Captain Kirk

Criminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan. Dat laat John Fokker, hoofd cyberonderzoek en principal engineer bij antivirusbedrijf McAfee tegenover Bleeping Computer weten. "We zijn bekend met verschillende gevallen waarbij de ransomwarecriminelen op het netwerk van een slachtoffer actief bleven nadat ze hun ransomware hadden uitgerold. In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker. Onlangs werd de Amerikaanse vliegtuigreparateur VT San Antonio Aerospace door de Maze-ransomware getroffen. De aanvallers maakten verschillende documenten openbaar die ze bij het bedrijf hadden buitgemaakt, om het zo te dwingen het gevraagde losgeld te betalen. Eén van documenten die de aanvallers publiceerden ging over de betreffende ransomware-aanval, wat liet zien dat de aanvallers nog steeds toegang hadden op het moment dat VT San Antonio Aerospace het incident onderzocht. Volgens Vitali Kremez van securitybedrijf Advanced Intel is het belangrijk dat incident response teams ervan uitgaan dat de aanvaller nog steeds op het netwerk aanwezig is, totdat het tegendeel is bewezen. Communicatie over de herstelwerkzaamheden moet daarom plaatsvinden via een kanaal dat niet zichtbaar voor de aanvaller is. Daarnaast is het mogelijk niet genoeg om systemen opnieuw te installeren, aangezien de mogelijkheid bestaat dat aanvallers de inloggegevens hebben gestolen. De domeinwachtwoorden moeten dan ook worden aangepast, aldus Kremez. bron: security.nl

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen. Beveiligingsonderzoeker Sam Curry ontdekte het probleem toen hij iets via de Starbucks-website wilde kopen. Het viel Curry op dat één van de API's waar de Starbucks-webapplicatie gebruik van maakt data van een andere host leek door te sturen. Verder onderzoek wees uit dat dit inderdaad het geval was. Het ging om een intern Starbucks-systeem. Curry ontdekte dat de API niet goed omging met gebruikersinvoer, waardoor het mogelijk was een path traversal-aanval uit te voeren en zo toegang tot endpoints op het interne Starbucks-systeem te krijgen. Starbucks maakte wel gebruik van een webapplication firewall, maar die wist Curry te omzeilen. Eén van de directories die de onderzoeker via de path traversal-aanval vindt blijkt van een Microsoft Graph-installatie te zijn die toegang tot de gegevens van bijna honderd miljoen Starbucks-klanten heeft. Ook vindt Curry verschillende endpoints waarmee het waarschijnlijk mogelijk is om cadeaubonnen, adresgegevens, beloningen en aanbiedingen aan te passen, hoewel de onderzoeker dit niet verder onderzoekt. Hij waarschuwt Starbucks op 16 mei, waarna de kwetsbaarheid op 17 mei wordt verholpen. Voor zijn bugmelding ontvangt Curry een beloning van 4.000 dollar. Starbucks biedt via het HackerOne-platform een bug bounty-programma en heeft voor kritieke kwetsbaarheden een maximale beloning van vierduizend dollar ingesteld. bron: security.nl

Oracle biedt bedrijven een uitgebreid trackingplatform om internetgebruikers op het web en over meerdere apparaten te volgen, maar door een onbeveiligde database waren miljarden records met browsegegevens van een onbekend aantal internetgebruikers voor iedereen op internet toegankelijk, aldus TechCrunch. Zo werd een record gevonden met de naam, adresgegevens, telefoonnummer en e-mailadres van een Duitse man die met een prepaidkaart op 19 april op een goksite een gokje waagde. Een ander record bevatte de naam, adresgegevens en andere data van iemand uit Istanboel die voor 899 euro aan meubilair bij een online warenhuis had besteld. Een derde record laat zien hoe iemand zich afmeldt voor een nieuwsbrief dat naar zijn iCloud-adres werd gestuurd. Volgens de gegevens is deze persoon geïnteresseerd in een bepaald dashcammodel en blijkt uit de verzamelde user agent dat zijn iPhone niet de laatste versie draait. Sommige bestanden in de database dateerden van augustus 2019, aldus de onderzoeker die het datalek ontdekte. Alle gegevens in de database bleken te zijn verzameld via een trackingplatform genaamd Oracle Data Management Platform, dat voorheen als BlueKai bekend stond. Bedrijven kunnen trackingpixels aan hun websites en nieuwsbrieven toevoegen die allerlei data over de gebruiker vastleggen. Deze data, zoals e-mailadressen en trackingcookies, wordt vervolgens naar het trackingplatform gestuurd, dat de verzamelde persoonlijke data aan data van trackingcookies koppelt. Op deze manier wordt er een uitgebreid profiel van de gebruiker aangelegd, dat adverteerders weer voor gerichte advertenties kunnen gebruiken. Het platform is ook in staat om gebruikers over meerdere apparaten te volgen. Volgens één schatting wordt 1,2 procent van al het webverkeer via Oracles platform getrackt en bevatten bijna 700 van de 10.000 populairste websites op internet een BlueKai-tracker. Alle data die het platform ontvangt wordt in databases opgeslagen en gebruikt om profielen van gebruikers verder te "verrijken". Het was deze onbewerkte datastroom die via een database voor iedereen zonder wachtwoord toegankelijk was . Oracle laat in een reactie weten dat twee bedrijven hun services niet goed hadden geconfigureerd. De namen van deze twee bedrijven zijn niet bekendgemaakt, maar Oracle stelt dat er aanvullende maatregelen zijn genomen om herhaling te voorkomen. Verdere details over het incident zijn niet gegeven. Ook laat Oracle niet weten of het de personen van wie de data is gelekt of toezichthouders heeft ingelicht. bron: security.nl

Allerlei diensten bieden tegenwoordig multifactorauthenticatie aan, maar in de praktijk blijkt dat de meeste gebruikers hier geen gebruik van maken. En dat kan een probleem zijn wanneer het account wordt gekaapt. Wanneer een aanvaller voor een gekaapt account multifactorauthenticatie inschakelt maakt dit het veel lastiger voor de oorspronkelijke eigenaar om het account terug te krijgen, zo meldt it-journalist Brian Krebs. Krebs werd getipt over een incident waarbij een Xbox-account door een aanvaller was overgenomen, die vervolgens multifactorauthenticatie voor het account inschakelde. Hierdoor kon de oorspronkelijke eigenaar niet het wachtwoord resetten zonder toestemming van de aanvaller. De gebruiker nam contact op met Microsoft en kreeg een lijst met allerlei vragen teruggestuurd om te beantwoorden. Zo zou de gebruikers kunnen aantonen de legitieme eigenaar van het account te zijn. Ondanks het beantwoorden van de vragen werd het accountwachtwoord toch niet gereset. Uiteindelijk werd het incident naar een andere supportafdeling geëscaleerd. Daar werd de gebruiker geholpen bij het aanmaken van een nieuw Microsoftaccount waar het Xbox-profiel aan werd gekoppeld. "Het niet inschakelen van multifactorauthenticatie wanneer het wordt aangeboden is een veel groter risico voor mensen die op meerdere websites hun wachtwoorden hergebruiken", aldus Krebs. Twee jaar geleden liet onderzoek van Google zien dat minder dan tien procent van de Gmail-gebruikers tweefactorauthenticatie had ingeschakeld. Volgens onderzoekers van Indiana University komt dit niet doordat mensen het beveiligen van hun account niet belangrijk vinden of niet de extra moeite willen nemen, maar omdat de risico's niet goed worden gecommuniceerd. Gebruikers krijgen niet duidelijk uitgelegd waarom de extra beveiligingslaag nodig is. Daarnaast is het ook belangrijk dat ontwikkelaars naar de gebruiksvriendelijkheid voor het inschakelen en gebruiken van tweefactorauthenticatie kijken. bron: security.nl

Fijn dat alles opgelost is en je zo tevreden bent. Bij deze sluiten we het topic.

Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam. De aanvallers versturen een e-mail naar hun slachtoffers die een link naar een "redirector site" of een html-bijlage bevat. De redirector site is meestal een gecompromitteerde website die het slachtoffer naar de uiteindelijke website doorstuurt. Zodra de link of de html-bijlage wordt geopend belandt de gebruiker op een website waar hij een captcha moet oplossen. Volgens Microsoft moet op deze manier geautomatiseerde analyse van het document door securitybedrijven worden voorkomen. Wanneer de gebruiker de captcha oplost kan hij een Excel-document met een kwaadaardige macro downloaden. Macro's worden standaard door Microsoft Office geblokkeerd. Daarom hebben de aanvallers instructies voor het slachtoffer toegevoegd om macro's in te schakelen. Wanneer dit wordt gedaan zullen de macro's de GraceWire-malware op het systeem installeren, waarmee de aanvallers volledige toegang krijgen. De aanvallers blijken geregeld hun werkwijze te wijzigen. Eerst werden de kwaadaardige Excel-documenten direct als e-mailbijlage meegestuurd. In januari maakte de groep vervolgens gebruik van html-redirectors die naar de malafide Exel-documenten linkten en nu worden captcha's ingezet om detectie te voorkomen. Volgens de Duitse overheid is er een relatie tussen deze groep aanvallers, die bekendstaat als TA505, en de Clop-ransomware, waardoor de Universiteit Maastricht vorig jaar werd getroffen. bron: security.nl

Aanvallers maken gebruik van e-mails met corona-gerelateerde onderwerpen en JNLP-bestanden als bijlage om de Trickbot-malware te verspreiden. Deze malware kan weer aanvullende malware op systemen installeren en was in het verleden voor verschillende grote ransomware-uitbraken verantwoordelijk. De aanval begint met een e-mail die als onderwerp "coronavirus COVID-19 payment application form" heeft. Volgens het bericht komt de ontvanger vanwege de coronacrisis in aanmerking voor steungelden. Meer informatie zou in de meegestuurde JNLP-bestanden te vinden zijn. JNLP staat voor Java Network Launch Protocol. Het bestandsformaat kan Java-programma's gehost op een remote server op de client machine starten. Voorwaarde is wel dat Java op de client is geïnstalleerd. Zodra de gebruiker het JNLP-bestand opent wordt er een coronakaart van de WHO-website geladen. In de achtergrond wordt vervolgens de Trickbot-malware gedownload en geïnstalleerd. Om ervoor te zorgen dat de malware ook bij een herstart van het systeem wordt geladen maakt Trickbot in de startup folder de map "SpotifyMusic" aan die een kopie van de malware bevat. Volgens securitybedrijf Trustwave wordt Trickbot vaak verspreid via Microsoft Office-documenten met kwaadaardige macro's. "Dit is de eerste keer dat we zien dat Trickbot JNLP-bestanden als downloader gebruikt. Het gebruik van JNLP-bestanden als e-mailbijlage om malware te verspreiden is niet gebruikelijk", zegt analist Diana Lopera. Ook volgens securitybedrijf Cofense is de gebruikte methode door Trickbot zeer bijzonder. "Het gebruik van het coronavirus als lokaas en een ongewoon bestandstype om e-mailgateways te omzeilen en het is niet lastig voor te stellen dat dit een zeer effectieve campagne kan zijn", merkt analist Jason Meurer op. bron: security.nl

Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned heeft een nieuwe versie van zijn "Pwned Passwords" dataset beschikbaar gemaakt. Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben. De eerste versie van Pwned Passwords bestond uit 306 miljoen wachtwoordhashes. Met de lancering van versie 6 is dat naar 572 miljoen wachtwoordhashes gestegen, een toename van 17,3 miljoen wachtwoorden ten opzichte van versie 5 die een jaar geleden uitkwam. Naast de hash van het wachtwoord wordt ook aangegeven hoe vaak het wachtwoord in de betreffende datalekken is voorgekomen. De dataset is als bestand te downloaden, maar ook door websites online te gebruiken. Die kunnen gebruikers zo waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt en daardoor kwetsbaarder voor aanvallen is. In eerste instantie bestond de dataset alleen uit SHA-1-wachtwoordhashes. Hunt kreeg echter het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Door de gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. bron: security.nl

Wie op dit moment een Internet of Things-apparaat koopt weet van tevoren vaak niet hoelang het apparaat met beveiligingsupdates wordt ondersteund of hoe er met wachtwoorden en het verzamelen van gegevens wordt omgegaan. Dergelijke informatie is niet op de verpakking te vinden. Aanleiding voor onderzoekers van de Carnegie Mellon University om een tool te ontwikkelen die security- en privacylabels voor IoT-apparaten genereert. Op deze manier kunnen gebruikers eenvoudig zien waar ze aan toe zijn als het om de privacy en security van hun potentiële nieuwe aanschaf gaat. Voor het ontwikkelen van het security- en privacylabel werd met 22 security- en privacyexperts overlegd. Die konden aangeven wat in hun optiek de belangrijkste factoren zijn voor eindgebruikers die voor de aanschaf de privacy en security van IoT-apparaten willen vergelijken. Het eindresultaat werd vervolgens voorgelegd aan vijftien eindgebruikers die eerder al eens IoT-apparaten hadden aangeschaft. De onderzoekers stellen dat er de afgelopen jaren tal van security- en privacyproblemen met IoT-apparaten aan het licht zijn gekomen. Iets waar particulieren zich ook zorgen over maken, zo blijkt uit verschillende onderzoeken. Deze onderzoeken laten ook zien dat particulieren graag meer informatie over de security en privacy van IoT-apparaten willen voordat ze een product aanschaffen. In de praktijk blijkt dat vaak features en prijs doorslaggevend zijn, maar dat is volgens de onderzoekers mogelijk te verklaren doordat particulieren niet over voldoende informatie beschikken om een weloverwogen keuze te maken. Om eindgebruikers beter te informeren hebben verschillende landen voorgesteld om labels te introduceren. Hoe deze labels er precies moeten komen uit te zien en welke informatie ze moeten overbrengen is echter nog onbekend. Met hun onderzoek wilden de onderzoekers een dergelijk security- en privacylabel uitwerken. Volgens de onderzoekers werkt een label twee kanten op, waarbij ze de gezondheidslabels op voeding als voorbeeld noemen. De koper kan namelijk eenvoudig bepalen hoe gezond een product is en producenten worden aangemoedigd om gezondere producten aan te bieden. De experts die werden ondervraagd noemen verschillende zaken die op het label moeten verschijnen, zoals hoelang het apparaat met beveiligingsupdates wordt ondersteund, wat voor data het apparaat verzamelt en hoelang, het soort sensoren waarover het apparaat beschikt, of het apparaat gesigneerde automatische beveiligingsupdates ontvangt, of er van standaardwachtwoorden gebruik wordt gemaakt en de garantieperiode. Naast de directe informatie op het label zelf kwamen de onderzoekers ook met een tweede "informatielaag" die via een qr-code is op te vragen. Gebruikers krijgen door het scannen van de qr-code informatie over hoelang verzamelde gegevens worden bewaard, voor welk doel dit wordt gedaan, waar de data wordt opgeslagen, of een opt-out mogelijk is, of het apparaat ook zonder internetverbinding werkt, hoeveel stroom het verbruikt en verschillende andere zaken. De eindgebruikers die aan het onderzoek deelnamen blijken de labels goed te begrijpen. De onderzoekers hopen dan ook fabrikanten te vinden die het ontwikkelde label willen gaan testen (pdf). bron: security.nl

Mozilla heeft vandaag een eigen vpn-dienst voor Android, iOS en Windows aangekondigd. Vorig jaar begon de browserontwikkelaar met een bètatest van het Firefox Private Network VPN. Deze bètatest loopt de komende weken af, waarna de vpn-dienst niet meer onder het Firefox Private Network-merk wordt aangeboden, maar onder de noemer "Mozilla VPN" een groter publiek moet bereiken. Vooralsnog zal de vpn-dienst alleen in een select aantal regio's beschikbaar komen. Gebruikers kunnen voor een beperkte tijd voor 4,99 dollar per maand vijf apparaten van Mozilla VPN gebruik laten maken. Mozilla laat weten dat het gebruikers niet tijdens hun activiteiten op internet zal volgen en binnen de app geen gebruikmaakt van third-party analytics. Mozilla VPN is zelf door Mozilla ontwikkeld, die gebruik maken van de servers van vpn-provider Mullvad. Daarbij heeft Mozilla gekozen voor het WireGuard vpn-protocol. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. bron: security.nl

Verschillende bedrijven uploaden privédata naar Facebook om gebruikers op het platform gerichte advertenties te tonen, zonder dat ze deze gegevens mogen gebruiken, zo stelt Privacy International op basis van eigen onderzoek. Adverteerders en bedrijven kunnen persoonlijke data die ze van internetgebruikers hebben, zoals e-mailadressen of telefoonnummers, uploaden naar Facebook, om deze gebruikers vervolgens gerichte advertenties op het platform te laten zien. Onderzoekers van Privacy International ontdekten dat hun privédata was geüpload door bedrijven met wie ze geen enkele relatie hadden. Het bleek vervolgens een zeer lastig en tijdrovend proces om te achterhalen hoe deze bedrijven aan de data waren gekomen, als dat al lukte. Wat duidelijk werd is dat sommige bedrijven op Facebook adverteren met gegevens die ze niet mogen gebruiken, zo laat de privacyorganisatie weten. "Het maakt niet alleen duidelijk hoe weinig gebruikers kunnen weten over wat er achter de schermen plaatsvindt, als het om online gerichte advertenties gaat, maar legt ook ongeoorloofde praktijken bloot", aldus Privacy International. "Keer op keer was er geen transparantie of juridische rechtvaardiging voor het uploaden en gebruik van deze data en dat is slechts het begin." De onderzoekers stellen dat er verschillende redenen kunnen zijn hoe de bedrijven aan de data kwamen. Zo komt het voor dat een bedrijf nooit zijn klantenbestand heeft opgeschoond. Een andere mogelijkheid is dat een bedrijf gegevens bij een andere partij heeft gekocht en heeft samengevoegd met de eigen klantenlijst. Marketingbedrijven die bedrijven lijsten met potentiële klanten aanbieden kunnen ook een oorzaak zijn. "Maar wat de reden ook is, het resultaat is problematisch en roept vragen onder de databeschermingswetgeving op", stelt Privacy International. Onder andere datingapp Happn, Led Zeppelin, Volkswagen, Cisco en Dr Oetker bleken gegevens van de onderzoekers naar Facebook te hebben geüpload, ook al hadden die geen relatie met de bedrijven. Een deel van het probleem wordt ook door Facebook veroorzaakt, zo stellen de onderzoekers. Facebook biedt gebruikers wel een tool die uitlegt waarom ze bepaalde advertenties te zien krijgen, maar de gegeven informatie is zeer summier. Zo wordt bijvoorbeeld onduidelijk waar de adverteerder de naar Facebook geüploade informatie vandaan heeft. Ook blijkt het niet eenvoudig om de betreffende adverteerder te benaderen. Facebook linkt vaak alleen naar de Facebookpagina van de onderneming, wat inhoudt dat gebruikers Facebook nog meer moeten gebruiken of zelf op zoek moeten gaan naar contactgegevens. "Dit is geen acceptabele situatie voor mensen die hun rechten willen uitoefenen en informatie zoeken over bedrijven die hun persoonlijke data gebruiken en hieraan verdienen", aldus Privacy International. Ook de informatie die Facebook via de "Download Your Information" tool biedt blijkt onnauwkeurig. Privacy International wil dan ook dat Facebook de informatievoorziening aan gebruikers verbetert. De huidige tools zijn namelijk niet effectief en behulpzaam, wat gebruikers hindert bij het uitoefenen van hun rechten. bron: security.nl

Cisco heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in de Webex Meetings Desktop App voor macOS en Windows waardoor een aanvaller programma's en code op het systeem van gebruikers kan uitvoeren. Webex is een populaire tool voor videoconferencing die volgens Cisco 324 miljoen gebruikers in maart had. Gisterenavond kwam het netwerkbedrijf met beveiligingsupdates voor de Webex Meetings Desktop App. Zo bleek de Windowsversie de invoer voor applicatie-url's niet goed te controleren. Een aanvaller kan hier misbruik van maken door gebruikers een kwaadaardige url te laten openen. Vervolgens kan de aanvaller programma's starten die al op het systeem van de gebruiker aanwezig zijn. In het geval er al kwaadaardige bestanden op het systeem staan of via een netwerklocatie bereikbaar zijn, is het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren, aldus Cisco. De kwetsbaarheid, aangeduid als CVE-2020-3263, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 7,5. Gebruikers krijgen het advies om naar versie 39.5.12 of nieuwer te updaten. MacOS De macOS-versie bleek kwetsbaar voor een ander probleem (CVE-2020-3342) waarvan de impact met een 8,8 hoger is ingeschaald dan de kwetsbaarheid in de Windowsversie. De macOS-versie bleek bestanden die als onderdeel van een software-update werden gedownload niet goed te controleren. Een aanvaller had dit beveiligingslek kunnen misbruiken door gebruikers naar een malafide website te lokken. Deze website zou vervolgens bestanden naar de client kunnen sturen die op de bestanden lijken die van een geldige Webex-site afkomstig zijn. Webex zou deze bestanden vervolgens op het systeem van de gebruiker uitvoeren. Op deze manier had een aanvaller willekeurige code met de rechten van de ingelogde gebruiker kunnen uitvoeren, zo stelt Cisco. Gebruikers wordt aangeraden om te updaten naar versie 39.5.11 of nieuwer. bron: security.nl

Onderzoekers hebben in de Chrome Web Store meer dan zeventig malafide extensies ontdekt die bij elkaar ruim 32 miljoen keer waren gedownload. Google heeft de extensies inmiddels uit de Web Store verwijderd. Dat laat securitybedrijf Awake Security tegenover persbureau Reuters en via de eigen website weten. De Chrome-extensies deden zich onder andere voor als tools om bestanden naar een ander formaat om te zetten of gebruikers voor dubieuze websites te waarschuwen. In werkelijkheid werden screenshots gemaakt, het clipboard uitgelezen, informatie uit cookies, parameters en toetsaanslagen verzameld en teruggestuurd. De aanvallers hebben zo toegang gekregen tot de netwerken van farmaceutische bedrijven, overheidsinstanties, onderwijsinstellingen, mediabedrijven en zorgondernemingen, aldus Awake Security. Om de Chrome Web Store te omzeilen installeerden sommige van de extensies een versie van Chromium, de opensourcebrowser waarop Chrome is gebaseerd. "Omdat de meeste gebruikers niet het verschil tussen Chrome en Chromium herkennen, maken ze de nieuwe browser wanneer gevraagd vaak hun standaardbrowser", aldus het securitybedrijf. De nieuwe browser laadde vervolgens allerlei malafide extensies. De ontwikkelaars van de malafide extensies hadden daarnaast maatregelen genomen om detectie te voorkomen. Wanneer de extensies vanaf een thuiscomputer werden gebruikt maakten ze verbinding met een reeks domeinen en verstuurden de eerder genoemde informatie. Bij gebruik vanaf een bedrijfsnetwerk werd dit niet gedaan. Voor de operatie werden meer dan 15.000 domeinen geregistreerd. Wanneer Google extensies uit de Web Store verwijdert worden ze bij Chrome-gebruikers gedeactiveerd en aangemerkt als malafide, zodat gebruikers weten dat ze die niet moeten inschakelen. Een overzicht van de malafide extensies is in dit bestand te vinden. bron: security.nl

Videoconferentiesoftware Zoom gaat ook gratis gebruikers end-to-end encryptie aanbieden, maar alleen als die eerst hun telefoonnummer laten controleren. Dat heeft het bedrijf vanavond in een blog bekendgemaakt. Zoom-ceo Eric Yuan liet begin deze maand weten dat end-to-end encryptie niet beschikbaar voor gratis gebruikers komt, omdat het bedrijf ook met de FBI en opsporingsdiensten wil samenwerken in het geval van misbruik van de videoconferentiesoftware. Alleen voor Zoom-klanten met een "business" en "enterprise" abonnement zou end-to-end encryptie beschikbaar komen. Daarnaast zal de optie opt-in worden. Een groot deel van de Zoom-meetings maakt gebruik van features die niet compatibel met end-to-end encryptie zijn, zoals PSTN-telefoons, cloudopnames, cloudtranscripties en streaming naar YouTube, aldus het bedrijf. Nu meldt ceo Eric Yuan dat ook gratis gebruikers straks end-to-end encryptie kunnen inschakelen. Voorwaarde is wel dat gebruikers eenmalig "aanvullende informatie" verstrekken, zoals het verifiëren van een telefoonnummer via een sms-bericht. Op deze manier moet misbruik worden voorkomen, aldus Yuan. Een eerste test met end-to-end encryptie staat gepland voor juli. De maatregel zal, omdat het niet met bepaalde systemen werkt zoals PSTN-telefoons en SIP/H.323 hardware, optioneel zijn. Verder kunnen personen die een Zoom-meeting hosten de end-to-end encryptie per meeting in- of uitschakelen. Accountbeheerders kunnen daarnaast de optie daarnaast op account- en groepsniveau in- of uitschakelen. bron: security.nl

Een kwetsbaarheid in de webserver van tientallen modellen Netgear-routers maakt het mogelijk om de apparaten op afstand over te nemen en een beveiligingsupdate is niet beschikbaar. Het gaat onder andere om de Netgear R6700 en R7000, maar ook routerfirmware uit 2007 bleek kwetsbaar te zijn. De routers beschikken over een webserver die gebruikersinvoer van het netwerk verwerkt en gebruikt voor het uitvoeren van allerlei CGI-functies. Het beveiligingslek wordt veroorzaakt doordat de webserver, die standaard op poort 80 luistert, niet goed omgaat met gebruikersinvoer. Hierdoor kan een aanvaller een stack-based buffer overflow veroorzaken en code met rootrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om als root een telnet daemon te starten waarmee op de router kan worden ingelogd. Daarnaast blijkt dat Netgear heeft nagelaten om verschillende beveiligingsmaatregelen door te voeren wat misbruik van de kwetsbaarheid vereenvoudigt. Het beveiligingslek werd onder andere gevonden door Adam Nichols in de firmware van de Netgear R7000. De onderzoeker ontdekte in totaal 79 Netgear-apparaten en 758 firmware-images waarin de kwetsbare webserver in aanwezig is. Het gaat onder andere om firmware voor de Netgear WGT624v4 uit 2007. Nichols was niet de enige die het probleem ontdekte. Een andere onderzoeker met het alias "d4rkn3ss" vond het beveiligingslek ook, alleen dan in de Netgear R6700, en rapporteerde dit aan het Zero Day Initiative (ZDI). Het ZDI, dat Netgear op 8 januari van dit jaar informeerde, geeft leveranciers standaard 120 dagen de tijd om een beveiligingsupdate te ontwikkelen. Netgear vroeg om de deadline naar eind juni te verlengen. Het ZDI ging akkoord met 15 juni. Eind mei vroeg Netgear voor een tweede keer om een verlenging, maar daar ging het ZDI niet mee akkoord, waarop de informatie afgelopen maandag werd gepubliceerd. Volgens het ZDI is de kwetsbaarheid alleen te misbruiken door "network-adjacent" aanvallers die het apparaat kunnen benaderen. Authenticatie is daarbij niet vereist. Het ZDI adviseert dan ook om alleen vertrouwde apparaten toegang tot de router te geven. Nichols laat echter weten dat de kwetsbaarheid ook via een Cross-Site Request Forgery (CSRF)-aanval is te misbruiken. In dit geval is het voldoende wanneer een gebruiker met een kwetsbare browser een kwaadaardige website bezoekt. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met een 8,8 beoordeeld. bron: security.nl

Adobe roept gebruikers van Flash Player op om de software voor 2021 te verwijderen, aangezien de browserplug-in dan niet meer met beveiligingsupdates wordt ondersteund. Om gebruikers hierop te wijzen zal Flash Player later dit jaar ook een melding laten zien. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe drie jaar geleden al aan om de ondersteuning van de browserplug-in eind 2020 te beëindigen. Browserontwikkelaars lieten daarop weten de support gefaseerd uit te zullen schakelen. Nu het einde van de ondersteuningsperiode nadert heeft Adobe meer details gegeven. Zo blijven beveiligingsupdates gewoon tot en met 31 december 2020 uitkomen. Vanaf 1 januari 2021 zal Flash Player niet meer via de website van Adobe zijn te downloaden. Het gebruik van Flash Player na de end-of-life datum wordt dan ook afgeraden. Tevens zal het afspelen van Flash-gebaseerde content in Flash Player volgend jaar worden geblokkeerd. Gebruikers worden nu opgeroepen om Flash Player voor 1 januari 2021 van hun systeem te verwijderen. Het softwarebedrijf wijst daarbij naar de verwijderinstructies voor macOS en Windows. Verder zullen gebruikers later dit jaar een melding te zien krijgen waarin wordt aangeraden om Flash Player van het systeem te verwijderen en dat Flash-content vanaf 2021 niet meer door Flash Player wordt uitgevoerd. Hoewel Flash standaard staat uitgeschakeld en voor de meeste websites niet meer is vereist heeft bijvoorbeeld 40 procent van de Firefox-gebruikers de plug-in nog geïnstalleerd. Mozilla zal in december de ondersteuning van Flash volledig uit de browser verwijderen. Microsoft heeft december ook als einddatum genoemd, terwijl Google van plan is om met de lancering van Chrome 88 in januari 2021 de support voor Flash volledig uit de browser te halen. bron: security.nl

De Amerikaanse chipfabrikant MaxLinear is getroffen door de Maze-ransomware, waarbij meerdere systemen zijn versleuteld, zo heeft het bedrijf in een verklaring aan de Amerikaanse beurswaakhond SEC laten weten. Het bedrijf meldt verder dat de aanval geen gevolgen voor de productie of leveringsmogelijkheden heeft en dat de bestellingen van klanten gewoon kunnen worden geleverd. MaxLinear, dat onder andere chips voor breedbandcommunicatie ontwikkelt en vorig jaar een omzet van 317 miljoen dollar had, is niet van plan om het losgeld te betalen dat de aanvallers vragen. De groep achter de Maze-ransomware maakte gisteren via een eigen website verschillende gestolen documenten openbaar. Tevens stelt de groep dat ze meer dan één terabyte aan data van MaxLinear hebben gestolen. De chipfabrikant zegt dat het bezig is om de getroffen systemen te herstellen. Ondanks de kosten voor het forensisch onderzoek en herstel verwacht het bedrijf niet dat de aanval nadelige gevolgen voor de bedrijfskosten zal hebben. MaxLinear zegt daarnaast over een cyberverzekering te beschikken. Hoe de aanvallers konden binnendringen is niet bekendgemaakt. De Maze-ransomware wordt onder andere via e-mailbijlagen verspreid, maar de aanvallers die erachter zitten maken ook gebruik van het remote desktop protocol (RDP) en andere remote services. bron: security.nl

Tal van Internet of Things-apparaten en andere op internet aangesloten apparatuur zijn kwetsbaar voor aanvallen door verschillende kritieke kwetsbaarheden in een veelgebruikte library. De problemen zijn aanwezig in de tcp/ip-library van softwarebedrijf Treck. Fabrikanten gebruiken deze library om hun apparaten verbinding met internet te laten maken. Volgens onderzoekers van securitybedrijf JSOF wordt de kwetsbare library al twintig jaar gebruikt voor medische apparatuur, industriële toepassingen, elektriciteitsnetwerken, transportsystemen en tal van andere sectoren en apparaten, maar ook voor producten als printers en routers. In totaal vonden de onderzoekers negentien kwetsbaarheden die ze de naam "Ripple20" gaven, waarmee het in het ergste geval mogelijk is om systemen op afstand over te nemen. Ook is het mogelijk om apparaten via een denial of service uit te schakelen of vertrouwelijke informatie te stelen. Twee van de kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst beoordeeld met een 10. Door het versturen van speciaal geprepareerde ipv4- of ipv6-pakketten is het door deze beveiligingslekken mogelijk om op afstand code uit te voeren. JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen. Onder andere producten van Caterpillar, HP, Intel, Rockwell, Sandia National Labs, Schneider Electric en HCL Tech zijn kwetsbaar. In het geval van bijvoorbeeld Cisco, Philips, Broadcom, Marvell, Honeywell en General Electric is nog niet duidelijk of die risico lopen. De onderzoekers merken op dat het al lastig was voor sommige leveranciers om te patchen, maar dat het nog veel lastiger of zelfs onmogelijk voor eindgebruikers kan zijn. Bijvoorbeeld wanneer de library zich op een fysiek gescheiden onderdeel bevindt of wanneer het bedrijf dat het onderdeel leverde niet meer bestaat. Deze gebruikers moeten aanvullende maatregelen nemen, zoals het uitschakelen van IP-tunneling, blokkeren van ongebruikte ICMP-controlberichten en het toepassen van netwerksegmentatie. Daarnaast kan het zijn dat niet alle leveranciers weten dat ze kwetsbare library gebruiken. Dit komt doordat de library ook in andere software is verwerkt, waardoor fabrikanten niet weten dat de kwetsbare code in hun apparatuur aanwezig is. De onderzoekers stellen dat mogelijk miljarden apparaten risico lopen. Tijdens de komende Black Hat USA-conferentie in augustus zullen de onderzoekers meer informatie over de kwetsbaarheden geven. bron: security.nl

Adobe heeft Acrobat DC voorzien van Protected Mode, een sandbox die gebruikers tegen malafide pdf-documenten moet beschermen. De beveiligingsmaatregel, die gebruikers nog wel zelf moeten inschakelen, werd tien jaar geleden al aan Acrobat Reader toegevoegd en maakt misbruik van kwetsbaarheden in de pdf-lezer lastiger. Het pdf-formaat biedt allerlei mogelijkheden, zoals het embedden van bestanden en uitvoeren van scripts. Met Protected Mode worden documenten en applicatiecode in een sandbox geladen. Wanneer de pdf-lezer een bepaalde actie wil uitvoeren die niet in de sandbox is toegestaan, zoals het schrijven naar de tijdelijke folder van de gebruiker of het starten van een bijlage in het pdf-document via een externe applicatie, wordt er gebruikgemaakt van een "broker proces". Dit proces beoordeelt welke acties wel en niet zijn toegestaan, om zo toegang tot gevaarlijke functionaliteiten te voorkomen. Om het systeem van een gebruiker succesvol aan te vallen moet een aanvaller niet alleen een kwetsbaarheid in de pdf-lezer hebben, maar ook uit de sandbox zien te breken. Dit maakt misbruik van de pdf-lezer veel lastiger. De afgelopen jaren zijn er geen aanvallen bekend geworden waarbij er gebruik werd gemaakt van kwetsbaarheden in de pdf-lezers van Adobe. De Protected Mode van Acrobat DC is op het moment alleen beschikbaar voor de Windowsversie en moet door gebruikers zelf worden ingeschakeld. De reden dat de beveiligingsmaatregel niet standaard staat ingeschakeld heeft te maken met mogelijke compatibiliteitsproblemen met bestaande configuraties en policies in de omgevingen van klanten, aldus Adobes Chris Parkerson. De optie is echter eenvoudig in te stellen via: Edit > Preferences > Security (Enhanced) en dan Enable Protected Mode at startup (Preview) te selecteren. Een andere mogelijkheid is het instellen van een registersleutel. Wanneer de beveiligingsmaatregel naar andere platformen komt is nog niet bekend. bron: security.nl

Verschillende dating-apps, onder andere gericht op mensen met soa's en trio's, hebben 845 gigabyte aan gevoelige data gelekt. Het gaat om naaktfoto's en -filmpjes, audioberichten, privéchats, gebruikersnamen, financiële gegevens en persoonlijke details zoals e-mailadressen, geboortedata en echte namen. De data was voor iedereen op internet toegankelijk, zo ontdekten onderzoekers Noam Rotem en Ran Locar van vpnMentor. De dating-apps, met namen als Herpes Dating, BBW Dating en 3somes, zijn allemaal ontwikkeld door een ontwikkelaar met de naam "Cheng Du New Tech Zone". De apps maken gebruik van Amazon S3-buckets voor de opslag van gegevens. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren. Het ging in totaal om meer dan twintig miljoen bestanden. Hoeveel gebruikers door het datalek zijn getroffen is niet precies duidelijk, maar de onderzoekers schatten dat het in de honderdduizenden loopt. Naast gegevens van gebruikers vonden de onderzoekers ook adminwachtwoorden waarmee de Amazon Web Services-infrastructuur van de apps kon worden gecompromitteerd. De onbeveiligde S3-buckets werden op 24 mei ontdekt. De onderzoekers waarschuwden de ontwikkelaar op 26 mei en een dag later waren alle S3-buckets beveiligd. bron: security.nl

Aanvallers zijn erin geslaagd om op verschillende websites van Intersport en de webshop van modeketen Claire's malware te plaatsen die de creditcardgegevens van klanten stal. Beide bedrijven hebben de code inmiddels verwijderd. In het geval van Intersport ging het om de webshops van Kroatië, Servië, Slovenië, Montenegro en Bosnië en Herzegovina. Antivirusbedrijf ESET laat vandaag weten dat de code die de aanvallers aan de webshops toevoegden creditcardgegevens en andere persoonlijke data onderschepte en terugstuurde. Nadat de virusbestrijder Intersport had ingelicht werd de kwaadaardige code binnen een aantal uren verwijderd. Volgens securitybedrijf Sansec zijn de vijf Intersport-winkels vaker het doelwit geweest. Zo werd er op 30 april al eens code toegevoegd, die vervolgens op 3 mei werd verwijderd. Vervolgens was het op 14 mei weer raak. Naast de aanval op de Intersport-webshops meldt Sansec vandaag dat afgelopen april de webwinkel van modeketen Claire's werd gecompromitteerd en voorzien van malware. Claire's heeft ook verschillende fysieke vestigingen in Nederland. De kwaadaardige code werd tussen 25 en 30 april toegevoegd. De domeinnaam die de aanvallers bij de aanval gebruikten was al op 20 maart geregistreerd. Mogelijk dat de aanvallers vier weken nodig hebben gehad om de webshop te compromitteren, aldus Sansec. Claire's heeft de code inmiddels verwijderd en stelt dat het een onderzoek heeft ingesteld om te kijken van welke klanten de gegevens zijn gecompromitteerd, zodat het die kan waarschuwen. Creditcardbetalingen in de fysieke winkels hebben geen risico gelopen. Verder zijn zowel creditcardmaatschappijen als de autoriteiten gewaarschuwd. Update Intersport laat in een reactie aan Security.NL weten dat de malware die op de websites werd geplaatst geen persoonlijke data en creditcardgegevens heeft gestolen, aangezien betalingen via een ander betaalplatform lopen. bron: security.nl

Graag gedaan.

Snelladers laden met een hogere stroomsterkte of voltage. Als je telefoon geen snel laadtechnologie ondersteund, zal hij het hoge voltage of de stroomsterkte niet aan kunnen. Dan schakelt de oplader over naar het maximale voltage die de telefoon aan kan, waardoor de telefoon op de normale snelheid wordt opgeladen. Het hangt er dus van af of de telefoon snel laadtechnologie heeft. De Samsung A50 zou moeten kunnen snelladen alhoewel op internet ook een hoop meldingen van problemen te vinden. Ik zou gewoon,ondanks dat het trager is, de originele lader blijven gebruiken.

Dank Porrelaar voor je hulp. Bij deze zet ik het topic op slot.

Vorig jaar lanceerden de Amerikaanse burgerrechtenbeweging EFF, antivirusbedrijven en verschillende non-profitorganisaties die zich tegen huiselijk geweld inzetten een coalitie tegen 'stalkerware'. Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer. Een kenmerk van stalkerware is dat het de nodige moeite doet om niet te worden opgemerkt. De software wordt onder andere gebruikt door stalkers, ex-partners en echtgenoten die zich aan huiselijk geweld schuldig maken, aldus de EFF. De Coalition Against Stalkerware wil slachtoffers helpen, bijvoorbeeld door uit te leggen hoe stalkerware precies werkt en te verwijderen is. De coalitie werd afgelopen november aangekondigd. In dezelfde maand voerde het Oostenrijkse testlab AV-Comparatives een test uit hoe goed antivirussoftware voor Android en Windows stalkerware kan detecteren (pdf). De test werd vervolgens zes maanden later opnieuw uitgevoerd, om te kijken of de detectie in de tussentijd was veranderd. Het ging om zowel tien virusscanners voor Android als voor Windows. De detectie door de Androidscanners is sinds november verbeterd. Er zijn echter grote verschillen. Zo detecteerde de virusscanner van Panda vorige maand 35 procent van de twintig stalkerware-apps waarmee de test werd uitgevoerd. Kaspersky en Trend Micro weten daarentegen 95 procent te detecteren. Voor de test op Windows werd er met tien stalkerwareprogramma's getest. Ook op dit platform hebben de virusscanners de detectie sinds vorig jaar november weten te verbeteren. Avira en Microsoft detecteren zeven van de tien stalkerwareprogramma's. Bitdefender, ESET, Kaspersky en Norton weten alle tien de programma's te herkennen. Volgens AV-Comparatives is stalkerware voor Windows in vergelijking met de Androidprogramma's veel geraffineerder als het gaat om zichtbaarheid, toegangsrechten en bestandsdistributie op de harde schijf. "Veel van de geteste Windows-stalkerwareprogramma's weten hun aanwezigheid zeer effectief te verbergen", aldus het testlab. Sommige stalkerware vraagt gebruikers ook om de virusscanner op het toestel van het slachtoffer voor de installatie uit te schakelen. Voorkomen AV-Comparatives geeft ook verschillende tips om stalkerware te voorkomen. Zo moeten gebruikers alert zijn op smartphones die als cadeau worden gegeven. Verder is het belangrijk om een telefoon niet even aan iemand uit te lenen en moet er worden gelet op de prestaties en bijvoorbeeld of de telefoon snel leeg loopt. In het geval er stalkerware wordt aangetroffen moet van alle accounts het wachtwoord worden gewijzigd. bron: security.nl