Captain Kirk

Cisco heeft beveiligingsupdates voor de IOS XR-software uitgebracht waarmee twee kwetsbaarheden worden verholpen die al zeker een maand het doelwit van aanvallen zijn. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers. De kwetsbaarheden (CVE-2020-3566 en CVE-2020-3569) bevinden zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen. Op 29 augustus kwam Cisco met een waarschuwing dat er actief misbruik werd gemaakt van de kwetsbaarheden voor het uitvoeren van denial of service-aanvallen. Er werden vervolgens verschillende mitigaties genoemd om het probleem te verhelpen. Nu een maand later zijn er beveiligingsupdates voor de kwetsbaarheden verschenen. bron: security.nl

Zo'n 140.000 servers die Exchange 2010 draaien zullen over twee weken geen beveiligingsupdates meer ontvangen. Microsoft stopt op 13 oktober namelijk dan de support van de software. In maart van dit jaar werd Exchange 2010 nog op 166.000 servers aangetroffen, een aantal dat nu naar 140.000 is gedaald, zo blijkt uit onderzoek van securitybedrijf Rapid7. Microsoft heeft de afgelopen jaren verschillende service packs voor Exchange 2010 uitgebracht. Om nog beveiligingsupdates te ontvangen moeten servers over Exchange 2010 Service Pack 3 beschikken, een upgrade die in 2013 uitkwam. Rapid7 ontdekte dat van de 140.000 servers er echter 40.000 op Exchange Service Pack 1 of 2 draaien en dus al jarenlang geen beveiligingsupdates meer ontvangen. Bijna 54.000 Exchange 2010-servers bleken al zes jaar lang niet meer te zijn bijgewerkt met updates. Zo draaien er bijna 10.000 servers nog de eerste versie van Service Pack 3 die op 12 februari 2013 uitkwam. Verder telde Rapid7 ruim 16.000 Exchange 2007-servers die vanaf het internet toegankelijk zijn en waarvan de ondersteuning op 11 april 2017 eindigde. Ook bij andere Exchange-servers is het mis. Zo zijn er ruim 102.000 Exchange 2013-servers, waarvan er 35.000 de laatste update draaien. Tienduizenden van deze servers zijn in jaren niet geüpdatet. Op 11 april 2023 stopt Microsoft de ondersteuning van Exchange 2013. Bij Exchange 2016 en 2019 is de situatie niet anders en blijkt een meerderheid niet de laatste update te draaien. Organisaties die nog met Exchange 2010 werken wordt aangeraden om met spoed hun omgeving naar een wel ondersteunde versie te upgraden. In het geval van Exchange 2013 krijgen organisaties het advies om een migratieplan klaar te hebben liggen, zodat er tijdig kan worden overgestapt. Daarnaast doen organisaties er verstandig aan om de laatste Exchange-updates te installeren. bron: security.nl

Veel mensen werken nog altijd thuis en voor deze groep is het belangrijk dat ze hun persoonlijke computer en zakelijke computer gescheiden houden, zo stelt de Belgische politie. Zo wijst de Federale Politie naar een onderzoek waaruit blijkt dat thuiswerkers wekelijks tientallen risicovolle en frauduleuze websites bezoeken, die gevolgen kunnen hebben voor de veiligheid van hun bedrijf. "De frauduleuze sites hadden kunnen worden geblokkeerd als de werknemer vanop zijn computer op het werk werkte. De beveiliging is bij je thuis echter niet dezelfde", zo stelt de Belgische politie. Thuiswerkers krijgen dan ook het advies geen privézaken op de werkcomputer te doen. "Als je thuiswerkt en gebruikmaakt van een door je werkgever ter beschikking gestelde computer, beperk dan het gebruik ervan tot deze beroepsactiviteit", zegt commissaris Olivier Bogaert van de Federal Computer Crime Unit. bron: security.nl

Na Microsoft en de Amerikaanse overheid heeft ook Cisco een waarschuwing afgegeven voor actief misbruik van het "Zerologon-lek" in Windows Server. Volgens het netwerkbedrijf is er een toename van het aantal exploitpogingen zichtbaar. Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen. Microsoft bracht op 11 augustus een beveiligingsupdate uit. Vorige week waarschuwde het techbedrijf dat het aanvallen had waargenomen waarbij het beveiligingslek, dat de naam Zerologon heeft gekregen, actief werd misbruikt. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen. Het Amerikaanse ministerie van Homeland Security kwam vanwege de impact met een aparte "Emergency Directive" waarin federale overheidsinstanties werden verplicht om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Een aantal dagen later meldde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruik van de kwetsbaarheid en riep organisaties op om alle domeincontrollers meteen te patchen. Een advies dat door de Britse overheid werd overgenomen (pdf). Nu meldt Cisco dat het een stijging van het aantal exploitpogingen ziet. Securitybedrijf Pen Test Partners laat daarbij weten dat er ook een risico bestaat dat ontevreden eigen personeel van organisaties, wanneer er een eenvoudige 'point and click' exploit verschijnt, de kwetsbaarheid kan gaan misbruiken. bron: security.nl

Een koffiezetapparaat dat niet meer werkt omdat het met ransomware is geïnfecteerd, onderzoekers van antivirusbedrijf Avast hebben laten zien dat dit geen sciencefiction is. De aanval is mogelijk door de onveilige updateprocedure van het koffiezetapparaat van fabrikant Smarter. Het koffiezetapparaat is naast de normale manier ook via een app te bedienen. Wanneer de machine voor het eerst wordt aangezet creëert het een eigen wifi-netwerk waar de gebruiker via de bijbehorende app verbinding mee kan maken. Vervolgens kan de gebruiker het koffiezetapparaat zo instellen dat het verbinding maakt met zijn wifi-netwerk. Onderzoekers van Avast ontdekten dat de firmware van het koffiezetapparaat in de app zelf aanwezig is. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat. Die maakt namelijk geen gebruik van encryptie of digitale handtekeningen. Daarnaast schakelt het koffiezetapparaat het eigen onbeveiligde wifi-netwerk voor de updateprocedure in. "Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde", aldus de onderzoekers. Een aanvaller zou zo een kwaadaardige firmware-versie kunnen maken om die vervolgens naar het koffiezetapparaat te sturen. Daarbij zijn er verschillende aanvalsvectoren, bijvoorbeeld wanneer de machine nog niet is ingesteld en zijn eigen wifi-netwerk open heeft staan. Een andere aanvalsvector is via het wifi-netwerk, bijvoorbeeld via een op afstand gecompromitteerde router. Een derde optie is het gebruik van een malafide app die zich als de machine-app voordoet. Om te demonstreren dat een aanval mogelijk is ontwikkelden de onderzoekers een malafide firmware-versie die de machine onbruikbaar maakt door continu heet water en de koffiemolen te laten lopen. Daarnaast wordt de warmhouder ingeschakeld en verschijnt er een melding op de display die om losgeld vraagt. Het enige dat de gebruiker op dat moment kan doen is het uitschakelen van de machine, zo merken de onderzoekers op. De fabrikant laat op de eigen website weten dat deze versie van het koffiezetapparaat niet meer wordt ondersteund. Gebruikers moeten dan ook geen beveiligingsupdate verwachten, stelt Avast. Via Wigle vonden de onderzoekers 570 koffiezetapparaten van Smarter die nog niet zijn ingesteld, wat inhoudt dat iedereen in de buurt van deze machines die via het open wifi-netwerk van het apparaat zouden kunnen aanvallen. bron: security.nl

NAS-fabrikant QNAP heeft een waarschuwing afgegeven voor de AgeLocker-ransomware die bestanden op NAS-systemen versleutelt. Hoe de ransomware NAS-systemen weet te infecteren laat QNAP niet weten, maar het bedrijf stelt dat er aanwijzingen zijn gevonden dat AgeLocker het op oudere versies van Photo Station heeft voorzien. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. In mei werden er details over verschillende kwetsbaarheden in de QNAP-software gepubliceerd. Via de beveiligingslekken kan een aanvaller vanaf het internet en zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. QNAP had eind vorig jaar al beveiligingsupdates voor de kwetsbaarheden in Photo Station uitgebracht, die op een schaal van 1 tot en met 10 wat betreft de ernst allemaal met een 9,8 zijn beoordeeld. Aangezien de door AgeLocker gebruikte aanvalsvector nog niet bekend is adviseert QNAP in ieder geval om de laatste versie van het QTS-besturingssysteem en geïnstalleerde NAS-applicaties te installeren. "We zijn bezig met een uitgebreid onderzoek en zullen zo snel als mogelijk meer informatie vrijgeven" aldus de NAS-fabrikant. NAS-systemen van QNAP zijn geregeld het doelwit van malware. In juli waarschuwden het Britse National Cyber Security Centre (NCSC) en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat er wereldwijd 62.000 besmette QNAP NAS-systemen waren ontdekt. bron: security.nl

Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie. Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken. Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA. Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en vervolgens het dataverkeer onderscheppen. Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen. bron: security.nl

Cisco heeft een reeks kritieke patches uitgebracht voor Cisco IOS en IOS XE, de besturingssystemen waarop veel hardware van het bedrijf draait. Het gaat om een bundeling van 25 beveiligingsadviezen die gezamenlijk 34 kwetsbaarheden oplossen. Alle 25 beveiligingsadviezen hebben het label "hoog risico" gekregen. Uit de toelichting van Cisco blijkt dat kwaadwillenden dankzij meerdere fouten in het web management framework van IOS en IOS XE in staat zijn om beheerdersrechten op Cisco-apparatuur te verkrijgen.Verder blijken de industriële Cisco 800 Serie routers en de Cisco 1000 Connected Grid routers-serie overgenomen te kunnen worden door softwarefouten. Ook zijn er patches uitgebracht voor de Catalyst switches uit de 9000-serie. Bovendien wordt er nog een aantal DoS-kwetsbaarheden in de besturingssystemen opgelost. Organisaties die willen weten of hun Cisco-apparatuur kwetsbaar is voor een van de fouten, wordt aangeraden om de Cisco Software Checker te gebruiken. Cisco brengt naar eigen zeggen op verzoek van klanten twee keer per jaar een beveiligingsupdate voor IOS en IOS XE uit. Dit gebeurt elk jaar in maart en september. bron: security.nl

Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen. De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto's naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly . Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media. Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren. Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt. bron: security.nl

Op de server werden zoekopdrachten opgeslagen die met de mobiele Bing app zijn uitgevoerd. Behalve de zoekopdrachten van gebruikers uit ongeveer 70 landen, werden ook apparaatgegevens en gps-coördinaten opgeslagen. De server was beveiligd met een wachtwoord maar vanaf de eerste week van september was die beveiliging eraf, aldus Wizcase. Op 12 september ontdekte Wizcase de server waarna op 13 september Microsoft werd ingelicht over de server. Enkele dagen later nam Microsoft maatregelen. Volgens de onderzoekers werd tussen 10 en 12 september een ‘Meow’-aanval uitgevoerd waarbij bijna de hele database werd verwijderd en alleen het woord ‘meow’ achterblijft. Op 14 september werd een tweede Meow-aanval uitgevoerd. Wizcase verzamelde uiteindelijk ongeveer 100 miljoen datarecords en analyseerde de zoekopdrachten, waaronder ook zoekopdrachten naar schietpartijen en kinderporno. Een woordvoerder van Microsoft bevestigt tegenover The Register dat de misconfiguratie is hersteld en dat ‘een kleine hoeveelheid zoekopdrachten is uitgelekt’. “Na analyse hebben we vastgesteld dat de uitgelekte gegevens beperkt waren en niet tot personen herleidbaar." bron: security.nl

Ongeveer een week na de bekendmaking van Zerologon, de ernstige kwetsbaarheid in Windows Server welke hackers toegang kan geven tot interne netwerken, zijn hackers druk bezig om misbruik te maken van deze kwetsbaarheid. Dat constateert het Microsoft Security Intelligence team. “We hebben aanvallen waargenomen waarbij vrij verkrijgbare exploits worden ingezet”, aldus Microsoft op Twitter. Zerologon is een kwetsbaarheid die ruim een week geleden door het Nederlandse security-bedrijf Secura werd geopenbaard. Het geeft aanvallers de mogelijkheid om domeinbeheerder te worden zonder over inloggegevens te beschikken door een authenticatietoken voor de Netlogon-functie te vervalsen. Op 11 augustus publiceerde Microsoft een patch voor deze kwetsbaarheid. Omdat misbruik zo eenvoudig is, wordt het snel patchen van servers sterk aangeraden. Ook de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde vorige week nog voor het risico van uitbuiting van Zerologon. “Ongepatchte servers zijn aantrekkelijk voor hackers”, waarschuwde de organisatie. bron: security.nl

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor een opmars van LokiBot, de beruchte malware die informatie van slachtoffers steelt. Sinds twee maanden zien de experts van het CISA een duidelijke toename van het gebruik van LokiBot activiteiten op hun eigen EINSTEIN Intrusion Detection System. LokiBot werd voor het eerst in 2015 ontdekt. De malware richt zich met name op browsers, e-mailclients, FTP-programma’s en cryptowallets. De malware kan echter meer dan het stelen van logingegevens en andere informatie. In de afgelopen jaren is LokiBot in staat gebleken om te fungeren als een real-time key-logger en kan het ook wachtwoorden stelen. Tevens kan het screenshots maken van de desktop en fungeert LokiBot als een backdoor waarmee weer andere malware op de geïnfecteerde machine geplaatst kan worden. Overigens is het niet alleen het CISA dat een toename in het gebruik van LokiBot ziet, ook beveiligingsbedrijf ProofPoint bevestigt de waarnemingen van LokiBot- en Emotet-malware, zo melden diverse Amerikaanse media. bron: security.nl

De grootste bedreiging voor de beveiliging van endpoints is fileless malware. Dat concludeert Cisco na onderzoek van telemetriegegevens van de eerste helft van 2020. Fileless malware is een soort kwaadaardige software die werkt vanuit het geheugen van de pc van het slachtoffer, niet vanuit bestanden op de schijf. Dit maakt het moeilijker om te detecteren omdat er geen bestanden zijn om te scannen. Ook maakt het forensisch onderzoek moeilijker omdat de malware gewoon verdwijnt wanneer de computer van het slachtoffer opnieuw wordt opgestart. Uit de cijfers van Cisco blijkt dat fileless malware goed is voor 30 procent van de beveiligingsmeldingen. Hiervoor wordt vaak Kovter, Poweliks, Divergent en LemonDuck gebruikt. Een andere serieuze bedreiging vormen de zogenoemde dual-use tools, de apps die door de aanvaller voor zowel de exploitatie als daarna kunnen worden gebruikt. Voorbeelden van dual-use tools zijn PowerShell Empire, Cobalt Strike, Powersploit en Metasploit, die ook vaak worden gebruikt door bij pentesters. De derde grote bedreiging die Cisco is tegengekomen, is ‘credential dumping’, oftewel een tool om op gecompromitteerde pc’s op zoek te gaan naar login-gegevens. Dit wordt hoofdzakelijk gedaan met behulp van Mimikatz. Deze drie categorieën bedreigingen vormen samen ongeveer driekwart van alle beveiligingsmeldingen, schrijft Ben Nahorney op het Cisco-blog. De overige 25 procent bestaat uit onder meer ransomware, wormen zoals Ramnit en Qakbot, remote access trojans en bank trojans. bron: security.nl

In het tweede kwartaal van 2020 zijn massaal DDoS-aanvallen uitgevoerd. Volgens cijfers van cybersecuritybedrijf Nexusguard steeg het aantal DDoS-aanvallen in een jaar tijd met ruim 500 procent. Ten opzichte van het eerste kwartaal van 2020 was de stijging bijna 39 procent. De toename is vooral te wijten aan de sterke stijging van het aantal ‘bit-and-piece’ aanvallen. Bit-and-piece aanvallen zijn gericht op het ASN-niveau van de communicatie service provider (CSP) netwerken en daarbij worden kleine en gerichte DDoS-aanvallen over honderden IP-adressen verspreid om detectie te voorkomen. Uit de cijfers (pdf) blijkt dat de hoeveelheid bit-and-piece aanvallen in het tweede kwartaal met 570 procent is gegroeid ten opzichte van het eerste kwartaal van dit jaar. Verder is opvallend dat de meeste aanvallen (51%) kleiner waren dan 30Mbps. Ongeveer 4.000 aanvallen waren zelfs kleiner dan 5Mbps. “Er is een duidelijke afname van de omvang van de aanval, waarbij de daders ervoor kiezen om kleinschalig aanvalsverkeer te gebruiken om meer IP-prefixen /24 aan te vallen”, stelt Nexusguard. Bijna 8 op de 10 aanvallen duurde 90 minuten of korter. Zo’n 21 procent van de aanvallen duurde langer dan die 90 minuten. Dat brengt de gemiddelde duur van DDoS-aanvallen in het tweede kwartaal op ruim 137 minuten. bron: security.nl

Het Digital Trust Center, het CERT voor organisaties die opereren in niet-vitale onderdelen van de maatschappij, waarschuwt voor kwetsbaarheden in oude Magento webshopsoftware. De kwetsbaarheden in de oude software worden al misbruikt. Een betrouwbare bron heeft bij het DTC gemeld dat er ook Nederlandse domeinen (.nl) slachtoffer zijn van Magento-hacks. Magento Enterprise Edition (tegenwoordig Magento Commerce) wordt sinds juni van dit jaar niet meer ondersteund door eigenaar Adobe. Sinds die tijd verschijnen er geen updates meer. Dat is onlangs ook voor creditcardbedrijf VISA aanleiding geweest om webshopeigenaren te waarschuwen voor het gebruik van deze verouderde software. Het DTC roept webshophouders op om direct na te gaan of zij gebruik maken van Magento versie 1. “Wie gebruik maakt van Magento versie 1 is waarschijnlijk al gehackt of wordt dat op korte termijn”, zo luidt de waarschuwing van het DTC. Als een webshop gehackt is, zijn de betaalgegevens niet meer in veilige handen. Het advies is daarom aangifte te doen en de webshop offline te (laten) halen als er sprake is van een hack. Magento versie 1.14 werd in juli 2014 uitgebracht en heeft dus zes jaar support gehad. De meest actuele versie is Magento 2.4.0. bron: security.nl

Bewustwordingstrainingen op het gebied van cybersecurity en phishing moeten na ongeveer zes maanden herhaald worden om er voor te zorgen dat de medewerkers phishingmails goed blijven herkennen. Dat blijkt uit een onderzoek (PDF) dat door enkele Duitse universiteiten is uitgevoerd bij een organisatie uit de publieke sector. In Duitsland zijn publieke organisaties verplicht om een managementsysteem voor informatiebeveiliging (ISMS) te implementeren om medewerkers beter bewust te maken informatiebeveiliging. Het onderzoek richtte zich op de vraag hoe effectief die bewustwordingstrainingen na verloop van tijd nog zijn. Daarvoor werd er periodiek getest of medewerkers in staat waren om phishingmails te herkennen. De medewerkers werden verdeeld in testgroepen en kregen na vier, zes, acht, tien en twaalf maanden na afronding van hun training weer een phishingtest. Daaruit bleek dat de deelnemers na vier maanden nog prima in staat zijn om phishingmails te herkennen. Dat was niet meer het geval als de phishingtraining zes maanden of langer geleden was, schrijft ZDNet. De onderzoekers concludeerden dat het trainen van medewerkers op het gebied van security awareness en het detecteren van phishing-e- mails organisaties kan helpen om bepaalde aanvallen af te weren. Wel moet de training periodiek herhaald of opnieuw gevolgd worden, bij voorkeur elke zes maanden en met behulp van interactieve trainingen of videotrainingen. bron: security.nl

Microsoft heeft aan Internet Explorer een waarschuwing toegevoegd die gebruikers laat weten dat Adobe Flash Player na december 2020 niet meer wordt ondersteund. Dat laat het techbedrijf via de eigen website weten. Wanneer gebruikers op een site komen die Flash-content bevat verschijnt er een balk dat de ondersteuning over een aantal maanden afloopt. Deze waarschuwingsbalk zal tot 31 december 2020 elke zestig dagen verschijnen. Voor Enterprise-gebruikers is die via het Register uit te schakelen, aldus Microsoft. De balk verwijst naar een pagina van Microsoft waarin het einde van de Flash Player-support wordt besproken. Microsoft heeft Flash Player in Edge en Internet Explorer 11 ingebouwd en zal na december 2020 geen beveiligingsupdates meer voor de browserplug-in uitbrengen en die uit de eigen browsers verwijderen. Als eerste zal Flash Player in januari 2021 uit Chromium Edge verdwijnen, de nieuwe Edge-versie gebaseerd op de open source Chromium-browser. In het geval van Edge Legacy en Internet Explorer 11 wordt er een ander schema gehanteerd. Deze herfst komt Microsoft met een update genaamd "Update for Removal of Adobe Flash Player" die de browserplug-in uit de browsers verwijdert. In eerste instantie gaat het om een optionele update. In januari 2021 zal Microsoft Flash Player-versies van voor juni 2020 standaard in Edge Legacy en IE11 blokkeren. Volgend jaar zomer zal de update die Flash Player uit Edge Legacy en IE11 verwijdert onder gebruikers van Windows 10, Windows 8.1, Windows Server 2012 en Windows Embedded 8 worden uitgerold. bron: security.nl

De versleutelde e-maildienst Tutanota is al een maand het doelwit van ddos-aanvallen, waardoor gebruikers meerdere dagen geen gebruik van de dienst konden maken. De aanvallen begonnen halverwege augustus en de aanvallers veranderden steeds van aanvalsvector, aldus Tutanota. Afgelopen weekend werd de e-maildienst wederom onder vuur genomen en was deze week bezig om de aanval af te slaan. Zo konden honderden gebruikers afgelopen zondag geen gebruik van de e-maildienst maken. Een dag later was Tutanota opnieuw down. Een situatie die zich de afgelopen dagen meerdere keren herhaalde. De e-maildienst meldt nu via Twitter dat het de dienstverlening heeft hersteld. Volgens de e-maildienst is er geen losgeld geëist om de aanvallen te stoppen. "Het enige doel dat de aanvallers kunnen hebben is het beschadigen van Tutanota en te voorkomen dat mensen wereldwijd van versleutelde e-mail gebruikmaken", zegt Matthias Pfau, medeoprichter van Tutanota. bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid meldt een toename van spamcampagnes die de Emotet-malware verspreiden. Volgens het NCSC zitten de campagnes dermate goed in elkaar, dat er is besloten om een waarschuwing af te geven. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. "Eén van de karakteristieken van de malware is dat het adresboek van het slachtoffer wordt gebruikt om mailadressen te stelen die vervolgens weer worden ingezet voor verdere spam-mails. Hierdoor lijken de e-mails voor een ontvanger afkomstig te zijn van een bekende persoon", aldus het NCSC. Het doel van de huidige Emotet-campagnes is onbekend. Beveiligingsadvies Om infecties met Emotet te voorkomen adviseert het NCSC om verschillende best practices te volgen, zoals het blokkeren van bepaalde e-mailbijlagen met .dll, .exe, .zip en andere bestandsextensies. Tevens wordt aangeraden om gebruikers zo min mogelijk rechten te geven, netwerken en functies te scheiden en onnodige communicatie binnen netwerken en systemen zoveel mogelijk te beperken. Vorige week waarschuwden ook Frankrijk, Japan en Nieuw-Zeeland voor nieuwe Emotet-aanvallen. Daarnaast kwam Z-Cert met een waarschuwing voor de Nederlandse zorgsector. bron: security.nl

Bluetooth-apparaten zijn kwetsbaar voor een nieuwe spoofingaanval genaamd BLESA, waardoor een aanvaller foutieve of kwaadaardige data naar een apparaat kan sturen. Mogelijk zouden meer dan 1 miljard bluetooth-apparaten en 16.000 apps kwetsbaar zijn, aldus onderzoekers van de Purdue University. BLESA staat voor BLE Spoofing Attack en maakt misbruik van kwetsbaarheden in de "reconnection" procedure tussen twee eerder gepairde bluetooth low energy (BLE)-apparaten. Geregeld komen gepairde bluetooth-apparaten buiten elkaars bereik. Zodra de apparaten weer in elkaars buurt komen wordt de verbinding automatisch hersteld. De onderzoekers besloten naar deze procedure te kijken. Bij eerdere onderzoeken zou dit onderdeel van bluetooth namelijk geen aandacht hebben gekregen. Het onderzoek leverde twee ontwerpfouten in BLE op. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren en IoT-apparaten maken er gebruik van. Bij sommige van de BLE-apparaten is de authenticatie tijdens de reconnection optioneel in plaats van verplicht. Bij andere apparaten blijkt dat de authenticatie is te omzeilen wanneer het apparaat van de gebruiker het bluetooth-apparaat niet dwingt om de uitgewisselde data te authenticeren. Zodoende kan een aanvaller zich voordoen als het bluetooth-apparaat waarmee de gebruiker bijvoorbeeld via zijn telefoon verbinding maakt. Vervolgens zijn verschillende soorten aanvallen mogelijk. Zo kunnen er kwaadaardige toetsaanslagen naar de smartphone of desktop worden verstuurd wanneer die met een bluetooth-keyboard opnieuw verbinding maken. Een andere mogelijkheid is om een verkeerde bloedsuikerspiegel weer te geven wanneer de gebruiker via zijn smartphone data van een bloedsuikermeetapparaat uitleest. Een derde aanval die de onderzoekers noemen is het versturen van valse fitnessgegevens wanneer de gebruiker opnieuw verbinding maakt met zijn fitnesstracker. "Deze kwetsbaarheid heeft een grote impact op de mainstreamplatformen die BLE-communicatie ondersteunen, waaronder Linux, Android en iOS", zegt onderzoeker Jianliang Wu. "Volgens recent onderzoek maken meer dan 1 miljard BLE-apparaten geen gebruik van applicatielaagbeveiliging, wat als een tweede verdedigingslinie kan dienen." Wu voegt toe dat zeker 8.000 Android BLE-apps met 2,38 miljard installaties de data van BLE-apparaten in plaintext lezen. Mogelijk is de situatie bij iOS-apps hetzelfde, merkt de onderzoeker op. De onderzoekers waarschuwden Apple en Google. Apple heeft het probleem in juni via iOS 13.4 en iPadOS 13.4 verholpen, zo meldt de universiteit in een persbericht. Het Androidtoestel van de onderzoekers is nog altijd kwetsbaar, zo schrijven ze in het onderzoeksrapport. In onderstaande video wordt de aanval gedemonstreerd. bron: security.nl

Een groep aanvallers maakt actief misbruik van bekende kwetsbaarheden in Pulse Secure, Citrix en BIG-IP om organisaties aan te vallen, zo laten de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een waarschuwing weten. Het zou om een vanuit Iran opererende groep gaan die ook bekend staat als Pioneer Kitten en UNC757. De groep zoekt actief op internet naar kwetsbare vpn-servers en probeert vervolgens toegang te krijgen. Het gaat hierbij om kwetsbaarheden in de eerder genoemde producten waarvoor al geruime tijd beveiligingsupdates beschikbaar zijn. Zodra er toegang is verkregen proberen de aanvallers inloggegevens van beheerders te bemachtigen. Daarmee wordt een webshell geïnstalleerd om toegang tot het gecompromitteerde systeem te behouden, aldus de waarschuwing van de FBI en het CISA. Het doel van de aanvallers is vermoedelijk het stelen van gevoelige gegevens, zo blijkt uit het gebruik van het programma 7-Zip en het bekijken van gevoelige documenten. Ook zou de groep toegang tot gecompromitteerde organisaties aan cybercriminelen verkopen. Het vermoeden bestaat dat de groep als "contractor" werkt voor de belangen van de Iraanse overheid, maar met de aanvallen ook het eigen financiële gewin dient. Zowel federale Amerikaanse overheidsinstanties alsmede andere in de VS gebaseerde netwerken zijn het doelwit van de aanvallers geworden. In de waarschuwing geven de FBI en het CISA een omschrijving van de werkwijze van de groep, alsmede adviezen om netwerken te beveiligen, waaronder het up-to-date houden van software. bron: security.nl

Organisaties of eindgebruikers die hun printer wegdoen moeten controleren dat die geen harde schijf bevat, anders kunnen eerder gemaakte afdrukken in verkeerde handen terechtkomen, zo waarschuwt de Belgische politie vandaag. Veel printers beschikken tegenwoordig over een harde schijf die de te printen data opslaat, zodat afdrukken bijvoorbeeld sneller kunnen worden gemaakt. In het geval van diefstal of wanneer de printer wordt weggedaan is het belangrijk hiermee rekening te houden, alsmede waar de printer wordt neergezet. "Natuurlijk in de veronderstelling dat het toestel een harde schijf heeft waarop de kopieën van de afgedrukte documenten meerdere weken of maanden bewaard worden. Wanneer je de printer moet vervangen, is het ook zeer belangrijk om de harde schijf eruit te halen voor je hem wegdoet", stelt Olivier Bogaert van de Computer Crime Unit van de Federale Politie. Tevens raadt Bogaert aan om in het geval van wifi-printers met MAC-filtering te werken, waarbij alleen het MAC-adres van bepaalde apparaten verbinding met de printer mogen maken. "In de instellingen van de printer kun je bepalen aan welke toestellen je toestemming geeft om hem te gebruiken. Op die manier kunnen toestellen van derden er geen gebruik van maken, zelfs al is hij zichtbaar op je netwerk." bron: security.nl

Een kritieke kwetsbaarheid in Windows Server geeft aanvallers de mogelijkheid om domeinbeheerder te worden en details over het beveiligingslek zijn nu openbaar gemaakt. De kwetsbaarheid wordt Zerologon genoemd en werd ontdekt door het Nederlandse securitybedrijf Secura. Vorige maand rolde Microsoft beveiligingsupdates uit voor het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld. De kwetsbaarheid (CVE-2020-1472) wordt veroorzaakt door het onveilig gebruik van AES-CFB8-encryptie door het Netlogon Remote Protocol. Deze interface is beschikbaar op Windows-domeincontrollers en wordt gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers. Het gaat dan bijvoorbeeld om het laten inloggen van gebruikers via het NTLM-protocol en het updaten van de wachtwoorden van computers. De AES-CFB8-standaard vereist dat elke byte van plaintext, zoals een wachtwoord, over een willekeurige initialization vector (IV) beschikt. Dit moet voorkomen dat het wachtwoord wordt geraden. Een functie van Netlogon stelt echter dat de IV altijd uit 16 zero bytes bestaat. "Voor 1 op de 256 keys zal het gebruik van AES-CFB8-encryptie voor een all-zero plaintext in all-zero ciphertext resulteren", zo stellen de onderzoekers van Secura. Wanneer een client tijdens het inloggen een challenge van acht nullen opgeeft, zal voor 1 van de 256 sessiekeys de juiste client credential ook uit acht nullen bestaan. "Het verwachte gemiddelde aantal pogingen zal 256 zijn, wat in de praktijk drie seconden duurt", zo laten de onderzoekers verder weten. Door de kwetsbaarheid kan een aanvaller een authenticatietoken voor de Netlogon-functie vervalsen en zich zo tegenover de domeincontroller als elke computer op het netwerk voordoen. Alleen het versturen van een aantal Netlogon-berichten waarin verschillende velden met nullen zijn gevuld maken het voor een aanvaller mogelijk om het wachtwoord van de domeincontroller aan te passen die in de ActiveDirectory is opgeslagen. Dit kan vervolgens worden gebruikt om het wachtwoord van de domeinbeheerder te verkrijgen en het originele domeincontroller-wachtwoord te herstellen, aldus Secura in een uitleg over de aanval. De enige vereiste voor het uitvoeren van een aanval is dat de aanvaller vanaf het lokale netwerk de domeincontroller kan benaderen. Deze RPC-verbinding kan zowel direct of via SMB worden opgezet. De aanval zelf is volledig ongeauthenticeerd. De aanvaller hoeft niet over inloggegevens te beschikken. De gevolgen zijn echter groot, aangezien een aanvaller wel volledige controle over het netwerk kan krijgen. Secura heeft naast een whitepaper over de kwetsbaarheid (pdf) op GitHub een testtool uitgebracht waarmee organisaties kunnen testen of ze kwetsbaar zijn. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt dat er exploitcode voor de kwetsbaarheid online is verschenen. Securitybedrijven Rapid7 en Tenable verwachten dat erop korte termijn misbruik van het lek zal worden gemaakt, bijvoorbeeld voor het verspreiden van ransomware. Voor het uitvoeren van de aanval moet een aanvaller wel toegang tot het lokale netwerk van een organisatie hebben, maar dat blijkt in de praktijk niet altijd een probleem, zoals meerdere ransomware-aanvallen in het verleden hebben aangetoond. bron: security.nl

Bij een grootschalige aanval op Magento-webwinkels zijn dit weekend bijna tweeduizend webshops van malware voorzien die creditcard- en persoonsgegevens van klanten steelt. Het grootste deel van de getroffen webwinkels draait op Magento versie 1, die sinds juni end-of-life is en niet meer met beveiligingsupdates wordt ondersteund. Dat meldt beveiligingsonderzoeker Willem de Groot van securitybedrijf Sansec. Veel van de webwinkels hadden geen verleden als het om beveiligingsincidenten gaat, aldus De Groot. "Dit suggereert een nieuwe aanvalsmethode om toegang tot deze winkels te krijgen." De exacte aanvalsvector wordt nog onderzocht, maar de onderzoeker sluit niet uit dat er gebruik is gemaakt van een zeroday-exploit voor Magento 1 die onlangs op internet te koop werd aangeboden. Wereldwijd zouden nog zo'n 95.000 webwinkels op Magento 1 draaien. Bij de nu waargenomen aanvallen installeren de aanvallers een webshell en krijgen zo volledige toegang tot de webshop. Vervolgens wordt er malware aan de bestelpagina van de gecompromitteerde winkels toegevoegd. Zodra klanten afrekenen worden hun gegevens onderschept en naar de aanvallers teruggestuurd. De Groot schat dat op deze manier de gegevens van duizenden klanten in handen van criminelen zijn gekomen. bron: security.nl

Een kritieke kwetsbaarheid in de firewalls van Palo Alto Networks maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code met rootrechten op het systeem uit te voeren. Alleen het versturen van een speciaal geprepareerd request naar een kwetsbaar apparaat is voldoende. Het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 is beoordeeld, is aanwezig in PAN-OS, het besturingssysteem van de firewalls. Het probleem doet zich alleen voor wanneer Captive Portal of Multi-Factor Authentication (MFA) zijn ingeschakeld. Via MFA zijn gevoelige services en applicaties te beschermen, aldus het netwerkbedrijf. Wanneer een aanvaller een speciaal geprepareerd request naar de interface van de Captive Portal of Multi-Factor Authentication stuurt kan er een buffer overflow ontstaan en is het uitvoeren van code met rootrechten mogelijk. Gisteren kwam Palo Alto Networks met een beveiligingsupdate voor de kwetsbaarheid. Via zoekmachine Shodan zijn meer dan 14.000 PAN-OS-apparaten te vinden, meldt securitybedrijf Tenable. Hoeveel van deze apparaten kwetsbaar zijn is onbekend. In juni van dit jaar werd er een andere kritieke kwetsbaarheid in PAN-OS ontdekt waardoor een aanvaller op afstand en zonder geldige inloggegevens onder andere toegang tot gateways, vpn's en portals kon krijgen. De Amerikaanse overheid riep organisaties destijds op om de beveiligingsupdate meteen te installeren. Het gisteren verholpen beveiligingslek heeft geen impact op de GlobalProtect VPN of de PAN-OS managemeninterfaces. bron: security.nl