Captain Kirk

Onderzoekers van het Nederlands Security Meldpunt hebben 313.000 WordPress-sites met een .nl-domeinnaam gescand op kwetsbaarheden. Zo werd er onder andere gekeken naar het versienummer van de WordPress-installatie en geïnstalleerde plug-ins. Aan de hand van de scanresultaten zijn de onderzoekers begonnen met het waarschuwen van de betreffende webmasters en eigenaren. De eerste waarschuwingen die zijn verstuurd gaan over publiekelijk leesbare dump.sql- en installer-log.txt-bestanden. Deze bestanden kunnen gevoelige informatie bevatten. Zo is via installer-log.txt de inhoud van een zip-bestand te vinden met daarin weer bestanden die bijvoorbeeld databasewachtwoorden bevatten. Het bestand blijft achter bij de migratie via de Wordpress-plug-in Duplicator. Door middel van de bestanden kunnen aanvallers WordPress-sites volledig overnemen of toegang tot allerlei vertrouwelijke informatie krijgen. In de e-mail die het Nederlands Security Meldpunt verstuurt wordt advies gegeven om gevonden problemen te verhelpen. Daarnaast wordt WordPress-beheerders aangeraden om hun installaties en plug-ins up-to-date te houden. bron: https://www.security.nl

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder werd op 24 november gewezen op een "acces permission" probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen. Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. Daarnaast worden er aanvullende maatregelen getroffen om herhaling te voorkomen. bron: https://www.security.nl

Een kwetsbaarheid in de website van Xbox Live maakte het mogelijk om het e-mailadres en de naam van gebruikers te achterhalen. De enige vereiste voor een aanvaller was dat hij over de gamertag van een doelwit beschikte. Meerdere personen wisten het beveiligingslek te vinden voordat het door Microsoft werd verholpen. De kwetsbaarheid was aanwezig in de website enforcement.xbox.com, waar gamers terecht kunnen als ze bijvoorbeeld op het Xbox-netwerk zijn geschorst. Wanneer gebruikers op de website inloggen wordt er een cookie aangemaakt met details over de sessie. Dit cookiebestand bevatte een onversleuteld Xbox user ID (XUID). Door het XUID via standaard browsertools met een ander XUID te vervangen was het mogelijk om de voor- en achternaam en het e-mailadres dat bij dit XUID hoorde te bekijken. "Ik probeerde de cookiewaarde te vervangen en deed een refresh, waarna ik het e-mailadres van andere gebruikers kon zien", laat beveiligingsonderzoeker Joseph "Doc" Harris tegenover ZDNet weten. Eerder berichtte ook al Vice Magazine over de kwetsbaarheid. Microsoft heeft het probleem verholpen door het XUID te versleutelen, stelt Harris. In onderstaande video demonstreert hij de kwetsbaarheid met een testaccount. bron: https://www.security.nl

Microsoft Defender, de gratis antivirussoftware die standaard aanwezig is in Windows 10, heeft wederom tijdens een antivirustest van het Duitse testlab AV-Test Institute de maximale score gehaald. De gratis virusscanner scoorde beter dan betaalde pakketten zoals Bitdefender, ESET en G Data. Voor de test werden in totaal 22 anti-viruspakketten beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 334 "zero-day" malware-exemplaren en ruim 12.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 98,8 procent gehaald. De test met de ruim 12.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Veertien virusscanners scoren op beide onderdelen 100 procent. Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Cylance en PC Matic zetten met respectievelijk 2,5 en 4 punten de laagste detectiescore neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Achttien van de 22 pakketten scoren de maximale 6 punten. De overige vier antivirusprogramma's volgen met 5,5 punten, wat aangeeft dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. Cylance eindigt met vier punten wederom onderaan. Van de 22 virusscanners weten er uiteindelijk tien op de alle drie de vlakken maximaal te scoren. Het gaat om AhnLab, BullGuard, F-Secure, Kaspersky, McAfee, Microsoft, Northguard, NortonLifeLock, Trend Micro en Vipre Security. Cylance is met 12,5 punten hekkensluiter. Het is de derde test op rij van dit jaar dat Microsoft Defender van AV-Test de maximale score krijgt. Informatie die Microsoft via Defender verzameld wordt ook binnen de zakelijke beveiligingsoplossing van het techbedrijf gebruikt, waar organisaties voor moeten betalen. bron: https://www.security.nl

Het Britse National Cyber Security Centre (NCSC) heeft een waarschuwing afgegeven voor een kwetsbaarheid in de software van MDM-aanbieder MobileIron waar landen en criminelen gebruik van maken om Britse organisaties aan te vallen. MobileIron is een aanbieder van mobile device management (MDM)-software waarmee organisaties de apparaten van hun medewerkers op afstand kunnen beheren. De centrale server waarop de MDM-software draait is een aantrekkelijk doelwit voor aanvallers, aldus het NCSC. Op 15 juni kwam MobileIron met een beveiligingsupdate voor een kritieke kwetsbaarheid in MobileIron Core & Connector, MobileIron Sentry en MobileIron Monitor and Reporting Database (RDB). Het beveiligingslek (CVE-2020-15505) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Door middel van "ongespecificeerde vectoren" kan een aanvaller op afstand willekeurige code op de MDM-server uitvoeren. In september verscheen er proof-of-concept exploitcode waarmee kwetsbare systemen zijn aan te vallen. Sindsdien maken zowel vijandelijke statelijke actoren als cybercriminelen misbruik van de kwetsbaarheid, aldus het NCSC. Zowel gezondheidszorg, lokale overheden, logistieke bedrijven en de juridische sector zijn het doelwit van aanvallen geweest. In oktober waarschuwden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat organisaties via het MobileIron-lek waren aangevallen. Daarnaast stond CVE-2020-15505 in een Top 25 van meest aangevallen kwetsbaarheden die de NSA publiceerde. Eind oktober kwam MobileIron met een bericht dat het sinds het verschijnen van de beveiligingsupdate klanten onder andere heeft gebeld en gemaild om de patch te installeren. Dat zou ervoor hebben gezorgd dat eind oktober naar schatting tussen de 90 en 95 procent van alle MDM-systemen up-to-date was. Organisaties die de update nog niet hebben geïnstalleerd worden door het NCSC en MobileIron opgeroepen dit te doen. bron: https://www.security.nl

Een kwetsbaarheid in cPanel, een populair controlepaneel voor het beheren van websites, maakte het mogelijk om de tweefactorauthenticatie (2FA) tijdens het inloggen te omzeilen. CPanel wordt volgens de ontwikkelaars door meer dan 70 miljoen websites gebruikt. Als extra beveiliging kunnen webmasters tweefactorauthenticatie inschakelen, zodat er naast een wachtwoord een extra code moet worden ingevoerd. CPanel bleek geen beperkingen aan het aantal ingevoerde 2FA-codes te stellen. Door middel van een bruteforce-aanval had een aanvaller op deze manier de tweefactorauthenticatie kunnen omzeilen. De kwetsbaarheid werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 4,3 beoordeeld. CPanel heeft een update uitgebracht om het probleem te verhelpen. Het controlepaneel behandelt een verkeerde ingevoerde 2FA-code nu op dezelfde manier als een verkeerd ingevoerd wachtwoord. Daarnaast wordt er nu rate limiting toegepast om het aantal inlogpogingen te beperken. Beheerders krijgen het advies om te updaten naar cPanel build 11.92.0.2, 11.90.0.17 of 11.86.0.32. bron: https://www.security.nl

Wie een gratis tls-certificaat voor zijn website zoekt kan voortaan naast Let's Encrypt ook bij certificaatautoriteit ZeroSSL terecht. Het bedrijf biedt via het ACME-protocol gratis tls-certificaten aan. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen. Door ZeroSSL uitgegeven certificaten zijn, net als bij Let's Encrypt, negentig dagen geldig. ZeroSSL ondersteunt ook multidomein- en wildcardcertificaten. Volgens beveiligingsonderzoeker Scott Helme kan ZeroSSL als alternatief voor Let's Encrypt dienen en zorgt het voor meer diversiteit. Wanneer Let's Encrypt bijvoorbeeld met een storing te maken heeft kan er door middel van ACME snel op ZeroSSL worden teruggevallen. Op deze manier wordt een "single point of failure" voorkomen, merkt Helme op. Daarnaast wordt het zo eenvoudiger gemaakt om van certificaatautoriteit te veranderen. Let's Encrypt liet onlangs nog weten dat miljoenen sites die van de certificaten gebruikmaken volgend jaar niet meer op oude Androidtelefoons werken. Dan verloopt het rootcertificaat dat deze telefoons gebruiken om de certificaten van Let's Encrypt te vertrouwen. Een update naar een nieuwer rootcertificaat hebben deze telefoons nooit ontvangen. Het rootcertificaat waar ZeroSSL gebruik van maakt is sinds Android 6.0 aanwezig en verloopt pas in 2038. bron: https://www.security.nl

Onderzoekers hebben in een onbeveiligde database die voor iedereen op internet toegankelijk was honderdduizenden gestolen Spotify-wachtwoorden ontdekt. De inloggegevens waren bij andere websites buitgemaakt en vervolgens gebruikt om op Spotify-accounts in te loggen van gebruikers die hun wachtwoorden hergebruiken. De in totaal 72 gigabyte grote Elasticsearch-database bevatte meer dan 380 miljoen records, waaronder e-mailadressen, gebruikersnamen en wachtwoorden en de locatie van de gebruikers. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. In dit geval was de database van een fraudeur die door middel van een credential stuffing-aanval had geverifieerd of de gestolen wachtwoorden ook bij Spotify werkte. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Volgens onderzoekers van vpnMentor, die de database ontdekten, ging het om de inloggegevens van 300.000 tot 350.000 Spotify-gebruikers. De onderzoekers waarschuwden de online muziekdienst, waarna Spotify besloot om de wachtwoorden van alle getroffen gebruikers te resetten. bron: https://www.security.nl

VMware heeft een waarschuwing gegeven voor een kritieke kwetsbaarheid in One Access en gerelateerde onderdelen waarvoor nog geen beveiligingsupdate beschikbaar is. Wel is er als oplossing een workaround gegeven. Het beveiligingslek is aanwezig in Workspace One Access, Workspace One Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation en vRealize Suite Lifecycle Manager. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. Ondanks de verschillende voorwaarden voor een succesvolle aanval is de kwetsbaarheid (CVE-2020-4006) op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 beoordeeld. VMware werkt aan een beveiligingsupdate voor de kwetsbaarheid. Wanneer die zal verschijnen is nog onbekend. In de tussentijd is er een workaround die organisaties kunnen implementeren. bron: https://www.security.nl

Een verzameling van 226 miljoen gestolen e-mailadressen en 40 miljoen wachtwoorden, afkomstig van mogelijk 23.000 gecompromitteerde websites, is aan datalekzoekmachine Have I Been Pwned toegevoegd. De dataverzameling is afkomstig van Cit0day, een inmiddels uit de lucht gehaalde website. Deze website bood tegen betaling toegang tot gestolen databases met e-mailadressen, gebruikersnamen en plaintext wachtwoorden. Volgens de website beschikte het over 23.000 gestolen databases. Cit0day werd in september door de Amerikaanse autoriteiten offline gehaald, waarna de complete databaseverzameling op allerlei fora en Telegramkanalen verscheen. Zowel e-mailadressen als wachtwoorden zijn aan Have I Been Pwned toegevoegd, zo laat oprichter en onderzoeker Troy Hunt weten. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 226 miljoen gestolen e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend. Naast het zoeken op gelekte e-mailadressen biedt Have I Been Pwned ook een service genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden die bij websites zijn gestolen. Gebruikers kunnen op wachtwoorden zoeken of die gecompromitteerd zijn of de volledige verzameling als wachtwoordhash downloaden. De dataverzameling van Cit0day bevatte 40 miljoen wachtwoorden die aan Pwned Passwords zijn toegevoegd. Het gaat om wachtwoorden die plaintext door websites waren opgeslagen of waarvan de hash is gekraakt. bron: https://www.security.nl

Een beveiligingslek in videoconferentiesoftware Cisco Webex maakt het mogelijk voor een ongeauthenticeerde aanvaller om ongezien aan een vergadering deel te nemen. Daarnaast zijn er twee kwetsbaarheden gevonden waardoor geschorste deelnemers de audio van de vergadering kunnen blijven beluisteren en een ongeauthenticeerde aanvaller gevoelige informatie van de meeting room lobby kan bekijken. Cisco heeft updates uitgebracht om de problemen te verhelpen. Het probleem waarbij een aanvaller aan een vergadering kon deelnemen zonder op de deelnemerslijst te verschijnen werd volgens Cisco veroorzaakt door het niet goed verwerken van authenticatietokens. Verdere details worden niet gegeven. Wel meldt Cisco dat een aanvaller over de link en het wachtwood van de meeting moest beschikken. Vervolgens was het mogelijk om aan de meeting deel te nemen zonder in deelnemerslijst te verschijnen en had de aanvaller volledige toegang tot audio, video, chat en screensharingmogelijkheden. Daarnaast was er een probleem waarbij een uit de vergadering verwijderde aanvaller of deelnemer toegang tot de audio kon behouden. Een synchronisatieprobleem tussen meeting- en mediaservices op een kwetsbare Webex-site was de boosdoener, aldus Cisco. Dit probleem werd veroorzaakt door het droppen van bepaalde "key control messages" die over de opgezette WebSockets werden uitgewisseld. Dit zorgde ervoor dat de deelnemer niet meer zichtbaar was op de deelnemerslijst, maar de audioverbinding actief bleef. Bij de derde kwetsbaarheid werd gevoelige deelnemersinformatie niet goed beveiligd, waardoor een aanvaller toegang kon krijgen tot onder andere e-mailadressen en ip-adressen van Webex-deelnemers die in de lobby wachtten. Uitgebreide details over de drie kwetsbaarheden, die door IBM werden gevonden, zijn niet gegeven. Mogelijk dat die na de uitrol van de beveiligingsupdates verschijnen. bron: https://www.security.nl

Extensies voor Google Chrome laten vanaf januari 2021 aan gebruikers zien welke data ze verzamelen en hoe hiermee wordt omgegaan, zo heeft Google aangekondigd. Daarnaast heeft Google het beleid aangepast waarin staat wat ontwikkelaars met verzamelde data mogen doen. Extensies moeten straks in de Chrome Web Store vermelden welke data ze verzamelen, op een manier die vergelijkbaar is met het privacylabel van Apple. Het gaat dan bijvoorbeeld om zaken als persoonlijke identificeerbare informatie, authenticatiegegevens en gebruikersactiviteit. Naast informatie over de verzamelde data moet de extensie-ontwikkelaar ook aangeven wat hij niet met de gegevens zal doen. Dit is gebaseerd op aangepast beleid van Google. Zo mag gebruikersdata niet voor gepersonaliseerde advertenties worden gebruikt, is de verkoop van gebruikersdata niet toegestaan, mag gebruikersdata niet worden gebruikt om de kredietwaardigheid van de gebruiker te bepalen en is het uitwisselen van gebruikersdata alleen toegestaan wanneer dit in het belang van de gebruiker is en overeenkomt met het doel van de extensie. Ontwikkelaars kunnen de informatie over hun extensie via het developer dashboard van Google toevoegen. Vanaf 18 januari 2021 zal de informatie in de Chrome Web Store worden getoond. Bij extensies waar dit niet is gedaan zal Google een melding tonen dat de ontwikkelaar geen informatie heeft gegeven over het verzamelen en gebruiken van gebruikersdata. bron: https://www.security.nl

De Amerikaanse hostingprovider Managed.com is na een ransomware-aanval offline gegaan, waardoor ook websites van klanten onbereikbaar zijn. Dat heeft het bedrijf via de eigen statuspagina bekendgemaakt. De aanval vond afgelopen maandag plaats. In eerste instantie meldde Managed.com dat er een "probleem" met de hostingdiensten was, wat gevolgen had voor de bereikbaarheid van de websites van "sommige klanten". Gisteren liet de hostingprovider in een nieuwe verklaring weten dat het om een ransomware-aanval ging. "Om de integriteit van de data van onze klanten te beschermen is een beperkt aantal getroffen sites meteen offline gehaald", aldus de verklaring. Na verder onderzoek werd vervolgens, uit voorzorg volgens Managed.com, besloten om het gehele systeem uit te schakelen en zo de websites van klanten te beschermen. "Onze eerste prioriteit is de veiligheid van uw data", zo stelt het bedrijf. De hostingprovider is nu bezig om de getroffen systemen op te schonen en te herstellen. Om wat voor ransomware het gaat en hoe de systemen besmet konden raken is niet bekendgemaakt. Op Twitter klagen verschillende klanten dat hun websites offline zijn. Ook de website van Managed.com is op het moment van schrijven onbereikbaar. bron: https://www.security.nl

Cisco waarschuwt organisaties voor meerdere kwetsbaarheden in Security Manager, een product voor het monitoren en beheren van firewalls, routers en andere netwerkapparaten. Via de beveiligingslekken kan een aanvaller gevoelige informatie van het systeem stelen of hierop willekeurige commando's uitvoeren. Het gaat in totaal om drie kwetsbaarheden waarvan er twee zijn gepatcht. Een update voor de derde kwetsbaarheid zou binnenkort moeten verschijnen. De kwetsbaarheden waren door beveiligingsonderzoeker Florian Hauser ontdekt en aan Cisco gerapporteerd. Op 11 november liet hij via Twitter weten dat hij Cisco vier maanden geleden voor de problemen had gewaarschuwd. Cisco bracht op 10 november Security Manager versie 4.22 uit, maar in de release notes werd niets over de kwetsbaarheden vermeld. Daarop besloot Hauser om op 16 november verschillende proof-of-concept exploits te publiceren. Cisco liet vervolgens weten dat twee van de drie kwetsbaarheden in versie 4.22 waren verholpen en publiceerde de bijbehorende security-advisories. De gevaarlijkste kwetsbaarheid is CVE-2020-27130. Op een schaal van 1 tot en met 10 wat betreft de ernst is dit lek met een 9,1 beoordeeld. Door middel van path traversal kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie van het systeem benaderen en willekeurige bestanden downloaden. Het tweede beveiligingslek waarvoor een update verscheen is CVE-2020-27125. Het betreft een kwetsbaarheid waardoor statische credentials in de software niet goed zijn beschermd. Een ongeauthenticeerde aanvaller kan deze inloggegevens zodoende op afstand bekijken en voor verdere aanvallen gebruiken. Dit beveiligingslek werd met een 7,4 beoordeeld. Voor kwetsbaarheid nummer drie, aangeduid als CVE-2020-27131, is nog geen update beschikbaar. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller op afstand commando's met systeemrechten op het systeem uitvoeren. De patch voor dit probleem zal worden verwerkt in Service Pack 1, die in de komende weken moet verschijnen. bron: https://www.security.nl

Er is een grootschalige aanval tegen WordPress-sites ontdekt die gebruikmaken van themes die op het Epsilon-framework zijn gebaseerd, zo meldt securitybedrijf Wordfence. De in totaal vijftien themes waar de aanvallers het op hebben voorzien zijn naar schatting op meer dan 150.000 WordPress-sites geïnstalleerd. Het aantal WordPress-sites dat de aanvallers op de kwetsbare themes controleren ligt vele malen hoger. Zo zag Wordfence aanvallen tegen meer dan 1,5 miljoen websites. Het gaat hier alleen om websites die van de Wordfence-plug-in gebruikmaken. Het werkelijke aantal sites ligt dan ook mogelijk hoger. Volgens het securitybedrijf zijn de aanvallen afkomstig van meer dan 18.000 ip-adressen. Vooralsnog kijken de aanvallers alleen of de kwetsbare themes geïnstalleerd zijn. Via de beveiligingslekken is remote code execution mogelijk en kan een aanvaller volledige controle over de website krijgen. Details over de aanvallen wil Wordfence nog niet geven. Van de vijftien kwetsbare themes zijn Shapely (60.000 installaties), NewsMag (20.000 installaties), Activello en Illdy (beide 10.000 installaties) het populairst. Gebruikers van de themes wordt aangeraden om, wanneer mogelijk, naar de nieuwste versie te updaten. In het geval er geen update beschikbaar is wordt geadviseerd het theme in kwestie uit te schakelen. bron: https://www.security.nl

Gebruikers van Google Chrome die naar de nieuwste versie van de browser updaten hebben een grote kans dat ze standaard geen gebruik meer van FTP kunnen maken. Google heeft in Chrome 87 de FTP-ondersteuning bij de helft van de gebruikers namelijk uitgeschakeld. Gebruikers kunnen in deze versie de FTP-support nog wel inschakelen. In de volgende Chrome-versie zal de ondersteuning van FTP echter volledig zijn verwijderd. Gebruikers die dan bijvoorbeeld een FTP-link willen openen zullen hiervoor een apart programma moeten gebruiken. Het uit 1971 stammende File Transfer Protocol (FTP). FTP maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Daarnaast zijn er allerlei veiligere alternatieven voor het uitwisselen van data beschikbaar. Verder zijn met de lancering van Chrome 87 in totaal 33 kwetsbaarheden in de browser verholpen. De beveiligingslekken zijn als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google is niet bekend met misbruik van de nu verholpen lekken. Updaten naar Chrome 87.0.4280.66 zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

Een zerodaylek in FreeType dat werd gebruikt om gebruikers van Google Chrome aan te vallen vormde geen risico voor Firefox-gebruikers, tenzij die een bepaalde optie hadden ingesteld. Dat heeft Mozilla bekendgemaakt. FreeType is een gratis library voor het weergeven van fonts waar browsers gebruik van maken. Vorige maand maakte Google bekend dat Chrome-gebruikers via een kwetsbaarheid in FreeType waren aangevallen. Bij deze aankondiging liet Google weten dat het alleen aanvallen tegen Chrome-gebruikers had gezien, maar dat alle software die van FreeType gebruikmaakte risico liep. Vandaag heeft Mozilla Firefox 83 uitgebracht, waarmee in totaal 21 kwetsbaarheden worden verholpen. Het ging onder andere om het zerodaylek in FreeType dat door Google was onthuld. Firefox was in de standaardconfiguratie niet kwetsbaar, zo meldt Mozilla. Alleen als Firefox-gebruikers op Android of Linux een bepaalde "verborgen" instelling hadden ingeschakeld konden ze via de kwetsbaarheid worden aangevallen. Om welke instelling het gaat is nog niet bekendgemaakt. Firefox biedt naast het instellingenmenu ook via about:config allerlei configuratieopties. Firefox voor andere besturingssystemen was helemaal niet kwetsbaar. Updaten naar Firefox 83 kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Microsoft heeft vandaag een nieuwe security-processor genaamd Pluton aangekondigd die AMD, Intel en Qualcomm aan hun eigen processors gaan toevoegen. Pluton moet onder andere bescherming tegen fysieke aanvallen bieden. Veel computers maken tegenwoordig gebruik van een Trusted Platform Module (TPM). Dit is een apart hardwareonderdeel dat wordt gebruikt voor de opslag van keys en het controleren van de integriteit van het systeem. De TPM wordt onder andere voor Windows Hello en BitLocker gebruikt. Doordat de TPM allerlei beveiligingstaken uitvoert is het een doelwit van aanvallers geworden, aldus Microsoft. Aanvallers richten zich daarbij op het communicatiekanaal tussen de processor en de TPM, wat meestal een bus-interface is. Deze interface biedt de mogelijkheid om informatie tussen de hoofdprocessor en security-processor uit te wisselen. Het biedt echter ook mogelijkheden voor een aanvaller om tijdens deze uitwisseling informatie via een fysieke aanval te stelen of aan te passen. De Pluton-processor elimineert deze aanvalsvector door de security direct in de cpu te integreren. Windowscomputers die van de Pluton-architectuur gebruikmaken zullen een TPM emuleren. Daarbij zal de Pluton-processor encryptiesleutels, identiteiten en persoonlijke data beschermen. Zelfs wanneer een aanvaller malware heeft geïnstalleerd of fysieke toegang tot de computer heeft kan hij geen informatie uit de Pluton-processor stelen, zo claimt Microsoft. Hiervoor wordt gevoelige data, zoals encryptiesleutels, binnen de Pluton-processor opgeslagen, die geïsoleerd is van het systeem. Verder biedt Pluton een technologie genaamd Secure Hardware Cryptography Key (SHACK) die ervoor moet zorgen dat keys nooit buiten de beveiligde hardware beschikbaar zijn. Firmware Een ander probleem dat Pluton volgens Microsoft moet gaan oplossen is het updaten van firmware. Alle computers zijn uitgerust met firmware. Firmware-updates zijn echter van verschillende partijen afkomstig, wat het lastig kan maken om beschikbare updates tijdig te installeren. Pluton zal het proces voor het updaten van firmware gaan integreren met het Windows Update-proces. Zodoende wil Microsoft de firmware voor het gehele pc-ecosysteem up-to-date kunnen houden. Wanneer de eerste AMD- en Intel-processors met de nieuwe Pluton-processor verschijnen is nog onbekend. bron: https://www.security.nl

Mozilla stopt op 26 januari 2021 de ondersteuning van Adobe Flash Player in Firefox, zo heeft de browserontwikkelaar vandaag aangekondigd. Ook Adobe en andere browserontwikkelaars zullen vanaf januari de support van Flash eindigen. Firefox 84, die op 15 december uitkomt, is de laatste Firefox-versie die met Flash Player werkt. Waneer Firefox 85 op 26 januari 2021 verschijnt zal de browser Flash niet meer ondersteunen. Dit zal volgens Mozilla de veiligheid en prestaties van de browser verbeteren. Voor gebruikers van Firefox Nightly en Beta, twee testversies van de browser, zal de Flash-support op respectievelijk vandaag en 14 december eindigen. Het is dan niet meer mogelijk om Flash op enige manier in de browser in te schakelen. Flash Player zal na 12 januari 2021 geen Flash-content meer laden, zo laat Mozilla verder weten. Adobe riep gebruikers eerder al op om de browserplug-in te verwijderen. Sinds vorige maand laat Flash Player ook meldingen zien waarin dit aan gebruikers wordt gevraagd. Dagelijks maken 223 miljoen mensen gebruik van de desktopversie van Firefox. Daarvan heeft 35 procent (78 miljoen) Flash Player op het systeem geïnstalleerd staan. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe in 2017 aan dat het de ondersteuning van de browserplug-in in 2020 beëindigt. Flash Player werd gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. bron: https://www.security.nl

Op internet zijn nog altijd honderdduizenden servers te vinden die kwetsbaar zijn voor beveiligingslekken zoals BlueKeep en Heartbleed, ook al zijn beveiligingsupdates om de kwetsbaarheden te verhelpen al lange tijd beschikbaar. Dat stelt Jan Kopriva, handler bij het Internet Storm Center (ISC), op basis van eigen onderzoek. Kopriva voerde een scan uit met zoekmachine Shodan en verifieerde een deel van de resultaten met handmatige Nmap-scans. Zo bleken er 247.000 servers kwetsbaar te zijn voor BlueKeep. De kwetsbaarheid, die de naam BlueKeep kreeg, is aanwezig in de Remote Desktop Services (RDS) van Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Microsoft bracht op 14 mei 2019 een beveiligingsupdate voor de kwetsbaarheid uit. Kopriva telde ook meer dan 200.000 servers die de update voor de Heartbleed-kwetsbaarheid niet hebben geïnstalleerd. Via dit beveiligingslek uit 2014 is het mogelijk om de inhoud van het geheugen van webservers die OpenSSL gebruiken uit te lezen. Tevens bevatten zo'n 247.000 Exim-servers een bekende kwetsbaarheid waarvan actief misbruik wordt gemaakt. "De resultaten laten zien dat zelfs zeer bekende kwetsbaarheden soms jarenlang niet worden gepatcht", aldus Kopriva. "Alleen omdat we er niet meer over praten verdwijnen Heartbleed, Bluekeep en andere beveiligingslekken niet." De ISC-handler voegt toe dat voor bedrijven die hun patchmanagement niet op orde hebben "historische" kwetsbaarheden nog altijd een risico vormen. bron: https://www.security.nl

De bekende hacker Peiter Zatko, alias Mudge, is het nieuwe hoofd security van Twitter. Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen. Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon. Tegenover persbureau Reuters laat Zeitko weten dat hij bij Twitter onder andere naar de informatiebeveiliging, fysieke beveiliging, platformintegriteit en engineering zal kijken. bron: https://www.security.nl

Mozilla introduceert vandaag een nieuwe Firefox-versie die van een beveiligingsfeature is voorzien waardoor http-sites standaard niet meer worden geladen. De HTTPS-Only Mode zorgt ervoor dat Firefox standaard elke website via https zal benaderen. In het geval een website geen https ondersteunt vraagt de browser de gebruiker om toestemming om de site toch te laden. De meeste websites maken inmiddels gebruik van https. Toch vallen websites volgens Mozilla nog geregeld terug op het onveilige en gedateerde http-protocol. Daarnaast zijn er nog miljoenen oude http-links op het web te vinden die naar de http-versie van websites wijzen. Met de HTTPS-Only Mode zal Firefox geen onbeveiligde verbindingen met websites meer opzetten tenzij de gebruiker dit toestaat. Ook wanneer de gebruiker http in de adresbalk tikt of op een http-link klikt zal Firefox bij deze mode standaard er https van maken. Wanneer een website geen https aanbiedt toont de browser een foutmelding en legt het beveiligingsrisico uit. Vervolgens kan de gebruiker ervoor kiezen om de website wel of niet te bezoeken. In het geval van 'mixed-content', waarbij de website van https gebruikmaakt, maar bijvoorbeeld afbeeldingen, advertenties of filmpjes via http laadt, kan HTTPS-Only ervoor zorgen dat de website niet goed wordt weergegeven. In deze situaties is het mogelijk om de beveiligingsfeature tijdelijk voor de betreffende website uit te schakelen. Mozilla stelt dat als het gebruik van https verder toeneemt browsers de ondersteuning van http volledig kunnen uitschakelen en https voor elke website kunnen verplichten. Volgens cijfers van Let's Encrypt wordt zo'n 84 procent van de websites die Firefox-gebruikers bezoeken via https geladen. De HTTPS Only Mode is beschikbaar in Firefox 83 die later vandaag verschijnt. Gebruikers moeten de optie wel zelf inschakelen. bron: https://www.security.nl

Het Amerikaanse kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. The North Face heeft bij de Amerikaanse autoriteiten melding van een datalek gemaakt, hoewel het hier naar eigen zeggen niet toe verplicht was. Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer. Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht. Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken. bron: https://www.security.nl

Een kwetsbaarheid in VMware ESXi waarvoor op 4 november een beveiligingsupdate verscheen wordt actief bij ransomware-aanvallen misbruikt. Dat meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Naast deze kwetsbaarheid, aangeduid als CVE-2020-3992, maken de aanvallers ook gebruik van een ander ESXi-lek (CVE-2019-5544) waarvoor vorig jaar een update verscheen. Beaumont meldt in een tweet dat een groep ransomwarecriminelen de twee kwetsbaarheden gebruikt om de beveiliging van Windows te omzeilen, door virtual machines uit te schakelen en de virtual machine disk direct op de hypervisor te versleutelen. Securitybedrijf Rapid7 waarschuwt dat op deze manier virtuele datacentra volledig door ransomware op slot kunnen worden gezet. Een hypervisor is software voor het maken en draaien van virtual machines. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. De recent verholpen kwetsbaarheid in ESXi maakt het mogelijk voor een aanvaller die toegang tot poort 427 van een kwetsbare machine heeft om een een use-after-free te veroorzaken en zo op afstand willekeurige code op het systeem uit te voeren. VMware kwam op 20 oktober met een beveiligingsupdate voor deze kwetsbaarheid. De patch bleek echter niet volledig te zijn, waarop er op 4 november een tweede beveiligingsupdate verscheen. bron: https://www.security.nl

Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting. Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn. Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen. "Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd." De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden. bron: https://www.security.nl