Captain Kirk

Organisaties die van plan zijn om clouddiensten in te kopen moeten vooraf vijf maatregelen treffen om onbeheerste risico's te voorkomen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet. Volgens het NCSC blijkt in de praktijk dat organisaties clouddiensten regelmatig niet veilig inkopen, wat leidt tot onbeheerste risico's. Deze risico's zijn na het inkopen deels nog wel te verhelpen, maar voor een aantal maatregelen geldt dat die alleen effectief zijn als ze vooraf getroffen worden. "Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan", stelt het NCSC. Wanneer organisaties geen aanvullende maatregelen voor veilig cloudgebruik treffen, loopt de organisatie een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving. Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang. Daarmee worden risico's verholpen die na het sluiten van de overeenkomst met de cloudaanbieder nog nauwelijks te verhelpen zijn, aldus het NCSC. De overheidsdienst merkt op dat de opsomming van genoemde maatregelen niet volledig is. Zo zijn er veel meer maatregelen die genomen kunnen worden. Daarnaast kunnen er binnen organisaties aanvullende belangen of beveiligingsbehoeften spelen wanneer er voor de cloud wordt gekozen. bron: security.nl

Het op privacy gerichte sociale netwerk True heeft door een fout de persoonlijke data van gebruikers gelekt. Een dashboard voor één van de databases van de app was sinds begin september voor iedereen op internet zonder wachtwoord toegankelijk. Zo was het mogelijk om allerlei gegevens van gebruikers te vinden, aldus TechCrunch. Het ging om e-mailadressen, telefoonnummer, inhoud van privéberichten, berichten tussen gebruikers, locatiegegevens en e-mailadressen en telefoonnummers die door gebruikers zelf waren geüpload om contacten op het sociale netwerk te vinden. Ook access tokens waren via het dashboard te achterhalen, waarmee er toegang tot accounts van gebruikers kon worden gekregen. Daarnaast bevatte het dashboard eenmalige inlogcodes die True naar het e-mailadres of telefoonnummer van een account verstuurt in plaats van het opslaan van wachtwoorden. True laat aan gebruikers weten dat als ze hun account verwijderen al hun content direct van de servers wordt verwijderd, maar dat bleek niet het geval te zijn. Privéberichten, berichten en foto's bleken na het opheffen van een account nog steeds via het dashboard te bekijken. True heeft het datalek tegenover TechCrunch bevestigd en het dashboard inmiddels beveiligd. Het sociale netwerk stelt dat het ontworpen is om de privacy van gebruikers te beschermen. De Android-app van True heeft meer dan 500.000 downloads. Van hoeveel gebruikers de gegevens via het dashboard toegankelijk waren is onbekend. bron: security.nl

De afgelopen weken hebben wereldwijd overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid, gewaarschuwd voor de Emotet-malware. De makers van de beruchte malware gaan echter onverstoord verder met hun aanvalscampagnes en proberen internetgebruikers nu via een zogenaamde Word-upgrade te infecteren. Net als bij voorgaande aanvallen wordt Emotet via kwaadaardige macro's in Microsoft Office-documenten geïnstalleerd. Het uitvoeren van macro's wordt standaard in Office geblokkeerd. Om gebruikers macro's toch in te schakelen hebben de Emotet-ontwikkelaars in het verleden al allerlei manieren geprobeerd. Zo kregen gebruikers bijvoorbeeld onleesbare tekst te zien en moesten macro's worden ingeschakeld om de tekst leesbaar te maken. Bij de nieuwste aanvallen krijgen gebruikers het verzoek om hun versie van Microsoft Word te upgraden, gevolgd door instructies om macro's in te schakelen. Hoewel het om een melding van Office lijkt te gaan, is het een truc van de aanvallers, zo meldt antimalwarebedrijf Malwarebytes. Gebruikers wordt aangeraden om alert te blijven op phishingmails en andere berichten met bijlagen, zelfs als die van een bekend contact of collega afkomstig zijn. Emotet maakt namelijk misbruik de contactenlijst van gecompromitteerde systemen om nieuwe slachtoffers te maken. bron: security.nl

Een ernstige kwetsbaarheid in Oracle WebLogic Server waardoor systemen op afstand zijn over te nemen wordt actief aangevallen. Acht dagen geleden bracht Oracle een beveiligingsupdate voor het lek uit. De kwetsbaarheid, aangeduid als CVE-2020-14882, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Een ongeauthenticeerde aanvaller kan door het versturen van een enkel GET-request de server overnemen. Volgens het Amerikaanse National Institute of Standards and Technology (NIST) gaat het om een zeer eenvoudig te misbruiken beveiligingslek. Gisteren verscheen er een analyse van de kwetsbaarheid online en niet veel later werden de eerste aanvallen waargenomen die op deze analyse zijn gebaseerd, zo meldt het Internet Storm Center. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware. Het doel van de nu waargenomen aanvallen is nog onbekend. Begin dit jaar werd een andere kwetsbaarheid in WebLogic twee weken na het uitkomen van de update aangevallen. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om beveiligingsupdates direct te installeren en ondersteunde versies van de software te blijven gebruiken. bron: security.nl

Gebruikers van Mozilla Firefox kunnen straks voor geïnstalleerde extensies aanvullende permissies toestaan, waardoor extra functionaliteit mogelijk wordt. Dit moet gebruikers meer controle geven. Firefox-gebruikers die nu een extensie installeren krijgen eerst een overzicht te zien van permissies waar de extensie om vraagt, bijvoorbeeld toegang tot het clipboard. Met de lancering van Firefox 84 zullen permissies worden opgedeeld in vereiste en optionele permissies. De vereiste permissies zijn nodig om de extensie te laten werken. Via de optionele permissies kan extra functionaliteit in de extensie worden ingeschakeld. Deze permissies kunnen op elk moment worden toegestaan en ingetrokken. De optie is nu beschikbaar in een testversie van Firefox 84. De release-versie van Firefox 84 staat gepland voor 15 december van dit jaar. bron: security.nl

NAS-systemen van fabrikant QNAP zijn kwetsbaar voor remote command injection waardoor een aanvaller op afstand commando's op de apparaten kan uitvoeren. QNAP heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Dat wordt veroorzaakt door twee kwetsbaarheden, aangeduid als CVE-2020-2490 en CVE-2020-2492. Technische details, zoals wat een aanvaller zou moeten doen om de kwetsbaarheden uit te kunnen buiten, worden niet gegeven. QNAP laat alleen weten dat het om twee command injection-kwetsbaarheden gaat waardoor een remote aanvaller willekeurige commando's kan uitvoeren. De beveiligingslekken zijn verholpen in QTS 4.4.3.1421 build 20200907 en nieuwer. QTS is het besturingssysteem dat op de NAS-systemen draait. Updaten kan via de updatefunctie van QTS en de QNAP-website. bron: security.nl

Microsoft is begonnen met de uitrol van een update die Adobe Flash Player van pc's verwijdert. Na de installatie van de update is het niet meer mogelijk om Flash Player te installeren. Adobe maakte al drie jaar geleden bekend dat het de ondersteuning van de browserplug-in dit jaar stopt. Er zullen dan geen beveiligingsupdates meer voor Flash Player verschijnen. Microsoft heeft Flash Player in Edge Legacy, Chromium Edge en Internet Explorer 11 ingebouwd en zal na december 2020 ook geen beveiligingsupdates meer voor de browserplug-in uitbrengen en die uit de eigen browsers verwijderen. Eerder dit jaar kondigde het techbedrijf een update aan die Flash Player uit de verschillende browsers zal verwijderen. In eerste instantie is de update optioneel. Deze optionele update, KB4577586, wordt nu aangeboden via de Microsoft Update Catalog, zodat gebruikers en organisaties kunnen onderzoeken wat het verwijderen van Flash Player voor gevolgen heeft. De update kan na installatie niet worden verwijderd. Wanneer Flash Player toch nog nodig blijkt te zijn moeten gebruikers hun systeem naar een eerder herstelpunt terugzetten of Windows opnieuw installeren. Bleeping Computer en Born City melden dat de update alleen de Flash Player-versie verwijdert die standaard met Windows 8.1 en 10 wordt meegeleverd. De versie in Microsoft Edge blijft echter aanwezig, wat ook geldt voor los geïnstalleerde versies van de browserplug-in. Planning Het uitfaseren van Flash Player vindt gefaseerd plaats. In januari 2021 zal Microsoft Flash Player-versies van voor juni 2020 standaard in Edge Legacy en IE11 blokkeren. Tevens zal Flash Player deze maand uit Chromium Edge verdwijnen, de nieuwe Edge-versie gebaseerd op de open source Chromium-browser. Volgend jaar zomer wordt de update die Flash Player uit Edge Legacy en IE11 verwijdert onder gebruikers van Windows 10, Windows 8.1, Windows Server 2012 en Windows Embedded 8 uitgerold. Voor bedrijven die van Flash Player gebruik willen blijven maken biedt Microsoft de optie om de plug-in via de Internet Explorer-mode van Edge Legacy te laden. Ook IE11 zal dit mogelijk maken. bron: security.nl

Onderzoekers van de Technische Universiteit Eindhoven (TU/e) hebben een online marktplaats bestudeerd waar uitgebreide gestolen profielgegevens worden verhandeld. Met de gegevens kunnen criminelen risk-based authentication (RBA)-systemen omzeilen en zo in naam van slachtoffers bijvoorbeeld online aankopen doen. Internetbedrijven gebruiken risk-based authentication (RBA) om te bepalen of een gebruiker alleen met een wachtwoord moet inloggen of dat tweefactorauthenticatie is vereist. Hiervoor wordt er naar verschillende eigenschappen van de gebruiker die wil inloggen gekeken, zoals zijn browser, locatie en taalinstellingen. Het systeem maakt hiervan een "fingerprint" en wanneer de gebruiker een volgende keer inlogt wordt de huidige fingerprint met de eerder opgeslagen fingerprint vergeleken. Is de fingerprint de tweede keer gelijk, dan weet het RBA-systeem dat het om dezelfde gebruiker gaat en laat hem alleen via een wachtwoord inloggen. Wanneer de verschillen te groot zijn zal het RBA-systeem de gebruiker via tweefactorauthenticatie laten inloggen. Onderzoekers van de TU/e onderzochten een marktplaats die dergelijke fingerprints aanbiedt. Ook wel "Impersonation-as-a-Service" (IMPaaS) genoemd. Op deze marktplaats, waarvan de naam niet wordt genoemd, werden 260.000 gebruikersprofielen gevonden. Naast gestolen inloggegevens gaat het ook om de user-agent, systeemtijd, besturingssysteem, taalinstellingen, keyboardindeling, geïnstalleerde fonts en plug-ins, muisbewegingen, geolocatie en snelheid van toetsaanslagen. De data wordt verzameld via malware op het systeem van het slachtoffer. De IMPaaS-marktplaats biedt klanten een softwarebundel die bestaat uit een browser en een browserextensie waarmee criminelen gekochte gebruikersprofielen op het betreffende platform kunnen gebruiken. De geleverde software imiteert de omgeving van het slachtoffer. Via proxydiensten wordt de gebruikelijke locatie van het slachtoffer gespooft, zo laten de onderzoekers weten. Op deze manier kan de crimineel, die ook het wachtwoord van het slachtoffer bezit, het RBA-systeem omzeilen en op het account van het slachtoffer inloggen, zonder dat hiervoor tweefactorauthenticatie is vereist. De prijs van van de gebruikersprofielen varieert van 1 dollar tot ongeveer 100 dollar. "Impersonation-as-a-Service is een extra onderdeel van de cybercrime-economie, dat een systematisch model biedt om aan gestolen inloggegevens en profielen te verdienen", zo concluderen de onderzoekers in hun paper (pdf). Het onderzoek wordt tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt, gepresenteerd. bron: security.nl

Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA. "Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder. Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt. Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep. bron: security.nl

Nitro Software, ontwikkelaar van de Nitro PDF Reader en software voor het signeren van pdf-documenten, is getroffen door een datalek dat mogelijk ook gevolgen voor Amazon, Apple, Google en Microsoft heeft. In een bericht van 21 oktober aan de Australian Securities Exchange (ASX) laat de softwareontwikkelaar weten dat een ongeautoriseerde derde partij toegang heeft gekregen tot een database van het bedrijf. De betreffende database zou worden gebruikt voor het ondersteunen van verschillende online Nitro-diensten, en dan met name de gratis diensten die Nitro aanbiedt. "De database bevat geen documenten van gebruikers of klanten", aldus Nitro Software. Er is ook geen bewijs gevonden dat er gevoelige of financiële data van klanten is getroffen. Toezichthouders zijn over het incident ingelicht, maar verdere details worden niet door Nitro gegeven. Securitybedrijf Cyble claimt dat de database door een aanvaller wordt verkocht, alsmede één terabyte aan documenten die uit de clouddienst van Nitro zijn gestolen, zo meldt Bleeping Computer. Het zou onder andere om documenten van Apple, Amazon, Google en Microsoft gaan. Of het daadwerkelijk om documenten van de techbedrijven gaat is op het moment nog niet bevestigd. bron: security.nl

Dertien jaar geleden startte de Zwitserse beveiligingsonderzoeker Roman Hüssy Abuse.ch, een platform waar allerlei informatie over malware en botnets is te vinden, waaronder trackers die botnetservers in kaart brengen. Om Abuse.ch voort te kunnen zetten is echter geld nodig, zo laat Hüssy vandaag weten. Abuse.ch werd jaren geleden mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Bij de recente operatie van Microsoft tegen het Trickbotnet-botnet werd Abuse.ch nog geregeld genoemd. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Volgens Hüssy is het beheer van het platform een uitdaging geworden, niet per se vanuit een technisch oogpunt, maar voornamelijk door de kosten van de infrastructuur en vereiste kennis voor bigdata-analyse. Om de toekomst van Abuse.ch veilig te stellen wil de Zwitserse beveiligingsonderzoeker er een onderzoeksproject van maken. Zodoende kan hij financiering van derde partijen ontvangen en mogelijk beroep doen op onderzoeksbeurzen. Ook wordt het mogelijk om iemand aan te nemen die het werk van Hüssy aan Abuse.ch gaat ondersteunen. Er gelden echter enkele voorwaarden om van Abuse.ch een onderzoeksproject te kunnen maken en één daarvan is dat Hüssy bij een universiteit aan de slag gaat en hij voor die functie financiering vindt. Hüssy stapte naar verschillende grote organisaties die van de data van Abuse.ch gebruikmaken met het verzoek om hem te helpen. Hij ontving echter geen toezeggingen. Daarom zag hij zich naar eigen zeggen genoodzaakt om nu een openbare oproep te doen. De Zwitser hoopt voor het einde van dit jaar voldoende geld binnen te halen om van Abuse.ch een onderzoeksproject te maken. Mocht dat niet lukken dan zal hij niet meteen op 1 januari 2021 de stekker uit het platform trekken, maar kan hij ook geen beloftes over de toekomst van Abuse.ch maken. bron: security.nl

De Franse ict-dienstverlener Sopra Steria heeft vandaag bevestigd dat de systemen door de Ryuk-ransomware zijn getroffen. Vorige week liet het bedrijf weten dat het op 20 oktober slachtoffer van een cyberaanval was geworden. Verdere details werden echter niet gegeven. In de Franse media werd echter gesteld dat het om een aanval met de Ryuk-ransomware ging. Nu meldt de ict-dienstverlener, die vorig jaar een omzet van 4,4 miljard euro had, dat systemen met de Ryuk-ransomware zijn besmet. "Het gaat om een nieuwe versie van de Ryuk-ransomware, die onbekend was voor antivirusbedrijven en beveiligingsinstanties", zo laat de vandaag verschenen verklaring weten. Naar aanleiding van de aanval werd een onderzoek ingesteld. Daaruit blijkt dat de systemen van Sopra Steria al een aantal dagen waren gecompromitteerd voordat de ransomware werd uitgerold. Verder zijn er geen aanwijzingen gevonden dat de aanvallers gegevens hebben buitgemaakt of dat de systemen van klanten van Sopra Steria zijn getroffen. Vandaag is de ict-dienstverlener begonnen met het geleidelijk herstarten van de systemen en operaties van de groep. Naar verwachting zal het nog wel "enkele weken" duren voordat alles weer normaal bij het bedrijf is. Hoe de aanvallers toegang tot de systemen konden krijgen en of er losgeld is betaald laat Sopra Steria niet weten. De Ryuk-ransomware is in het verleden onder andere via de Trickbot-malware geïnstalleerd, die zich weer via macro's in Microsoft Office-documenten kan verspreiden. bron: security.nl

Een spamcampagne op Facebook probeert gebruikers via allerlei links het slachtoffer van helpdeskfraude te laten worden, zo hebben onderzoekers van antimalwarebedrijf Malwarebytes ontdekt. Volgens onderzoeker Jerome Segura is het vrij bijzonder dat het sociale netwerk voor helpdeskfraude wordt gebruikt, aangezien deze vorm van cybercrime meestal via malafide advertenties plaatsvindt. Hoe de links precies via Facebook worden verspreid is nog onbekend. Mogelijk dat bepaalde apps op het platform hierbij zijn betrokken. Wel is duidelijk dat de links in kwestie naar een verkorte bit.ly-link wijzen, die weer wijst naar een Peruaanse nieuwssite. Deze nieuwssite bevat een open redirect waar de oplichters gebruik van maken om slachtoffers naar de uiteindelijke malafide pagina door te sturen. Doordat de bit.ly-link naar een legitieme nieuwssite wijst krijgt de url meer legitimiteit, stelt Segura. De uiteindelijke malafide pagina is een "browser locker" die een zogenaamde scan van de computer laat zien, alsmede een melding dat er malware is aangetroffen en alle data op de harde schijf wordt verwijderd. Om het probleem te verhelpen moet het opgegeven telefoonnummer worden gebeld. Browser lockers maken vaak gebruik van bijvoorbeeld JavaScript om te voorkomen dat gebruikers eenvoudig de browser of de geopende tab kunnen sluiten. Het opgeven telefoonnummer is van helpdeskfraudeurs die het slachtoffer toegang tot het systeem vragen en vervolgens hoge kosten in rekening brengen voor het verhelpen van niet bestaande problemen. bron: security.nl

De Intel hoeft ook niet per se een laptop of computer te zijn. Tegenwoordig zijn er meer apparaten met je router verbonden. Wanneer ik alleen al naar mijn eigen situatie kijk: Mediabox,Smart-tv, thermostaat, huisalarm. Alleen het konijn is geloof ik nog niet met internet verbonden. Beste doen wat Stegisoft al eerder adviseerde: kijk eens in het logbestand van je router.

Mozilla is in Firefox Nightly een test gestart met een nieuwe beveiligingsmaatregel die gebruikers tegen misbruik van kwetsbaarheden moet beschermen. De maatregel heet Fission en is Mozillas implementatie van Site Isolation. Site Isolation zorgt ervoor dat webpagina's en webframes in aparte sandboxes worden geladen, zodat ze van elkaar gescheiden zijn. Websites horen niet bij de data van andere websites te kunnen, Sommige kwetsbaarheden in Firefox maken het echter mogelijk voor aanvallers om via een malafide of gecompromitteerde site toch data van andere of recent geopende websites te benaderen. Site Isolation, dat ook in Google Chrome aanwezig is, moet dit voorkomen door elke geopende website in een apart proces uit te voeren, afgesloten van andere websites. De maatregel is nu beschikbaar voor gebruikers van Firefox Nightly, een testversie van de browser, zo laat Mozilla weten. Voor een deel van de gebruikers staat de optie standaard ingeschakeld. Andere Nightly-gebruikers kunnen Fission zelf inschakelen via about:preferences#experimental in de adresbalk. Wanneer Fision precies in de definitieve versie van Firefox verschijnt is nog niet bekend. bron: security.nl

Er is een sterke toename van het aantal mensen dat via social media wordt opgelicht, zo laat de Amerikaanse toezichthouder FTC weten. In de eerste zes maanden van dit jaar ontving de FTC 24.700 meldingen van slachtoffers die door een scam die op social media startte hun geld verloren. In de eerste zes maanden van 2019 ging het nog om 8400 meldingen, terwijl het totaal aantal voor 2019 op 23.400 meldingen uitkwam. Ook het schadebedrag is explosief gestegen. Dat bedroeg in de eerste helft van vorig jaar 48 miljoen euro. Voor heel 2019 kwam de schade uit op 134 miljoen euro. In de eerste zes maanden van dit jaar rapporteerden slachtoffers een schadebedrag van 117 miljoen euro. De meeste klachten gaan over advertenties voor online producten die op social media worden getoond en na te zijn besteld niet worden geleverd. Van de slachtoffers die het betreffende socialmediaplatform in hun klacht noemden gebruikte 94 procent Facebook of Instagram. Andere veelgenoemde scams die op social media beginnen zijn datingfraude, zogenaamde financiële compensatie voor bijvoorbeeld mensen die hun baan verloren en manieren om geld te verdienen, zoals pyramidespellen. Bijna de helft van alle datingfraude die sinds 2019 bij de FTC werd gemeld begon op social media, meestal Facebook of Instagram. bron: security.nl

Google heeft een nieuwe beschermingsmaatregel aan Chrome 86 toegevoegd die voor phishing, malware en zogenaamde systeemmeldingen gebruikte notificaties moet blokkeren. Websites kunnen gebruikers permissie vragen voor het tonen van notificaties. Een optie waar de nodige misbruik van wordt gemaakt. Volgens Google behoren malafide notificaties tot de meest genoemde klachten van Chrome-gebruikers. De notificaties worden onder andere gebruikt om te linken naar malware of het spoofen van systeemmeldingen om zo inloggegevens van gebruikers te ontfutselen. In het verleden heeft Google al maatregelen genomen om malafide notificaties tegen te gaan, maar die zijn in Chrome 86 verder uitgebreid. Wanneer Google weet dat websites in het verleden vaker malafide notificaties hebben verstuurd zal Chrome voortaan notificatieverzoeken van deze sites standaard blokkeren. Om websites te detecteren die malafide notificaties versturen zet Google de eigen webcrawler in. Die geeft websites permissie om notificaties te tonen. zodat de inhoud van de notificaties kan worden gecontroleerd. Wanneer blijkt dat het om malafide notificaties gaat ontvangt de webmaster of eigenaar van de website een waarschuwing van Google om het probleem binnen dertig dagen te verhelpen. Hierna gaat Google handhaven en worden notificatieverzoeken van de betreffende websites standaard geblokkeerd. Google hoopt zo misbruik van webnotificaties tegen te gaan. bron: security.nl

WordPress heeft een populaire plug-in wegens een kritieke kwetsbaarheid bij zo'n 1 miljoen websites geüpdatet. Sommige gebruikers waren echter niet blij met de automatische update, aangezien ze deze optie niet hadden ingeschakeld. De kwetsbaarheid bevond zich in Loginizer. Via deze plug-in kunnen WordPress-sites bruteforce-aanvallen blokkeren. Na een aantal mislukte inlogpogingen wordt het ip-adres van de gebruiker op een blacklist geplaatst. Verder biedt de plug-in de mogelijkheid om andere beveiligingsopties voor de website in te stellen, zoals tweefactorauthenticatie, captcha's of een "wachtwoordloze login". Loginizer is op meer dan 1 miljoen WordPress-websites geïnstalleerd. De bescherming tegen bruteforce-aanvallen was ook het onderdeel dat de kwetsbaarheid veroorzaakte. Wanneer een gebruiker met een onbekende gebruikersnaam inlogt wordt de poging in de back-enddatabase opgeslagen. De gebruikersnaam alsmede andere parameters werden echter niet goed gecontroleerd voordat die via een SQL-query aan de database werden toegevoegd. Zo was SQL-injection mogelijk waardoor een aanvaller de website had kunnen overnemen. Op 16 oktober verscheen er een nieuwe versie van de plug-in die het beveiligingslek verhelpt. In eerste instantie koos de ontwikkelaar ervoor om in de release notes geen details over de kwetsbaarheid te geven, zodat gebruikers de tijd kregen om te updaten. Om het updateproces te versnellen besloot WordPress die automatisch onder websites uit te rollen, ook bij websites waar het automatisch updaten niet stond ingeschakeld. Iets wat bij sommige gebruikers voor kritiek zorgde. Volgens de ontwikkelaar van de Loginizer heeft WordPress de update uitgerold omdat het om een beveiligingsupdate gaat. WordPress heeft sinds WordPress versie 3.7 de mogelijkheid om kwetsbaarheden in plug-ins via automatische updates te verhelpen. "En we hebben het al vele keren wegens beveiligingslekken in plug-ins gebruikt", zegt Samuel Wood van het WordPress-team. Door de actie van WordPress beschikt inmiddels 89 procent van de websites over een bijgewerkte plug-in. Op de statistiekenpagina van de plug-in staat dat die de afgelopen week meer dan 1,2 miljoen keer is gedownload. bron: security.nl

Met meer dan 150.000 harde schijven voor de opslag van klantgegevens is het bijna onvermijdelijk dat back-updienst Backblaze met defecte schijven te maken krijgt, maar in het derde kwartaal kenden datadragers van Seagate de meeste uitval. Backblaze publiceert elk kwartaal de statistieken van het aantal harde schijven dat in gebruik is en is uitgevallen. In het derde kwartaal ging het in totaal om 150.757 schijven waarvan er 324 defect raakten. 269 daarvan waren van Seagate. Het ging met name om 4TB-, 8TB- en 12TB-schijven. Wordt er gekeken naar de "annualized failure rate" (AFR) van het derde kwartaal, dan viel 0,89 procent van de schijven uit. Een lichte stijging ten opzichte van het tweede kwartaal, toen het nog om 0,81 procent ging. Een 8TB-model van Seagate kende in het derde kwartaal een uitval van 1,40 procent. De best presterende schijf is een jaren oud 4TB-model van HGST. Geen van de meer dan drieduizend gebruikte "HMS5C4040ALE640" schijven met bijna 275.000 schijfdagen viel in het derde kwartaal uit. Als er wordt gekeken naar de AFR voor de periode van 2013 tot 30 september 2020, dan viel 1,58 procent van de schijven uit. Ook in deze cijfers spant Seagate de kroon, waarbij het 4TB-model een uitval van 2,54 kende. bron: security.nl

Een kwetsbaarheid in verschillende Cisco-routers waardoor het mogelijk is om willekeurige code op de apparaten uit te voeren wordt actief aangevallen, zo heeft de netwerkfabrikant bekendgemaakt. Het beveiligingslek, CVE-2020-3118, is aanwezig in een implementatie van het Cisco Discovery Protocol (CDP) voor de Cisco IOS XR Software. Het besturingssysteem dat op Cisco-routers draait. CDP is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Door een kwaadaardig CDP-pakket naar een router te versturen kan een aanvaller een stack overflow veroorzaken, waardoor het mogelijk is om op de router willekeurige code met beheerdersrechten uit te voeren. Cisco bracht in februari van dit jaar beveiligingsupdates voor het probleem uit. De kwetsbaarheid was aanwezig in ASR 9000, IOS XRv 9000 en Network Convergence System (NCS) 540, 560, 1000, 5000, 5500 en 6000 series routers. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, is volgens Cisco alleen te misbruiken door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat. Gisteren kwam de NSA met een Top 25 van kwetsbaarheden die volgens de Amerikaanse geheime dienst door China worden gebruikt om organisaties aan te vallen. Het Cisco-lek stond ook in deze lijst vermeld. Gelijktijdig voorzag Cisco de advisory van een update waarin het laat weten dat misbruik van de kwetsbaarheid is waargenomen. bron: security.nl

Oracle heeft tijdens de laatste patchronde van 2020 in totaal 402 kwetsbaarheden in een groot aantal producten verholpen. In tegenstelling tot bedrijven die maandelijks beveiligingsupdates uitrollen doet Oracle dit eens per kwartaal. De patches van oktober zijn bedoeld voor 137 verschillende producten van het softwarebedrijf. De meeste kwetsbaarheden zijn opgelost in Oracle MySQL (53), Oracle Communications-applicaties (52), Oracle Financial Services-applicaties (49), Oracle Fusion Middleware (46), Oracle Retail-applicaties (28) en Oracle E-Business Suite (27). In Java werden acht kwetsbaarheden gepatcht. Een kwetsbaarheid in Oracle Healthcare Foundation werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Daarnaast scoorden 65 beveiligingslekken een 9,8. Het gaat in dit geval om kwetsbaarheden die op afstand en zonder authenticatie zijn te misbruiken. De beveiligingslekken in Java zijn met een maximale score van 5,3 minder ernstig van aard. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren en ondersteunde versies van de software te blijven gebruiken. Gisteren liet de Amerikaanse geheime dienst NSA nog weten dat aanvallers onder andere misbruik maken van kwetsbaarheden in Oracle WebLogic en Oracle Coherence. De volgende patchronde van Oracle staat gepland voor 19 januari 2021. bron: security.nl

Microsoft heeft een poging van criminelen om het Trickbot-botnet te herstellen verstoord, zo laat het techbedrijf weten. Vorige week wisten Microsoft en verschillende partners 62 van de 69 command & control-servers van het botnet, waarmee besmette computers werden aangestuurd, uit de lucht te halen. De resterende zeven servers zijn geen traditionele command & control-servers, maar door Trickbot besmette Internet of Things-apparaten die als onderdeel van de serverinfrastructuur worden gebruikt. Microsoft zegt bezig te zijn om ook deze apparaten uit te schakelen. Zoals verwacht proberen de criminelen achter het botnet om de uitgeschakelde infrastructuur te vervangen door nieuwe servers. In totaal werden de afgelopen dagen 59 nieuwe servers aan de botnet-infrastructuur toegevoegd, die inmiddels allemaal op één na zijn uitgeschakeld, zegt Microsofts Tom Burt. Sinds het begin van de operatie tegen Trickbot zijn 120 van de 128 botnetservers offline gehaald. Burt voegt toe dat de strijd tegen Trickbot nog niet is gestreden. Iets wat nieuwe cijfers van de Feodo-tracker laten zien. Vandaag zijn er tien nieuwe Trickbot-servers bij gekomen. Tot de Amerikaanse presidentsverkiezingen is Microsoft van plan om alle nieuwe servers uit de lucht te halen. "Deze operatie was altijd bedoeld om de activiteiten van Trickbot in aanloop naar de verkiezingen te verstoren", laat Burt weten. De criminelen achter het botnet zouden inmiddels concurrerende partijen hebben gevraagd om hun malware te verspreiden. Iets wat volgens Burt laat zien dat de Trickbot-operators het moeilijk hebben. bron: security.nl

Google heeft een beveiligingsupdate voor Chrome uitgebracht die een actief aangevallen zerodaylek in de browser verhelpt. De kwetsbaarheid, aangeduid als CVE-2020-15999, betreft een heap buffer overflow in FreeType die ontstaat bij het verwerken van speciaal geprepareerde TTF-bestanden. FreeType is een gratis library voor het weergeven van fonts waar Chrome gebruik van maakt. Andere software die van FreeType gebruikmaakt loopt ook risico. Aanvallen zijn echter alleen tegen Chrome-gebruikers waargenomen. zo laat Ben Hawkes van Google Project Zero weten. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. CVE-2020-15999 alleen is niet voldoende om systemen te compromitteren. Hiervoor is een tweede kwetsbaarheid vereist. Of een tweede kwetsbaarheid ook bij de waargenomen aanvallen is gebruikt laat Hawkes niet weten. Vorig jaar werd een zerodaylek in Chrome nog gecombineerd met een kwetsbaarheid in Windows om zo Windows 7-gebruikers met malware te infecteren. Begin dit jaar patchte Google ook al een actief aangevallen zeroday in Chrome. Updaten naar Chrome 86.0.4240.111 zal op de meeste systemen automatisch gebeuren. bron: security.nl

De NSA heeft een Top 25 van kwetsbaarheden gepubliceerd die volgens de Amerikaanse geheime dienst door "Chinese actoren" worden gebruikt om organisaties aan te vallen. Het gaat om bekende kwetsbaarheden waarmee er toegang tot netwerken kan worden verkregen. Zodra er toegang is verkregen zijn de overige beveiligingslekken te gebruiken om het netwerk verder van binnenuit te compromitteren. Het gaat om kwetsbaarheden in Pulse Secure VPN, F5 BIG-IP, Citrix Application Delivery Controller (ADC) en Gateway, Remote Desktop Services in Windows 7 en Server 2008/R2, MobileIron mobile device management (MDM), Windows DNS Server, Exim, Microsoft Exchange, Adobe ColdFusion, Oracle WebLogic, Oracle Coherence, Atlassian Confluence, Zoho ManageEngine, Progress Telerik UI, Windows CryptoAPI, Symantec Messaging Gateway, Cisco IOS XR en DrayTek Vigor-routers. Om de aanvallen tegen te gaan adviseert de NSA om beveiligingsupdates zo snel als mogelijk te installeren, remote beheermogelijkheden uit te schakelen en een out-of-band beheernetwerk op te zetten, verouderde en ongebruikte protocollen uit te schakelen of te blokkeren, voor via internet toegankelijke servers een Demilitarized Zone (DMZ) in te stellen en deze machines op aanvallen te monitoren. "We horen luid en duidelijk dat het lastig is om patches en mitigatiemaatregelen te prioriteren", zegt NSA Cybersecurity Director Anne Neuberger. "We hopen door het benoemen van de kwetsbaarheden die China actief gebruikt om systemen te compromitteren dat cybersecurityprofessionals bruikbare informatie krijgen voor het prioriteren en beveiligen van hun systemen." bron: security.nl

Wanneer gebruikers van Google Chrome ervoor kiezen om hun cookies en site-gegevens te verwijderen laat de browser een deel van de data voor Google.com en YouTube ongemoeid. Zo blijft het mogelijk voor Google om gebruikers via de al aanwezige gegevens te identificeren. Dat ontdekte Jeff Johnson. Via de pagina chrome://settings/cookies biedt Chrome de optie om bij het afsluiten van de browser cookies en site-gegevens te verwijderen. Wanneer Chrome wordt afgesloten verdwijnen voor het domein YouTube.com de cookies, maar blijven database storage, local storage en service workers achter. In het geval van Google.com wordt de local storage niet verwijderd. De local storage kan informatie over gebruikers bevatten. "Het geeft Google, en alleen Google, de mogelijkheid om Chrome-gebruikers die iets meer privacy willen te blijven volgen; iets wat zeer waardevol voor de internetgigant is bij het tonen van advertenties", aldus The Register. Google stelt tegenover de website dat het om een bug in Chrome gaat bij het verwijderen van cookies op first-party Google-websites en er binnenkort een fix wordt uitgerold. bron: security.nl