te ondersteunen en zullen samen met de Britse overheid en internationale agentschappen samenwerken om ervoor te zorgen dat de wereldwijde datastromen door kunnen blijven gaan en dat de persoonlijke data van mensen is beschermd." Microsoft Naar aanleiding van het vonnis is ook Microsoft met een reactie gekomen. Het techbedrijf stelt dat de uitspraak geen gevolgen voor commerciële klanten heeft. Klanten kunnen nog steeds via de Microsoft-cloud data tussen de EU en VS uitwisselen. De modelcontractbepalingen blijven namelijk geldig, aldus het techbedrijf. Ook zegt Microsoft dat de uitspraak niets verandert aan de datastromen van de consumentendiensten. bron: security.nl

Verschillende modellen Cisco-routers zijn door beveiligingslekken op afstand over te nemen. De netwerkfabrikant kwam gisterenavond met beveiligingsupdates voor de vier kwetsbaarheden, die alle vier op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 zijn beoordeeld. De beveiligingslekken zijn aanwezig in de RV110W, RV130, RV130W en RV215W. Deze vpn-routers zijn volgens Cisco bedoeld voor het mkb. Drie van de vier kwetsbaarheden (CVE-2020-3331, CVE-2020-3144 en CVE-2020-3323) zijn aanwezig in de webmanagementinterface van de router en worden veroorzaakt door het niet goed valideren van gebruikersinvoer en verkeerd sessiebeheer. Door het versturen van een speciaal geprepareerd http-verzoek naar een kwetsbare router kan een aanvaller beheerderstoegang krijgen of willekeurige code met rootrechten uitvoeren. De vierde kwetsbaarheid (CVE-2020-3330) is alleen aanwezig in de RV110W-router en bevindt zich in de Telnet-dienst. Die maakt namelijk gebruik van een statisch standaard account en wachtwoord. Via dit standaard "high-privileged" account kan een aanvaller inloggen en de router volledig overnemen, aldus de uitleg van Cisco. Voor geen van de kwetsbaarheden is een workaround beschikbaar. Gebruikers worden dan ook opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren. bron: security.nl

Verschillende kwetsbaarheden in de Citrix Application Delivery (ADC) Controller en Citrix Gateway waarvoor vorige week beveiligingsupdates verschenen worden inmiddels actief aangevallen en gebruikt om kwetsbare systemen op afstand te compromitteren. Dat melden het Internet Storm Center en securitybedrijf NCC Group. Citrix rolde patches uit voor in totaal elf kwetsbaarheden. Twee daarvan worden inmiddels aangevallen. De eerste kwetsbaarheid is CVE-2020-8193. Het gaat om een beveiligingslek in de managementinterface. Door het versturen van een speciaal geprepareerd request kan een aanvaller de beheerderslogin omzeilen en directe toegang tot het apparaat krijgen. De andere kwetsbaarheid is CVE-2020-8195 of CVE-2020-8196. Beide beveiligingslekken bevinden zich ook in de managementinterface en maken het mogelijk voor een aanvaller die toegang tot het apparaat heeft, bijvoorbeeld via het eerder genoemde beveiligingslek, om belangrijke informatie te achterhalen, zoals configuratiebestanden. Op dit moment is nog onduidelijk of CVE-2020-8195 of CVE-2020-8196 wordt aangevallen, aangezien beide beveiligingslekken erg veel overeen hebben, stellen securitybedrijf Tenable en NCC Group. Door CVE-2020-8193 te combineren met één van de twee andere kwetsbaarheden is het mogelijk om het Citrix-systeem op afstand te compromitteren en vpn-sessies te stelen, aldus NCC Group. Het securitybedrijf laat weten dat het op 11 juli een piek in het aantal aanvallen zag. Organisaties worden dan ook opgeroepen om de beveiligingsupdates te installeren. bron: security.nl

Mozilla heeft vandaag de eigen op WireGuard-gebaseerde vpn-dienst Mozilla VPN in zes landen beschikbaar gemaakt, te weten Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten. Andere landen zullen deze herfst volgen. Mozilla VPN maakt zoals gezegd gebruik van het WireGuard-protocol. Dit vpn-protocol is volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Mozillas vpn is zelf door Mozilla ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. Om van de vpn-dienst gebruik te maken is een Firefox Account verplicht. Via dit account ontvangt Mozilla het e-mailadres, ip-adres en locatie van de gebruiker. Verder ontvangt Mozilla interactiedata, zoals wanneer de gebruiker inlogt en wanneer de serverlijst wordt opgevraagd. Ook vpn-versie, hardwareconfiguratie en besturingssysteem worden verzameld. Wanneer Mozilla VPN data verstuurt, wordt ook tijdelijk het ip-adres van de gebruiker verzamelt. Mozilla VPN kost 4,99 dollar per maand en de dienst werkt vooralsnog alleen op Windows. Er zijn echter ook clients voor Android, iOS, Linux en macOS in ontwikkeling. bron: security.nl

Onderzoekers hebben een vervalste Cisco-switch ontdekt die van een onbekende kwetsbaarheid gebruikmaakt om te functioneren, zo meldt antivirusbedrijf F-Secure. De switch was gekocht door een niet nader genoemd it-bedrijf. Dit bedrijf had ook een tweede vervalste Cisco-switch gekocht die op een andere manier de secure boot van het apparaat wist te omzeilen. Eind 2019 stoppen beide switches met werken nadat het bedrijf een software-upgrade installeert. Het lukt het bedrijf nog wel om via de console op de switches in te loggen, maar krijgt daar een melding te zien dat het om vervalste apparatuur gaat. Het downgraden naar de vorige versie biedt geen oplossing. Het bedrijf laat vervolgens een onderzoek naar de switches instellen om te achterhalen of er een backdoor in de apparaten aanwezig is. Al gauw ontdekken de onderzoekers dat er allerlei andere hardware in de vervalsingen wordt gebruikt. Een backdoor wordt niet aangetroffen. Wel blijkt dat beide switches van aangepaste code gebruikmaken om de verificatie te omzeilen. Bij één van de switches wordt hiervoor gebruik gemaakt van een race condition in de SLIMpro ROM-code. De SLIMpro is een aparte rekeneenheid die in de System-on-Chip aanwezig is en zich bezighoudt met systeemgerelateerde security-operaties. Dit onderdeel is ook verantwoordelijk voor verificatie van geladen software. De ROM-code laadt verschillende bestanden. Eén van deze bestanden wordt echter twee keer geladen. De eerste keer is om de digitale handtekening van het bestand te lezen. Bij de tweede keer dat het bestand wordt gelezen krijgt het de controle toegewezen. De onderzoekers merken op dat een dergelijke implementatie kwetsbaar is voor een klassieke race condition genaamd time-of-check to time-of-use (TOCTOU). Hierbij wordt geverifieerde code aangepast nadat die is geverifieerd, maar nog voor die wordt gebruikt. De makers van de vervalste Cisco-switches gebruiken deze race condition om de geladen geauthenticeerde applicatie-image aan te passen voordat de applicatie de controle krijgt. Volgens de onderzoekers was deze kwetsbaarheid nog niet bekend (pdf). F-Secure heeft de kwetsbaarheid aan Cisco gerapporteerd. De netwerkfabrikant laat aan SecurityWeek weten dat het een onderzoek heeft ingesteld. bron: security.nl

Onderzoekers van securitybedrijf Rapid7 hebben zo'n 40.000 Windows dns-servers gevonden waarvan poort 53, gebruikt voor dns, openstaat voor het internet. Windows dns-servers zouden niet aan het internet moeten zijn blootgesteld. Deze servers lopen risico om via een kritieke kwetsbaarheid in Windows DNS Server te worden aangevallen, hoewel de aanval ook is uit te voeren tegen Windows dns-servers die poort 53 niet hebben openstaan. Gisterenavond bracht Microsoft een beveiligingsupdate voor de kwetsbaarheid uit, die wordt veroorzaakt door de manier waarop Windows DNS Server met dns-responses en -requests omgaat. Voor het uitvoeren van de aanval moet een aanvaller eerst een eigen kwaadaardige dns-server opzetten en ervoor zorgen dat de dns-server van het slachtoffer bij zijn server een dns-request doet. Vervolgens is het mogelijk om een dns-response te versturen die een heap-based buffer overflow veroorzaakt. Een aanvaller kan dan willekeurige code in de context van het Local System Account uitvoeren. Voor de remote aanval waarbij geen interactie van gebruikers is vereist moet de aangevallen dns-server direct toegankelijk vanaf het internet zijn. Iets wat volgens Omri Herscovici van securitybedrijf Check Point, dat de kwetsbaarheid ontdekte, bijzonder is, aangezien in de meeste netwerken Windows DNS achter een firewall draait, zo laat de onderzoeker tegenover Wired weten. Rapid7 voerde begin juli een scan uit op internet en vond ruim 41.000 Windows dns-servers die poort 53 hadden openstaan en zo aan het internet waren blootgesteld. Gisterenavond publiceerde het securitybedrijf een blogposting over het onderzoek en meldde dat op het moment van de publicatie twintig Fortune 500-bedrijven samen meer dan 250 Windows dns-servers hadden blootgesteld. Er is echter ook een andere aanval mogelijk waarbij dns-servers achter de firewall kunnen worden aangevallen. Hiervoor volstaat het om iemand binnen de aangevallen organisatie een link in een e-mail te laten openen. Deze aanval werkt niet wanneer er gebruik wordt gemaakt van Mozilla Firefox, Google Chrome of andere Chromium-gebaseerde browsers. Wanneer de malafide link met Internet Explorer of Microsoft Edge wordt geopend werkt de aanval wel. Hoewel het marktaandeel van deze browsers steeds verder afneemt, zijn het wel browsers die met name binnen organisaties worden gebruikt. In een videodemonstratie laat Check Point zien hoe een dns-server crasht nadat een link in een malafide mail wordt geopend. Jake Williams, die eerder voor de NSA werkte en oprichter van securitybedrijf Rendition Infosec is, stelt tegenover Wired dat de phishingaanval waarschijnlijk is aan te passen. Zo wordt het mogelijk voor een aanvaller om de aangevallen dns-server over te nemen in het grootste deel van de netwerken die geen uitgaand verkeer op hun firewall blokkeren. Microsoft omschreef het beveiligingslek als "wormable", maar Williams verwacht niet dat een computerworm misbruik van de kwetsbaarheid zal maken. Hij verwacht dat het lek bij meer gerichte aanvallen zal worden misbruikt. bron: security.nl

Het Anti Abuse Netwerk, een samenwerkingsverband waarin zowel overheid, bedrijfsleven als andere organisaties zijn vertegenwoordigd, is officieel van start gegaan en heeft een manifest voor een veiliger internet gepubliceerd. Het netwerk heeft als doel om abuse informatie onder de aandacht te brengen van partijen die er iets aan kunnen doen. Door abuse beter te bestrijden moet de digitale weerbaarheid van de samenleving worden verbeterd, aldus de deelnemers aan het netwerk. Het gaat dan bijvoorbeeld om informatie over misbruik van online faciliteiten, online criminaliteit of kwetsbaarheden. "Deze informatie komt nu vaak niet terecht bij de partijen die deze onveiligheid het snelst en meest effectief kunnen bestrijden. Als we informatiedeling slimmer organiseren dan kunnen we onze gehele samenleving nog beter weerbaar maken tegen criminele hackers en statelijke actoren. Om dat te bereiken moet de samenwerking tussen bedrijfsleven, overheid, de non-profitsector en de wetenschap worden verbeterd", zo laat het manifest weten. Door middel van drie werkgroepen wil het Anti Abuse Netwerk de informatievoorziening gaan verbeteren. Eén werkgroep legt schematisch vast welke informatie in welke volgorde bij welke partijen moet belanden. Een andere groep maakt duidelijk welke entiteiten moeten worden betrokken en welke knelpunten moeten worden opgelost om een veiliger internet te realiseren. De laatste werkgroep zal zich bezighouden met communicatie over het Anti Abuse Netwerk. "Onze missie is om blijvend samen te werken om informatie waarmee abuse kan worden bestreden en kwetsbaarheden kunnen worden weggenomen, zodanig te delen dat het grootste mogelijke effect wordt bereikt", zo laat het netwerk verder weten. Partijen die aan het Anti Abuse Netwerk wil deelnemen kunnen zich aanmelden. Op dit moment zijn onder andere het ministerie van Economische Zaken, de politie, RIPE NCC, de TU Delft, Stichting Digitale Infrastructuur Nederland (DINL), SIDN (Stichting Internet Domeinregistratie Nederland), het Digital Trust Center en de AMS-IX lid van het netwerk. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder een kritiek beveiligingslek waardoor een aanvaller op afstand willekeurige code kan uitvoeren met de rechten van de ingelogde gebruiker. Google is van plan om Chrome 84 binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. De kwetsbaarheid is aanwezig in "background fetch", een onderdeel van de browser dat in de achtergrond grote bestanden zoals films, podcasts en levels van games kan downloaden. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een heap buffer overflow te veroorzaken. Vervolgens is het mogelijk om willekeurige code uit te voeren. Het beveiligingslek werd gevonden door onderzoekers Leecraso en Guang Gong van 360 Alpha Lab, die het probleem op 8 juli aan Google rapporteerden. In april wisten beide onderzoekers ook al een kritieke kwetsbaarheid in Chrome te vinden. In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller op drie. Naast het kritieke beveiligingslek zijn er ook 37 andere kwetsbaarheden in de browser met een lagere impact opgelost. Het ging onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Http-downloads Chrome 84 introduceert ook verschillende nieuwe features. Zo zal de desktopversie van de browser gebruikers voortaan waarschuwen wanneer ze op een https-website bestanden via http downloaden. Uiteindelijk zal Chrome "onveilige downloads" helemaal blokkeren. Met de lancering van Chrome 84 zullen de eerste waarschuwingen verschijnen, gevolgd door een volledige blokkade in Chrome 88. Google Chrome beschikt over een automatische updatefunctie. In het geval van een kritische kwetsbaarheid probeert Google alle Chrome-gebruikers binnen dertig dagen naar de laatste versie te updaten. Gebruikers kunnen ook door "chrome://settings/help" in de adresbalk in te voeren Chrome 84.0.4147.89 downloaden. bron: security.nl

Microsoft waarschuwt voor een ernstige kwetsbaarheid in Windows DNS Server waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. Het beveiligingslek raakt Windows-servers die als DNS-server zijn ingesteld en wordt veroorzaakt door de manier waarop Windows DNS Server omgaat met DNS-responses en -requests. Het Domain Name System (DNS) vertaalt namen naar ip-adressen. Windows DNS Server is Microsofts implementatie van DNS en een essentieel onderdeel van Windows Domain-omgevingen. DNS is hiërarchisch opgezet en decentraal van aard. Wanneer een DNS-server het antwoord op een DNS-query niet weet, wordt het request doorgestuurd naar een DNS-server hogerop in de hiërarchie. Die stuurt vervolgens de response naar de lager gelegen DNS-server. De kwetsbaarheid in Windows DNS Server werd gevonden door securitybedrijf Check Point. Onderzoekers van het bedrijf ontwikkelden een aanval waarbij er via een kwaadaardige DNS-response remote code execution is uit te voeren en een aanvaller domainbeheerderrechten kan krijgen. De aanval begint door de Windows DNS Server van het slachtoffer DNS-responses te laten verwerken die van een kwaadaardige DNS-nameserver afkomstig zijn. De aanvaller laat vervolgens de DNS-server van het slachtoffer een SIG-record bij de kwaadaardige DNS-server opvragen. Het Signature (SIG)-record is ontwikkeld voor het opslaan van een digitale handtekening in DNS. Een aanvaller kan een speciaal geprepareerd SIG-record van meer dan 64KB als antwoord naar de DNS-server van het slachtoffer sturen, waardoor er een heap-based buffer overflow ontstaat. Vervolgens is het mogelijk om code op de server uit te voeren. "Aangezien de service met verhoogde rechten (SYSTEM) draait, krijgt een aanvaller bij een succesvolle aanval domainbeheerderrechten toegekend, en compromitteert zo in feite de gehele zakelijke infrastructuur", aldus Checkpoint. De aanval is ook via de browser uit te voeren, waarbij een slachtoffer een website van de aanvaller moet bezoeken, aldus de uitleg van Check Point. De onderzoekers merken op dat de meeste browsers, zoals Google Chrome en Mozilla Firefox, geen http-requests naar poort 53 (DNS) toestaan. De kwetsbaarheid is dan ook alleen via een beperkte verzameling browsers te misbruiken, waaronder Internet Explorer en Microsoft Edge. Op een schaal van 1 tot en met 10 wat betreft de ernst is de kwetsbaarheid beoordeeld met een 10. Microsoft laat weten dat het lek "wormable" is, wat inhoudt dat malware kwetsbare systemen automatisch en zonder menselijke interactie kan infecteren. "DNS is een fundamenteel netwerkonderdeel en vaak geïnstalleerd op domaincontrollers. Een succesvolle aanval kan voor ernstige onderbrekingen zorgen en toegang tot belangrijke domain-accounts geven", aldus een uitleg van het techbedrijf. Microsoft stelt verder dat er nog geen aanvallen bekend zijn die van de kwetsbaarheid misbruik maken, maar dat dit slechts een kwestie van tijd is. Klanten worden dan ook opgeroepen om de beveiligingsupdate zo snel als mogelijk te installeren. Wanneer dit niet mogelijk is kan er een Register-gebaseerde workaround worden doorgevoerd, waarbij het niet nodig is om de server te herstarten. De kwetsbaarheid, aangeduid als CVE-2020-1350, is aanwezig in Windows Server 2003 tot en met 2019. Microsoft werd op 19 mei over het beveiligingslek geïnformeerd. Vanavond zijn er voor Windows Server 2008 en nieuwer beveiligingsupdates verschenen. bron: security.nl

Online veilingsite LiveAuctioneers heeft de persoonlijke data van 3,4 miljoen gebruikers gelekt, die vervolgens te koop werd aangeboden op internet. Volgens de website wist een aanvaller op 19 juni bij een dataverwerker van LiveAuctioneers toegang tot bepaalde gebruikersgegevens te krijgen. Het gaat om namen, e-mailadres, postadressen, telefoonnummers en gehashte wachtwoorden, aldus de verklaring van de veilingsite. De aanvaller kreeg geen toegang tot creditcardgegevens. Vanwege het datalek is besloten om van alle gebruikers de wachtwoorden te resetten. LiveAuctioneers heeft naar eigen zeggen dertien miljoen gebruikers. Vorige week werd gestolen data van 3,4 miljoen gebruikers op internet te koop aangeboden, zo meldt securitybedrijf CloudSEK. Volgens de aanbieder van de gestolen data gaat het om e-mailadressen, gebruikersnamen, voor- en achternaam, adresgegevens en in sommige gevallen ip-adressen. Daarnaast zouden de wachtwoorden met het zwakke MD5-algoritme zijn gehasht, wat eenvoudig te kraken is. Iets wat de verkoper claim te hebben gedaan. Als bewijs werden van 24 gebruikers de gebruikersnaam en het gekraakte wachtwoord getoond. Phil Michaelson, ceo van LiveAuctioneers, noemt het datalek dat bij de externe verwerker plaatsvond "ongelooflijk frustrerend" en "teleurstellend". Ook kondigt hij op Twitter beterschap aan. "We weten dat we beter hadden gekund, hebben al verbeteringen doorgevoerd en zullen meer doen." bron: security.nl

Oracle zal later vandaag de Critical Patch Update van juli uitbrengen waarmee 433 kwetsbaarheden worden verholpen. Niet eerder verhielp het softwarebedrijf in één keer zoveel beveiligingslekken, zo blijkt uit een vooraankondiging van de verzameling beveiligingsupdates die later vandaag verschijnt. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn er in elf producten één of meerdere kwetsbaarheden met een 9,8 aangetroffen. In het geval van Oracles communicatieapplicaties, zoals Analytics, BRM, Services Gatekeeper en Session Border Controller, gaat het om één of meerdere beveiligingslekken die met een 10 zijn beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller op afstand kwetsbare systemen overnemen. De meeste beveiligingslekken zijn in de communicatieapplicaties van Oracle gepatcht, in totaal 58. Daarna volgen Fusion Middleware (53), Oracle MySQL (40), de financiële dienstenapplicaties van Oracle (38) en Oracle E-Business Suite (29). Tevens verschijnen er nieuwe versies van Java waarmee in totaal elf kwetsbaarheden tot het verleden zullen behoren. Vanwege de dreiging van een succesvolle aanval adviseert Oracle klanten om de updates zo snel als mogelijk te installeren. Bij alle voorgaande Critical Patch Updates liet Oracle steeds weten dat het berichten over gecompromitteerde systemen had ontvangen wat kwam doordat klanten beschikbare updates niet hadden geïnstalleerd. In tegenstelling tot veel andere softwarebedrijven brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende en laatste Critical Patch Update van dit jaar staat gepland voor 20 oktober 2020. bron: security.nl

Microsoft Office 365 gaat later dit jaar plustekens in e-mailadressen ondersteunen wat gebruikers onder andere moet helpen bij het maken van wegwerp e-mailadressen en meer inzicht moet geven in hoe er met hun e-mailadres wordt omgegaan. Via het plusteken kunnen gebruikers aanvullende informatie aan hun e-mailadres toevoegen. Iets wat ook wel "subaddressing" en "plus addressing" wordt genoemd. Het e-mailadres gebruikersnaam@example.com is zo uit te breiden met bijvoorbeeld gebruikersnaam+site@example.com. Wanneer een gebruiker zich bijvoorbeeld bij Netflix registreert kan hij in plaats van zijn e-mailadres op te geven een plus-variant gebruiken, zoals gebruikersnaam+netflix@example.com. Zo is het mogelijk om voor elke registratie of nieuwsbrief een apart e-mailadres op te geven. Dit helpt niet alleen bij het filteren van inkomende berichten, de tekst die na het plusteken wordt neergezet kan ook laten zien wanneer websites en bedrijven e-mailadressen van gebruikers aan andere partijen doorspelen of er sprake is van een datalek. Daarnaast kunnen gebruikers het plusteken voor een tijdelijk e-mailadres gebruiken in plaats van hun normale e-mailadres met een partij te delen. De feature wordt al lange tijd door Gmail ondersteund. Gebruikers van Outlook.com kunnen sinds 2013 van het plusteken gebruikmaken. In het derde kwartaal van dit jaar zal ook Office 365 "plus addressing" gaan ondersteunen, zo laat Microsoft weten. bron: security.nl

De Belgische privacytoezichthouder GBA heeft Google een boete van 600.000 euro opgelegd voor het overtreden van het recht op vergetelheid. De uitspraak volgt nadat Google het verzoek van een Belgische burger had afgewezen om verouderde artikelen die zijn reputatie schaden uit de zoekresultaten te verwijderen. Volgens de Gegevensbeschermingsautoriteit (GBA) speelt de burger een rol in het openbare leven in België. Hij had Google gevraagd om de aan zijn naam gekoppelde zoekresultaten uit de Google-zoekmachine te verwijderen. De pagina's die de man uit zoekresultaten wilde hebben gaan over mogelijke banden met een politieke partij die hij ontkent en een pesterijklacht die jaren geleden ongegrond werd verklaard. Google besloot geen van de pagina's uit de zoekresultaten te halen. De GBA stelt dat het in het algemeen belang is dat de pagina's over de vermeende politieke banden van de man, gezien zijn rol in het openbare leven, niet worden verwijderd. Op dit punt kreeg Google dan ook gelijk van de privacytoezichthouder. Wat betreft de pagina over de pesterijklacht had het techbedrijf die wel moeten verwijderen en is het ernstig tekort schoten door dit niet te doen. Volgens de Geschillenkamer was Google bijzonder nalatig, aangezien het bedrijf over bewijzen beschikte dat de feiten irrelevant en verouderd waren. "Bij het recht om vergeten te worden moet een juist evenwicht gevonden worden tussen enerzijds het recht van het publiek op toegang tot informatie en anderzijds de rechten en belangen van de betrokkene", zegt Hielke Hijmans, voorzitter van de Geschillenkamer. Hijmans merkt op dat sommige van de door de klager aangehaalde artikelen als noodzakelijk kunnen worden beschouwd voor het recht op informatie, terwijl andere, die betrekking hebben op onbewezen pesterijen die ongeveer tien jaar oud zijn, in de vergetelheid moeten kunnen raken. "Door deze links - die de reputatie van de klager aanzienlijk kunnen beschadigen - toegankelijk te houden voor de internetgebruiker via hun veelgebruikte zoekmachine, heeft Google duidelijk blijk gegeven van nalatigheid", stelt Hijmans. Google noemde de klacht ongegrond omdat deze tegen Google Belgium is ingediend, terwijl Google LLC in Californië voor de verwerking verantwoordelijk is. De Geschillenkamer van de GBA ging hierin niet mee. Volgens haar zijn de activiteiten van Google Belgium en Google LLC onlosmakelijk met elkaar verbonden en kan de Belgische dochteronderneming zodoende aansprakelijk worden gesteld. Naast de boete van 600.000 euro moet Google ook de pagina's uit de zoekresultaten halen. Verder wil de GBA dat Google de aanvraagformulieren voor verwijdering aanpast zodat het duidelijk is welke entiteit of entiteiten verantwoordelijk zijn voor deze gegevensverwerking. De 600.000 euro is de hoogste boete die de GBA ooit heeft opgelegd. Tot op heden was de hoogste boete die de Geschillenkamer oplegde 50.000 euro. bron: security.nl

Softwarebedrijf SAP heeft een ernstige kwetsbaarheid verholpen die in elke SAP-applicatie aanwezig is die van de SAP NetWeaver Java software stack gebruikmaakt. Het beveiligingslek (CVE-2020-6287) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld en maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid verwacht dat er op korte termijn misbruik van de kwetsbaarheid zal worden gemaakt. SAP Netweaver is een platform voor het draaien van SAP-applicaties. De nu verholpen kwetsbaarheid was aanwezig in de LM Configuration Wizard van de SAP NetWeaver Application Server voor Java. Door een gebrek aan authenticatie is het voor een ongeauthenticeerde aanvaller mogelijk om bij SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien commando's met rechten van het SAP service user account uit te voeren en "high-privileged" gebruikers aan te maken, waardoor er onbeperkte toegang tot het SAP-systeem kan worden verkregen. Verdere technische details zijn nog niet openbaar gemaakt. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, waarschuwt dat de kwetsbaarheid standaard aanwezig is in SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien. Het gaat onder andere om de SAP Enterprise Portal, SAP ERP, SAP S/4HANA en SAP CRM. "Veel SAP applicaties zijn volgens goed gebruik niet publiek toegankelijk. SAP Enterprise Portal is vanwege zijn functie wel publiek toegankelijk. Indien SAP Enterprise Portal geïmplementeerd is op de Netweaver AS, is de kwetsbaarheid dus mogelijk op afstand uit te buiten", laat het NCSC weten. De organisatie merkt op dat er nog geen direct misbruik is waargenomen, maar misbruik wel zeer binnenkort wordt verwacht. De kwetsbaarheid werd gevonden door securitybedrijf Onapsis. Het bedrijf laat aan Threatpost weten dat het minstens 2500 systemen met SAP-applicaties heeft gevonden die vanaf het internet toegankelijk zijn en risico lopen. De kwetsbaarheid is aanwezig in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java. Organisaties met publiek toegankelijke systemen wordt aangeraden om de update binnen 24 uur te installeren. bron: security.nl

Ruim tweeduizend websites met een EV-certificaat waren de afgelopen dagen onbereikbaar doordat certificaatautoriteit DigiCert de certificaten had ingetrokken en de websites geen nieuw certificaat hadden geregeld. Het ging onder andere om websites van banken, overheden en webwinkels, zo meldt internetbedrijf Netcraft. DigiCert besloot zo'n 35.000 EV-certificaten in te trekken omdat die niet in de auditrapporten stonden vermeld. Certificaatautoriteiten geven EV- en tls-certificaten uit, die websites gebruiken om zich tegenover bezoekers te identificeren en het opzetten van een beveiligde verbinding. Jaarlijks moeten certificaatautoriteiten zich door een externe partij laten controleren, waarbij ook uitgegeven certificaten onder de loep worden genomen. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van EV- en tls-certificaten aan hun klanten. DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert. Volgens het bedrijf is er geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen besloot DigiCert al deze intermediate certificaten de komende weken in te trekken, waardoor zo'n 35.000 uitgegeven EV-certificaten ongeldig worden. Afgelopen zaterdag werd de eerste batch certificaten ingetrokken, zo meldt Netcraft. Maandagochtend ontdekte het bedrijf nog 3800 websites die van een EV-certificaat gebruikmaken dat door de getroffen intermediate certificaatautoriteiten is uitgegeven. Van deze websites maakten 2300 gebruik van een al ingetrokken EV-certificaat en waren zodoende onbereikbaar voor bezoekers. Het ging onder andere om websites van Wirecard, The State Bank of India, Rackspace, Authorize.net, ANZ Bank en Telegram. Sommige van de websites zijn op het moment van schrijven nog steeds onbereikbaar. De overige 1500 certificaten moeten nog worden ingetrokken. In eerste instantie rapporteerde DigiCert dat het zo'n 50.000 certificaten ging intrekken. Na verder onderzoek blijkt het om 35.000 geldige certificaten te gaan, die in drie batches worden ingetrokken. De eerste batch van zo'n 26.000 certificaten werd op 11 juli ingetrokken. Op 16 juli volgt de tweede batch van zo'n 4.000 certificaten, gevolgd door een derde batch met een zelfde aantal op 30 juli. bron: security.nl

Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft een Europese norm voor veilige Internet of Things-apparaten gepubliceerd die onder andere moet voorkomen dat op internet aangesloten apparaten onderdeel van een botnet worden of worden gebruikt om mensen in hun eigen woning te bespioneren. ETSI is een standaardiseringsorganisatie voor de telecomindustrie in Europa. Met de norm "EN 303 645" wordt een beveiligingsbasislijn voor IoT-apparaten vastgesteld (pdf). Het gaat onder andere om babymonitors, met internet verbonden rookmelders, ip-camera's, smart tv's, gezondheidstrackers, domotica, alarmsystemen en "connected" witgoed, zoals wasmachines en koelkasten. De standaard omschrijft dertien bepalingen die allerlei aanvallen op IoT-apparaten moeten voorkomen en een einde moeten maken aan veel voorkomende kwetsbaarheden. Het eerste punt dat in de norm wordt genoemd is een verbod op universele standaard gebruikersnamen en wachtwoorden. Elk IoT-apparaat moet over een uniek wachtwoord beschikken of over een wachtwoord dat de gebruiker kan instellen. IoT-fabrikanten moeten verder een "vulnerability disclosure policy" publiceren, zodat onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Ook moet alle software van het IoT-apparaat op een veilige manier kunnen worden geüpdatet. Voor gebruikers moet het eenvoudig zijn om een update toe te passen, waarbij er voor software-updates een automatische updatefunctie gebruikt zou moeten worden. Daarnaast moeten zaken als root keys, credentials en andere "security parameters" op een veilige manier zijn opgeslagen, communiceert het IoT-apparaat alleen via een beveiligd kanaal, zijn alle ongebruikte interfaces standaard uitgeschakeld, maakt het apparaat gebruik van secure boot, is het eenvoudig voor gebruikers om gebruikersgegevens te verwijderen, is installatie en beheer van het apparaat eenvoudig en valideert het IoT-apparaat alle invoerdata. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, was bij de ontwikkeling van de norm betrokken en werkt nu met verschillende partners samen aan het opzetten van een testspecificatie, zodat de bepalingen van de nieuwe norm op gestructureerde wijze zijn te testen. Fabrikanten kunnen dan laten zien dat hun apparatuur aan de norm voldoet. bron: security.nl

Een nieuwe variant van de Trickbot-malware waarschuwt slachtoffers onbedoeld dat hun computer is besmet. Vermoedelijk hebben de ontwikkelaars per ongeluk een testmodule toegevoegd die de waarschuwing toont, zo stelt beveiligingsonderzoeker Vitali Kremez van securitybedrijf Advanced Intelligence. De Trickbot-malware wordt verspreid via e-mailbijlagen en is ontwikkeld om allerlei gegevens van systemen te stelen en aanvullende malware te installeren. Verschillende aanvallen met de Ryuk-ransomware werden via Trickbot uitgevoerd. De ontwikkelaars hebben een nieuwe variant van een module voorzien waarmee data uit Google Chrome, Internet Explorer, Mozilla Firefox en Microsoft Edge kan worden gestolen. Het gaat onder andere om cookies, geschiedenis en bepaalde bestanden. Zodra de module wordt geactiveerd toont die echter een waarschuwing in de browser van het slachtoffer met de boodschap. "Warning: You see this message because the program named grabber gathered some information from your browser." Vervolgens wordt gebruikers aangeraden om hun systeembeheerder te informeren. Eind juni stelde een door Trickbot getroffen gebruiker nog op Reddit en Twitter de vraag waarom hij deze melding te zien kreeg. Volgens Kremez, die al geruime tijde de ontwikkelingen van Trickbot monitort, gaat het hier waarschijnlijk om een testmodule die onbedoeld aan de malware is toegevoegd. Gebruikers die een dergelijke melding te zien krijgen wordt aangeraden om de computer meteen van het internet los te koppelen, wachtwoorden te wijzigen en ingelogde sessies te resetten om het hergebruik van gestolen cookies te voorkomen. bron: security.nl

Er is een beveiligingsupdate verschenen voor een ernstige kwetsbaarheid in Zoom voor Windows. Via het beveiligingslek is het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren bij Zoom-gebruikers op Windows 7 en ouder. De kwetsbaarheid werd donderdag door een securitybedrijf aan Zoom gerapporteerd, dat het eerder deze week van een anonieme beveiligingsonderzoeker had ontvangen. Details over de kwetsbaarheid zijn nog niet openbaar gemaakt, behalve dat voor het uitvoeren van de aanval gebruikers eerst een bepaalde actie moeten uitvoeren, zoals het openen van een document. Gisterenavond maakte Zoom bekend dat de kwetsbaarheid in Zoom 5.1.3 voor Windows is verholpen, zo meldt de Daily Dot. Gebruikers krijgen het advies om naar deze versie te updaten. Dit kan door vanuit Zoom op updates te controleren of de laatste versie via Zoom.us te downloaden. Microsoft heeft de algemene ondersteuning van Windows 7 op 14 januari van dit jaar gestopt. Organisaties kunnen echter een apart onderhoudscontract afsluiten waarbij het besturingssysteem tot januari 2023 van beveiligingsupdates wordt voorzien. Volgens StatCounter draait zo'n twintig procent van de Windows-desktops nog op Windows 7. Net Applications komt uit op 27 procent, wat inhoudt dat het nog om miljoenen computers gaat. bron: security.nl

Mozilla heeft besloten om de levensduur van tls-certificaten te verkorten van 825 naar 398 dagen, wat volgens de Firefox-ontwikkelaar helpt bij het beschermen van https-verbindingen. Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd. Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, willen de levensduur naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen. Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Mozilla heeft nu meer uitleg gegeven waarom het vanaf 1 september het nieuwe beleid invoert. De eerste reden is dat het ervoor moet zorgen dat er sneller op beveiligingsincidenten kan worden gereageerd en veiligere technologie sneller kan worden doorgevoerd. Een kortere levensduur zorgt ervoor dat certificaten sneller worden vervangen. Als voorbeeld noemt Mozillas Ben Wilson het uitfaseren van certificaten met een MD5-gebaseerde handtekening. Het MD5-algoritme werd uitgefaseerd omdat het niet meer veilig genoeg was. Het uitfaseringsproces duurde vijf jaar, omdat certificaten op dat moment een levensduur van maximaal vijf jaar hadden. Het uitfaseren van certificaten met SHA-1-gebaseerde handtekeningen nam drie jaar in beslag, omdat de levensduur van tls-certificaten op dat moment al naar drie jaar was teruggebracht. "Zwaktes in hashing-algoritmes kunnen tot situaties leiden waarbij aanvallers certificaten kunnen vervalsen, dus gebruikers liepen jaren risico nadat collision-aanvallen tegen deze algoritmes haalbaar bleken te zijn", merkt Wilson op. Een tweede reden is dat de privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans lopen om te worden gecompromitteerd. Een aanvaller die een privésleutel weet te compromitteren kan https-verkeer onderscheppen of websites imiteren totdat het tls-certificaat verloopt. Wilson stelt dat het een goede "security practice" is om sleutelparen geregeld te vervangen, wat gebeurt bij het aanvragen van een nieuwe certificaat. Wanneer certificaten een jaar geldig zijn zullen dus ook vaker de sleutels worden vervangen. De derde en laatste reden die Wilson geeft is dat domeinen van eigenaar kunnen verwisselen. Wanneer de vorige eigenaar voor het domein een tls-certificaat had aangevraagd kan hij zich als de website blijven voordoen totdat het certificaat verloopt. Voorstel Er is nu een tweede voorstel bij het CA/B Forum ingediend om de levensduur van tls-certificaten naar 398 dagen te verkorten. Volgens Mozilla zijn er twee uitkomsten. Of het voorstel wordt geaccepteerd en zal dan automatisch gelden voor de Root Store Policy van Mozilla. De policy omschrijft hoe Mozilla met certificaten en certificaatautoriteiten omgaat. Wanneer het voorstel weer wordt afgewezen zal Mozilla de Root Store Policy via het gebruikelijke wijzigingsproces gaan doorvoeren, waarbij er via een mailinglist eerst een discussie over de voorgestelde wijziging plaatsvindt. Uit onderzoek van Mozilla blijkt dat alle certificaatautoriteiten die aan Mozillas root-programma deelnemen van plan zijn om vanaf 1 september alleen nog certificaten uit te gaan geven die maximaal 398 dagen geldig zijn. bron: security.nl

Een ernstige kwetsbaarheid in de Zoom-client voor Windows 7 en ouder maakt remote code execution mogelijk en een beveiligingsupdate is nog niet beschikbaar. Dat meldt securitybedrijf Acros Security, dat geen technische details wil delen totdat Zoom een patch heeft uitgerold. Zoom-gebruikers op Windows 8 en nieuwer lopen in ieder geval geen risico. Een beveiligingsonderzoeker die anoniem wil blijven deelde de kwetsbaarheid eerder deze week met het securitybedrijf, zo stelt Mitja Kolsek van Acros Security. Via het beveiligingslek kan een aanvaller willekeurige code uitvoeren door de gebruiker bepaalde acties uit te laten voeren, zoals het openen van een document. Het securitybedrijf heeft de kwetsbaarheid gisteren bij Zoom gerapporteerd, aangezien de onderzoeker dit niet had gedaan. Zoom heeft het beveiligingslek inmiddels ook bevestigd. "We hebben een melding ontvangen van een probleem dat gebruikers op Windows 7 en ouder raakt. We hebben dit probleem bevestigd en werken op dit moment aan een patch om het te verhelpen", aldus een woordvoerder tegenover Threatpost. bron: security.nl

Microsoft waarschuwt gebruikers van Office 365 voor phishingaanvallen via malafide apps, waarbij multifactorauthenticatie wordt omzeild, slachtoffers niet hun inloggegevens op een phishingpagina hoeven in te voeren en het wijzigen van wachtwoorden niet voldoende is om aanvallers de toegang tot het account te ontzeggen. Microsoft biedt externe ontwikkelaars de mogelijkheid om webapps voor Office 365-gebruikers te ontwikkelen die aanvullende functionaliteit bieden. Aanvallers maken hier misbruik van om via malafide apps toegang tot accounts te krijgen. De aanval begint met het registreren van een malafide webapp bij een OAuth 2.0 provider, zoals Azure Active Directory. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen zonder dat die hiervoor hun wachtwoord hoeven af te staan. De webapps hoeven daarnaast niet door Microsoft te zijn goedgekeurd. Vervolgens sturen de aanvallers een e-mail die lijkt te linken naar een document. De link in de e-mail komt uiteindelijk uit op login.microsoftonline.com, de echte inlogpagina van Microsoft. De gebruiker logt daar in en krijgt vervolgens een prompt te zien waarin wordt gevraagd of hij de malafide webapp toegang tot zijn account wil geven. Wanneer de gebruiker dit toestaat ontvangt de app een autorisatiecode die wordt ingewisseld voor een toegangstoken. Met dit toegangstoken is het mogelijk om data in het account van de gebruiker te benaderen, zoals e-mail, contacten, bestanden en notities. Daarnaast kan de aanvaller instellen om ontvangen e-mail naar een ander adres door te sturen. Hoewel de link in de e-mail naar login.microsoftonline.com wijst of hier uitkomt, bevat die ook een element genaamd "redirect_uri". Dit is de locatie waar onder andere de tokens naar worden toegestuurd. Hierbij geven de aanvallers hun domeinnaam op, die vaak "office" in de naam heeft. De aanvaller krijgt bij deze aanval niet het wachtwoord van de gebruiker in handen en kan ook geen e-mail in diens naam versturen. Wel is er uitgebreide toegang tot het account. Het wijzigen van het wachtwoord is dan ook niet voldoende om de toegang tot het account te ontzeggen. Hiervoor moet de malafide app van het account worden losgekoppeld. "Microsoft staat het toe om buiten de Office Store om Office 365 Add-Ins en Apps via side loading te installeren, waardoor er geen enkele controle plaatsvindt. Dit houdt in dat een aanvaller een kwaadaardige app kan aanbieden aan elke gebruiker die op een link klikt en de gevraagde permissies toestaat", zegt Michael Tyler van securitybedrijf PhishLabs. Volgens Elmer Hernandez van securitybedrijf Cofense laten deze aanvallen zien hoe aanvallers zich aanpassen. Het is niet meer nodig om inloggegevens te compromitteren en daarnaast wordt multifactorauthenticatie omzeild. "Het zijn gebruikers die nietsvermoedend aanvallers toegang tot hun data geven", merkt Hernandez op. Eerder deze week liet Microsoft weten dat het zes domeinen had overgenomen die aanvallers bij dergelijke aanvallen gebruikten. Vorige maand maakte de Australische overheid nog bekend dat overheidsdiensten en bedrijven in het land het doelwit van aanvallen waren. Ook bij deze aanvallen werd er van malafide webapps gebruikgemaakt om toegang tot Office 365-accounts te krijgen. bron: security.nl

Firefox krijgt de optie om wachtwoorden straks als CSV-bestanden te importeren en exporteren, zo heeft Mozilla bekendgemaakt. Dit moet gebruikers meer controle over hun inloggegevens geven, aldus de browserontwikkelaar. De optie om in Firefox opgeslagen wachtwoorden als CSV-bestand te exporteren is nu beschikbaar in de "Nightly-versie" van Firefox en zal met de release van Firefox 79 voor het grote publiek beschikbaar komen. Deze versie staat gepland voor 28 juli. Daarnaast werkt Mozilla aan de mogelijkheid om wachtwoorden in CSV-bestanden in de browser te importeren. Vooralsnog lijkt de importfunctie alleen te gaan werken voor CSV-bestanden die uit Firefox zelf, Google Chrome en wachtwoordmanager Bitwarden afkomstig zijn. Deze feature staat gepland voor Firefox 80, die op 25 augustus moet uitkomen. bron: security.nl

Aanvallers hebben een manier gevonden om de mitigatiemaatregelen voor een ernstige kwetsbaarheid in BIG-IP-systemen van fabrikant F5 te omzeilen en maken hier actief misbruik van. Op 1 juli kwam F5 met beveiligingsupdates voor een ernstig beveiligingslek in de BIG-IP-software waardoor aanvallers systemen op afstand kunnen overnemen. Voor organisaties die nog niet konden updaten kwam F5 met tijdelijke mitigatiemaatregelen die bescherming zouden moeten bieden. De mitigatie bestond onder andere uit het aanpassen van httpd waarbij er een zogeheten "LocationMatch configuration element" werd toegevoegd. Daarmee moet worden voorkomen dat ongeauthenticeerde aanvallers toegang krijgen tot de configuratietool die voor het configureren van de BIG-IP wordt gebruikt. Het door F5 opgegeven element LocationMatch ".*\.\.;.*" is echter onvolledig en kan door aanvallers worden omzeild, zo laat F5 in een update weten. Daarin wordt nu geadviseerd om van LocationMatch ";" gebruik te maken. Securitybedrijf NCC Group meldde gisteren al dat aanvallers de mitigatiemaatregelen omzeilden om zo kwetsbare systemen alsnog aan te vallen. Volgens NCC Group blijkt uit gegevens dat van tienduizend via het internet toegankelijke F5-apparaten er zesduizend door de bypass potentieel weer kwetsbaar zijn. Beveiligingsonderzoekers van securitybedrijf CriticalStart hebben een demonstratie online gezet hoe de mitigatiemaatregelen zijn te omzeilen. Organisaties krijgen dan ook het advies om de updates te installeren of de nieuwe mitigatie door te voeren. bron: security.nl

Microsoft heeft via een gerechtelijk bevel de controle gekregen over zes domeinen die werden gebruikt voor phishingaanvallen op Microsoft Office 365-gebruikers met als doel het plegen van BEC-fraude (pdf). In tegenstelling tot de meeste phishingaanvallen die wijzen naar een phishingsite maakten de aanvallers achter deze domeinen gebruik van malafide webapplicaties. Slachtoffers ontvingen e-mails die zogenaamd van hun werkgever of andere legitieme partij afkomstig leken met als onderwerp dat het bestand "COVID-19 Bonus.xlsx" met hen was gedeeld. De link in de e-mail wees echter naar een malafide webapplicatie die toegang tot het Microsoft Office 365-account van de gebruiker vroeg. Wanneer de gebruiker deze toegang verleende kregen de aanvallers controle over e-mail, contacten, notities en andere content die via het account toegankelijk is. "Deze aanval maakte ongeautoriseerde toegang mogelijk zonder dat slachtoffers hun inloggegevens op een nepwebsite moesten invullen, zoals bij meer traditionele phishingcampagnes het geval is", zegt Microsofts Tom Burt. Microsoft Office 365-gebruikers in 62 landen waren het doelwit van de phishingmails. De aanvallers achter deze campagne gebruikten de gecompromitteerde accounts voor het plegen van BEC-fraudes. BEC staat voor business e-mail compromise en omvat onder andere ceo-fraude. Via de gekaapte accounts sturen de aanvallers bijvoorbeeld verzoeken naar leveranciers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van de aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. Microsoft stelt dat het maatregelen neemt om malafide webapplicaties tegen te gaan, maar dat wanneer criminelen die weten te omzeilen aanvullende acties nodig zijn, zoals de juridische stappen in deze zaak. bron: security.nl