Captain Kirk

NAS-fabrikant QNAP heeft opnieuw gewaarschuwd voor de eCh0raix-ransomware die bestanden op kwetsbare NAS-systemen versleutelt. Vorig jaar juli gaf QNAP ook al een waarschuwing voor de ransomware, die gebruikmaakt van bekende kwetsbaarheden om toegang tot ongepatchte NAS-systemen te krijgen. Vervolgens versleutelt de ransomware allerlei bestanden en moeten slachtoffers voor het ontsleutelen betalen. Onlangs is er een nieuwe versie van de eCh0raix-ransomware ontdekt die misbruik maakt van bepaalde kwetsbaarheden in oudere versies van het QTS-besturingssysteem en Photo Station. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Vorige maand publiceerde beveiligingsonderzoeker Henry Huang details over verschillende kwetsbaarheden die hij in de QNAP-software had ontdekt. Via de kwetsbaarheden kan een aanvaller vanaf het internet en zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. QNAP had eind vorig jaar al beveiligingsupdates voor de kwetsbaarheden uitgebracht, die op een schaal van 1 tot en met 10 wat betreft de ernst allemaal met een 9,8 zijn beoordeeld. Sinds de details van Huang online verschenen hebben de ontwikkelaars van de eCh0raix-ransomware die voor een nieuwe versie van hun ransomware gebruikt. QNAP adviseert NAS-gebruikers dan ook om de laatste versies van QTS en Photo Station te installeren. bron: security.nl

Facebook heeft een niet nader genoemd securitybedrijf een zeroday-exploit voor het besturingssysteem Tails laten ontwikkelen om het ip-adres van een gebruiker van de sociale netwerksite te achterhalen, zo meldt Vice Magaine. Deze gebruiker belaagde jarenlang allerlei minderjarige meisjes op het platform en perste ze af, aldus de aanklacht van het Amerikaanse openbaar ministerie. De verdachte maakte gebruik van Tails (The Amnesic Incognito Live System), een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Tails, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt bijna 32.000 keer per dag gestart. Vice Magazine bericht op basis van verschillende bronnen dat de FBI had geprobeerd om echte ip-adres van de verdachte te achterhalen, maar dat dit met de gebruikte tool niet was gelukt. De verdachte ontdekte de poging zelfs, aldus twee anonieme bronnen. Binnen Facebook was er ook aandacht om de gebruiker te achterhalen. Via een systeem dat Facebook had ontwikkeld om gebruikers te detecteren die het op kinderen hadden voorzien, konden verschillende accounts aan de verdachte worden gekoppeld. Aangezien het de FBI niet lukte om de verdachte te ontmaskeren besloot Facebook de opsporingsdienst te helpen. Het bedrijf schakelde een securitybedrijf in dat het een "bedrag van zes cijfers" betaalde voor een zeroday-exploit voor een onbekende kwetsbaarheid in Tails. Het securitybedrijf werkte vervolgens samen met een Facebook-engineer. Een exploit voor een zerodaylek in de videospeler van Tails werd gekoppeld aan een programma om het ip-adres van de verdachte te achterhalen. De tool werd vervolgens via een tussenpersoon met de FBI gedeeld. Dit leidde uiteindelijk tot de aanhouding van de man. Facebook bevestigt aan Vice Magazine dat het met beveiligingsexperts heeft samengewerkt om de FBI te helpen bij het ontmaskeren van de verdachte, maar geeft verder geen specifieke detals. Een woordvoerder spreekt van een unieke zaak omdat de man "zulke geraffineerde methodes" gebruikte om zijn identiteit te verbergen, dat er werd besloten om de opsporingsdienst te helpen. Een woordvoerder van het Tails-team laat weten dat de ontwikkelaars niet van het verhaal over de verdachte afwisten en ook niet weten via welk beveiligingslek hij is ontmaskerd. In het verleden heeft de FBI verschillende keren zeroday-exploits ingezet om gebruik van Tor Browser te ontmaskeren. Of de exploit voor Tails ook tegen andere personen is ingezet, is onbekend. bron: security.nl

De nationale anti-DDoS-coalitie heeft de website NoMoreDDoS.org gelanceerd, waarop het informatie over ddos-aanvallen en activiteiten van de coalitie biedt. Na verschillende grootschalige ddos-aanvallen tegen banken en overheidssites in 2018 werd de coalitie opgericht. Het is een publiek-privaat consortium. Allerlei partijen nemen deel aan de coalitie, zoals de Politie, Belastingdienst, De Nederlandsche Bank, het Nationaal Cyber Security Centrum (NCSC), het Agentschap Telecom, de Universiteit van Twente, de Stichting Internet Domeinregistratie Nederland (SIDN), KPN, Vodafone Ziggo, NL-ix en verschillende andere partijen. Deelnemers aan de coalitie delen met elkaar kennis en operationele gegevens over ddos-aanvallen. "Door kennis, kunde en middelen te bundelen kunnen we gezamenlijk veel effectiever DDoS-aanvallen bestrijden. Het doel is om een systematiek te ontwikkelen waarmee we gezamenlijk DDoS-aanvallen in een vroeg stadium herkennen en dus ook kunnen voorkomen. De nu gelanceerde website toont wat de stand van zaken is, waar we mee bezig zijn en biedt ook technische informatie over onze aanpak", zegt Octavia de Weerdt, directeur van Stichting Nationale Beheersorganisatie Internet Providers (NBIP). Het "DDoS clearinghouse" wordt als één van de belangrijkste projecten van de coalitie gezien. Dit is een systeem waarmee deelnemers de kenmerken van ddos-aanvallen waarmee zij te maken hebben kunnen meten en deze informatie met andere coalitieleden kunnen delen. Het gaat dan bijvoorbeeld om bronadressen die bij de aanval betrokken zijn, pakketgroottes, duur van de aanval en protocoltypen. De informatie wordt vervolgens tot een "DDoS fingerprint" verwerkt en gedeeld met andere leden. Die kunnen de fingerprints gebruiken om hun infrastructuur voor te bereiden mochten zij het volgende doelwit van de aanval zijn, bijvoorbeeld door pakketfilterregels op hun routers in te stellen. Dit voorkomt dat leden deze regels zelf moeten maken, wat een voorsprong biedt bij het bestrijden van de eventuele aanval. Het DDoS clearinghouse is klein opgezet met tien deelnemers. Het plan is echter om het systeem volgend jaar landelijk uit te rollen voor alle serviceproviders binnen de anti-DDoS-coalitie, ongeacht de sector waarbinnen ze opereren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van juni een recordaantal beveiligingslekken gepatcht. Niet eerder kwam het techbedrijf op één dag met updates voor zoveel kwetsbaarheden. Het gaat in totaal om 129 lekken. Het vorige "record" dateert van afgelopen maart, toen er patches voor 115 kwetsbaarheden verschenen. Het is tevens de vierde maand op rij dat Microsoft met updates voor meer dan 110 kwetsbaarheden komt. Iets dat eerder ook niet is voorgekomen. Ondanks het grote aantal verholpen kwetsbaarheden deze maand zijn er slechts elf als kritiek bestempeld. Het gaat onder andere om een beveiligingslek dat zich voordat bij het verwerken van LNK-bestanden. LNK is de extensie die Windows voor snelkoppelingen gebruikt. Het is al het derde LNK-lek dit jaar. Via de kwetsbaarheid kan een aanvaller willekeurige code op het systeem uitvoeren met rechten van de ingelogde gebruiker. Alleen het openen van een usb-stick waarop een kwaadaardig LNK-bestand staat is voldoende om misbruik van de kwetsbaarheid te maken. Het is niet nodig dat de gebruiker het LNK-bestand zelf opent. De beruchte Stuxnetworm maakte misbruik van een dergelijke kwetsbaarheid om zich te verspreiden. Een beveiligingslek in Microsoft Outlook maakt het mogelijk voor aanvallers om automatisch afbeeldingen te laden, waardoor het mogelijk is om het ip-adres van de gebruiker te achterhalen. In theorie zou het mogelijk zijn om deze kwetsbaarheid met een ander beveiligingslek te combineren en zo willekeurige code uit te voeren, zo waarschuwt het Zero Day Initiative. Verder zijn er verschillende kritieke kwetsbaarheden in Internet Explorer en Edge gepatcht. De impact van de overige kwetsbaarheden is door Microsoft lager ingeschakeld. Opvallend is het grote aantal beveiligingslekken waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het gaat in totaal om zeventig kwetsbaarheden die dit mogelijk maken. Negentien hiervan bevinden zich in de Windowskernel en kerneldrivers. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft voor de tweede keer dit jaar een beveiligingsupdate voor een kwetsbaarheid in Flash Player uitgebracht. De afgelopen jaren werden er grote aantallen kwetsbaarheden in Flash Player gevonden, waarvan verschillende bij zeroday- en andere aanvallen werden ingezet. Later dit jaar stopt Adobe de ondersteuning van Flash Player en zullen er geen beveiligingsupdates meer voor de software verschijnen. Browsers zoals Google Chrome, Mozilla Firefox en Microsoft Chromium Edge hebben inmiddels de ondersteuning van Flash in de browsers standaard uitgeschakeld, maar gebruikers kunnen de technologie nog wel zelf inschakelen. Later dit jaar en in januari volgend jaar zal de mogelijkheid om Flash-content af te spelen helemaal in de browsers worden verwijderd. Tot het einde van dit jaar blijven er nog wel beveiligingsupdates voor Flash Player uitkomen. De afgelopen jaren is het aantal verholpen kwetsbaarheden in de software wel afgenomen. In 2015 ging het nog om 329 kwetsbaarheden, gevolgd door 266 in 2016. Dit jaar staat de teller pas op twee. In februari werd één kritieke kwetsbaarheid verholpen waarmee een aanvaller willekeurige code had kunnen uitvoeren. Vanmiddag is het tweede beveiligingslek van dit jaar verholpen. Wederom had een aanvaller hierdoor code kunnen uitvoeren met rechten van de ingelogde gebruiker. Gebruikers krijgen het advies om snel te updaten naar Flash Player 32.0.0.387. Dit kan via de automatische updatefunctie of Adobe.com. Adobe zegt niet bekend te zijn met aanvallen die misbruik van de nu verholpen kwetsbaarheid maken. bron: security.nl

Een kwetsbaarheid in het UPnP-protocol maakt verschillende soorten aanvallen mogelijk, zoals het stelen van gegevens, uitvoeren van scans op interne netwerken en versterken van ddos-aanvallen, en volgens de onderzoeker die het probleem ontdekte lopen miljarden apparaten risico. Het gaat onder andere om Windowscomputers, Xbox-spelcomputers, televisies en routers. Het beveiligingslek wordt CallStranger genoemd en is aanwezig in het UPnP-protocol. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Onderzoeker Yunus Cadirci ontdekte een server-side request forgery (SSRF)-achtige kwetsbaarheid in apparaten die van UPnP gebruikmaken. Het beveiligingslek wordt veroorzaakt doordat een aanvaller de waarde kan bepalen van de Callback-header in de UPnP Subscribe-functie. Via deze functie, die onderdeel van de UPNP-standaard is, kunnen apparaten zich "abonneren" om veranderingen in andere apparaten en services te monitoren, bijvoorbeeld of er media door een apparaat wordt aangeboden. In de Callback-header kan een url worden opgegeven die het UPnP-apparaat vervolgens gebruikt om de eerder genoemde veranderingen in services of apparaten te monitoren. De Subscribe-functionaliteit blijkt echter niet te controleren of de opgegeven url in de Callback-header ook data van een UPnP-apparaat verwacht of niet. "Dus iedereen die toegang tot een UPnP-service heeft met een eventSubURL element voor Subscribtion kan eenvoudig geldig http-verkeer naar elk willekeurig ip-adres/poort genereren", aldus Cadirci. Door het versturen van een speciaal geprepareerde Callback-header naar een apparaat waarvan UPnP beschikbaar is en de subscribe-functie staat ingeschakeld, kan een aanvaller zo op lokale netwerken een poortscan uitvoeren, ddos-aanvallen versterken door een TCP-handshake op te zetten met de url's die in de header staan vermeld en gevoelige data van apparaten stelen. Hoewel de UPnP-functionaliteit van een apparaat niet vanaf het internet toegankelijk hoort te zijn, zijn er toch miljoenen apparaten te vinden waarbij dit het geval is, zo blijkt uit een zoekopdracht via de Shodan-zoekmachine. Organisaties krijgen het advies om beschikbare updates te installeren en anders UPnP uit te schakelen of te beperken. Volgens Cadirci kan het nog lang duren voordat leveranciers voor alle UPnP-apparaten updates hebben uitgebracht. De onderzoeker verwacht echter niet dat thuisgebruikers een direct doelwit van aanvallen zullen zijn, tenzij hun UPnP-apparaten vanaf het internet toegankelijk zijn. Dan zouden die bijvoorbeeld voor ddos-aanvallen zijn te gebruiken. bron: security.nl

IBM stopt met het aanbieden van gezichtsherkenningsproducten en wil dat er in de Verenigde Staten een nationaal debat komt over de inzet van deze technologie door politie, zo heeft het bedrijf in een open brief aan het Amerikaanse Congres laten weten (pdf). In de brief roept het techbedrijf de overheid op om rassengelijkheid te bevorderen en discriminatie tegen te gaan. Volgens IBM-topman Arvind Krishna is het belangrijk dat technologie op verantwoorde wijze wordt ingezet. "Technologie kan transparantie vergroten en gemeenschappen beschermen, maar moet geen discriminatie of rassenongelijkheid bevorderen", aldus Krishna. Als voorbeeld wijst hij onder andere naar kunstmatige intelligentie dat kan worden gebruikt om burgers te beschermen. Leveranciers en de gebruikers van dergelijke systemen hebben wel een verantwoordelijkheid om ervoor te zorgen dat deze systemen niet bevooroordeeld zijn. Met name als ze door politie worden gebruikt, merkt Krishna op. Verder pleit de IBM-topman om technologie in te zetten die voor meer transparantie en verantwoordelijkheid kan zorgen, zoals het gebruik van bodycams door politieagenten en data-analysetechnieken. Een bron laat aan zakenzender CNBC weten dat gezichtsherkenning niet veel omzet voor IBM genereerde. Volgens de zender is de beslissing desondanks nog steeds opmerkelijk voor een bedrijf dat de Amerikaanse overheid als klant heeft. bron: security.nl

De populaire adblocker uBlock Origin blokkeert voortaan ook poortscans die door websites lokaal bij gebruikers worden uitgevoerd. Vorige maand kwam Charlie Belmer, die bij zoekmachine DuckDuckGo aan de privacy en security werkt, met een analyse over een poortscan die eBay op het systeem van bezoekers uitvoert. In tegenstelling tot poortscans die vanaf het internet worden uitgevoerd, wordt de poortscan van eBay vanuit de browser geïnitieerd en scant alleen het lokale ip-adres van de gebruiker. Het bedrijf blijkt informatie te verzamelen over openstaande poorten die onder andere worden gebruikt voor VNC, RDP, TeamViewer, AnyDesk en Ammy Admin. Via deze diensten is het mogelijk om systemen op afstand te besturen. Mogelijk dat eBay op deze manier wil controleren of systemen van gebruikers zijn besmet of onderdeel van een botnet zijn, en zo op frauduleuze manier gebruikt kunnen worden. Uit informatie van Dan Nemec blijkt echter dat de aanwezigheid van een dergelijke open poort er niet voor zorgt dat eBay bijvoorbeeld een "fraudescore" ontvangt. EBay is niet de enige partij die lokaal de poorten van gebruikers scant. Wereldwijd zou het om 30.000 websites gaan, die hiervoor gebruikmaken van LexisNexis' ThreatMetrix. Het bedrijf analyseert naar eigen zeggen dagelijks 150 miljoen transacties voor meer dan 30.000 websites wereldwijd om verdacht gedrag en malware te detecteren. Op de vraag waarom het de poort van gebruikers scant laat eBay tegenover zakenblad Forbes weten dat het dit doet om een veilige omgeving te creëren. Verdere informatie wordt niet gegeven. Gebruikers die niet willen dat websites een lokale poortscan uitvoeren kunnen hiervoor adblocker uBlock Origin installeren. In ieder geval de versie voor Google Chrome blijkt poortscans te blokkeren. UBlock-ontwikkelaar Raymond Hill laat aan Bleeping Computer weten dat hij geen aanpassingen aan de browserextensie heeft doorgevoerd, en dat het waarschijnlijk om aanpassingen aan de filterlijsten gaat waarvan de adblocker gebruikmaakt. Deze filterlijsten worden door andere partijen onderhouden om trackers en andere zaken te blokkeren. Uit reacties op de GitHub-pagina van uBlock Origin blijkt dat inderdaad is voorgesteld om poortscans via de filterlijsten te blokkeren. bron: security.nl

Op internet is exploitcode verschenen voor een kritieke kwetsbaarheid in Windows 10 en Windows Server waarvoor Microsoft in maart een beveiligingsupdate uitbracht. Via het beveiligingslek, dat de naam SMBGhost heeft gekregen, kan een aanvaller zowel op servers als clients code uitvoeren. Om een kwetsbare server over te nemen volstaat het voor een aanvaller om een speciaal geprepareerd pakket naar een SMBv3-server te sturen. Vervolgens zou de aanvaller deze server zo kunnen instellen dat het mogelijk is om ook op alle clients die verbinding maken willekeurige code uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is de kwetsbaarheid beoordeeld met een 10. Op 12 maart publiceerde Microsoft een beveiligingsupdate voor de kwetsbaarheid, die de CVE-code CVE-2020-0796 heeft. Destijds waarschuwde securitybedrijf Tenable al dat een computerworm misbruik van de kwetsbaarheid zou kunnen maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laat nu weten dat er exploitcode online is verschenen die aanvallers via de kwetsbaarheid willekeurige code laat uitvoeren en dat kwetsbare systemen inmiddels met de exploit worden aangevallen. Het CISA baseert zich hierbij op open bronnen. De overheidsinstantie adviseert organisaties om de update zo snel als mogelijk te installeren. In de praktijk blijkt dat organisaties dit niet altijd doen. Zo maakte de WannaCry-ransomware misbruik van een SMB-kwetsbaarheid waarvoor al twee maandenlang een update beschikbaar was. bron: security.nl

Dropbox heeft zowel voor Android- als iOS-gebruikers een besloten testversie van een eigen wachtwoordmanager gelanceerd. De wachtwoordmanager met de naam Dropbox Passwords slaat wachtwoorden van gebruikers op en kan nieuwe wachtwoorden genereren. Via een automatische synchronisatie-optie is het mogelijk om opgeslagen wachtwoorden ook vanaf andere apparaten te benaderen. Voor het opslaan van de wachtwoorden maakt Dropbox naar eigen zeggen gebruik van "Zero-Knowledge encryption", wat inhoudt dat het bedrijf geen toegang tot de opgeslagen wachtwoorden van gebruikers heeft, omdat het niet over de decryptiesleutels beschikt om die te ontsleutelen. Verdere details over de werking van Dropbox Passwords zijn niet gegeven en het bedrijf heeft zelf nog niets over de wachtwoordmanager naar buiten gebracht. Wel laat het weten dat de huidige bètatest alleen op uitnodiging voor sommige Dropbox-klanten beschikbaar is. Gebruikers kunnen de app wel downloaden, maar om die ook te kunnen gebruiken moet er met accounts worden ingelogd die door Dropbox zijn uitgenodigd. bron: security.nl

Drie kwetsbaarheden in de NAS-systemen van QNAP die twee jaar geleden aan de fabrikant werden gemeld zijn eindelijk verholpen. Via de beveiligingslekken zou een aanvaller kwaadaardige code kunnen injecteren of willekeurige commando's op NAS-systemen kunnen uitvoeren. Zo was het mogelijk om via bestandsnamen met kwaadaardige html-tags willekeurige JavaScript uit te voeren en zo bijvoorbeeld de sessioncookies van de gebruiker te stelen. Een andere aanval maakte het mogelijk om via een aangemaakte gebruikersnaam commando's uit te voeren. QTS, het besturingssysteem van de NAS, stond het toe dat er gebruikersnamen met een Bash-syntax werden aangemaakt, waarna het opgegeven Bash-commando werd uitgevoerd. Om deze aanval uit voeren moest een aanvaller wel al over beheerdersrechten beschikken. Als laatste is er een kwetsbaarheid verholpen die het mogelijk maakte om via de "description" van een gebruiker willekeurige JavaScript uit te voeren. Hiervoor moest er een link via het File Station van de NAS worden aangemaakt om bestanden op de NAS met anderen te delen. Wanneer deze andere gebruikers de gedeelde link van de gebruiker met de speciale description zouden bekijken werd de JavaScriptcode uitgevoerd. Ook via deze manier was het mogelijk om bijvoorbeeld sessioncookies te stelen. QNAP omschrijft de impact van de kwetsbaarheden als "high". De NAS-fabrikant werd op 24 mei 2018 door securitybedrijf Independent Security Evaluators (ISE) over de beveiligingslekken geïnformeerd. In januari 2019 publiceerde ISE details over de kwetsbaarheden. Vandaag laat QNAP weten dat de problemen zijn verholpen. Dit is gedaan via nieuwe versies van QTS die in april en mei zijn verschenen. bron: security.nl

Wachtwoorden zijn nog altijd de voornaamste manier om gebruikers mee te authenticeren, het is dan ook belangrijk dat organisaties en gebruikers hier zorgvuldig mee omgaan en maatregelen nemen om misbruik te voorkomen, zoals passphrases en privacyfilters voor laptops. Dat stelt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). ENISA is een Europees expertisecentrum voor cyberveiligheid. Het agentschap helpt de EU en de EU-landen problemen op het gebied van informatiebeveiliging te voorkomen, op te sporen en te verhelpen. Zo publiceert het agentschap geregeld onderzoeken en adviezen en bevordert het de samenwerking tussen de computercrisisteams van de verschillende EU-landen. In een vandaag verschenen advies gaat ENISA in op de manieren waarop wachtwoorden kunnen worden gestolen en wat gebruikers en organisaties kunnen doen om hun wachtwoordveiligheid te verbeteren. Volgens ENISA is het zeer belangrijk dat gebruikers hun wachtwoorden niet hergebruiken. Iets wat nog altijd veel voorkomt, aldus het agentschap. Tevens krijgen gebruikers het advies om voor elke website en dienst een unieke passphrase te gebruiken. Een wachtwoord dat uit meerdere woorden bestaat. Om bij het beheer van al deze wachtwoorden te helpen raadt ENISA het gebruik van een wachtwoordmanager aan. Verder wordt geadviseerd om geen eenvoudig te achterhalen wachtwoordhints te gebruiken en waar mogelijk multifactorauthenticatie in te schakelen. Een ander risico waarvoor het agentschap waarschuwt is schoudersurfen, waarbij wachtwoorden door personen in de omgeving worden afgekeken. Wie zijn laptop in een openbare locatie gebruikt moet dan ook alert zijn. ENISA stelt dat een privacyfilter dat de kijkhoek van het scherm beperkt hierbij handig kan zijn. Afsluitend krijgen gebruikers het advies om hun apparatuur niet onbeheerd op openbare plekken zoals hotels of het openbaar vervoer achter te laten. bron: security.nl

Twee kritieke kwetsbaarheden in de Zoom-client maakten het mogelijk voor aanvallers om willekeurige code op de systemen van gebruikers uit te voeren, zo ontdekten onderzoekers van Cisco. Het versturen van een speciaal geprepareerd chatbericht was voldoende om bestanden op het systeem van gebruikers te plaatsen, wat uiteindelijk tot het uitvoeren van willekeurige code had kunnen leiden. Zoom biedt gebruikers een chatfunctie waarbij gebruikers geanimeerde gif-bestanden kunnen versturen. Hiervoor wordt er gebruikgemaakt van gif-zoekmachine Giphy. Wanneer een gebruiker een chatbericht ontvangt met de Giphy-extensie, wordt er een http-url bezocht en het betreffende gif-bestand geladen dat de gebruiker krijgt te zien. Zoom bleek de locatie van de opgegeven url niet te controleren. Zo was het mogelijk om in het chatbericht dat naar een gebruiker werd gestuurd de url naar een willekeurige server te laten wijzen, in plaats van de Giphy-server. Zoom slaat ontvangen afbeeldingen lokaal in de Zoom-directory op om die in de toekomst weer te kunnen geven. Een tweede probleem was dat opgegeven bestandsnamen niet werden gesanitized en er path traversal mogelijk was. Hierdoor had een aanvaller bestanden buiten de Zoom-directory kunnen plaatsen, in elke willekeurige directory waar de gebruiker schrijfrechten toe had. De ernst van de kwetsbaarheid werd deels beperkt doordat Zoom de bestanden van de extensie .gif voorziet. Volgens de onderzoekers was de inhoud van het bestand echter niet beperkt tot een afbeelding en zou uitvoerbare code of script kunnen bevatten dat bij misbruik van een andere kwetsbaarheid gebruikt zou kunnen worden. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek werd die met een 8,5 beoordeeld. Zoom werd op 16 april geïnformeerd en liet op 27 mei aan Cisco weten dat het probleem op 21 april was gepatcht. De kwetsbaarheid kreeg de CVE-code CVE-2020-6109 toegekend. Tweede kwetsbaarheid Het tweede beveiligingslek (CVE-2020-6110) werd met een score van 8 iets lager ingeschaald dan de eerste kwetsbaarheid. Wederom was het mogelijk om via een speciaal geprepareerd chatbericht en path traversal mogelijk om bestanden op het systeem te plaatsen. In plaats van geanimeerde afbeeldingen ging de Zoom-client nu de fout in bij de optie om broncode te delen. Door het installeren van een extensie is het mogelijk om stukjes broncode met "full syntax highlighting support" met andere Zoom-gebruikers te delen. Gebruikers die de broncode ontvangen hoeven hiervoor geen extensie te installeren. Zodra een Zoom-gebruiker broncode deelt maakt Zoom hier een zip-bestand, dat bij ontvangende gebruikers automatisch wordt uitgepakt en weergegeven. Onderzoekers van Cisco ontdekten dat de Zoom-client de inhoud van het zip-bestand niet controleert voordat het wordt uitgepakt. Hierdoor was het mogelijk voor aanvallers om uitvoerbare bestanden op de computer van gebruikers te plaatsen. Tevens was er wederom het probleem van path traversal, wat het voor een aanvaller mogelijk maakte om de bestanden in het zip-bestand buiten de bedoelde directory te plaatsen, hoewel er wel enige beperkingen waren. Met enige interactie van de gebruiker was het echter mogelijk om bestanden in nagenoeg alle willekeurige directories te krijgen. Zoom werd wederom op 16 april ingelicht en maakte op 27 mei bekend dat de kwetsbaarheid op 30 april was verholpen. Zoom-gebruikers krijgen dan ook het advies om naar de meest recente versie van de software te updaten. bron: security.nl

Aanvallers hebben geprobeerd om via een grootschalige aanval de databasewachtwoorden van 1,3 miljoen WordPress-sites te stelen. Dat stelt securitybedrijf Wordfence op basis van eigen cijfers. De aanvallers maakten misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden. Daarbij hadden de aanvallers het specifiek voorzien op het bestand wp-config.php. Dit bestand bevat gevoelige informatie zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "Authentication Unique Keys and Salts" waarmee het mogelijk is om authenticatiecookies te vervalsen. Met de informatie uit het php-bestand is het mogelijk om volledige controle over de WordPress-site te krijgen. Volgens Wordfence zijn de aanvallen zichtbaar in de serverlogs van aangevallen WordPress-sites. Daarnaast heeft het securitybedrijf de tien ip-adressen genoemd die voor de meeste aanvallen in deze campagne verantwoordelijk zijn. Om welke plug-ins en themes het gaat is niet bekendgemaakt, maar eerder waarschuwde het securitybedrijf voor actieve aanvallen op een kwetsbaarheid in de Duplicator Plugin waarmee wp-config.php kon worden gestolen. Gebruikers van gecompromitteerde websites krijgen het advies om meteen hun databasewachtwoord en authenticatie keys te wijzigen. bron: security.nl

Google is in de Verenigde Staten aangeklaagd voor het tracken van internetgebruikers die van de incognitomode van hun browser gebruikmaken. Volgens de aanklacht volgt en verzamelt Google de surfgeschiedenis van gebruikers, zelfs wanneer die maatregelen nemen om hun privacy te beschermen. Google zou daarnaast Californische wetgeving overtreden die stelt dat bij het lezen of achterhalen van de inhoud van privécommunicatie alle partijen hiervoor toestemming moeten geven. De eisers achter de massaclaim stellen dat Google het gebruik van de incognito-mode adviseert om privé te kunnen browsen, maar dat het techbedrijf op allerlei manieren toch gegevens van gebruikers blijft verzamelen. Het gaat dan bijvoorbeeld om de Google Ad Manager, de "Google Sign-In" knop op websites en andere plug-ins en tools waar sites gebruik van kunnen maken. Met het gebruik van de incognito-mode geven gebruikers echter aan dat ze niet gevolgd willen worden, aldus de eisers. Ook zou Google hiermee de eigen "privacybeloftes" schenden. Ze willen dan ook dat Google verantwoordelijk wordt gehouden voor de schade die het berokkent en dat het bedrijf stopt met het ongeautoriseerd verzamelen van gegevens. Tevens vragen de eisers een schadevergoeding van meer dan 5.000 dollar per deelnemer aan de massaclaim of het drievoudige van de geleden schade. Google laat in een reactie aan The New York Times en persbureau Reuters weten dat het de claims betwist. De incognitomode zorgt er alleen voor dat het surfgedrag van de gebruiker niet in de browser of op zijn computer wordt opgeslagen. Tevens worden gebruikers bij het openen van een nieuwe incognito-tab gewaarschuwd dat websites nog steeds informatie over de online activiteiten kunnen verzamelen. bron: security.nl

Begin dit jaar werd een onbeveiligde Elasticsearch-server ontdekt met 69 miljoen e-mailadressen, alsmede namen, telefoonnummers, adresgegevens geslacht en ip-adressen. De organisatie verantwoordelijk voor het datalek is onbekend en beveiligingsonderzoeker Troy Hunt is nu een zoektocht gestart. Elasticsearch is software die grote hoeveelheden data doorzoekbaar maakt. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. In januari van dit jaar ontdekte onderzoeker Bob Diachenko een onbeveiligde Elasticsearch-server met 110 miljoen records. De server was voor iedereen op internet zonder wachtwoord toegankelijk. Begin maart werd de data door een aanvaller gestolen en verwijderd, aldus Diachenko. In eerste instantie werd gedacht dat de server van een Duits bedrijf was dat zich met "lead generation" bezighoudt, maar dat bleek niet zo te zijn. Nu maanden later is de eigenaar nog altijd onbekend. Hunt, eigenaar van datalekzoekmachine Have I Been Pwned, is een zoektocht gestart. Een soortgelijke zoektocht die twee weken geleden plaatsvond leidde tot de ontdekking van een datalek bij adresboek-app Covve. Hunt hoopt nu met hulp van het publiek ook dit datalek op te lossen. De 69 miljoen e-mailadressen die op de server werden gevonden zijn aan Have I Been Pwned toegevoegd. Daarvan was 93 procent al via een ander datalek bij de zoekmachine bekend. bron: security.nl

Er is een nieuwe versie van Tor Browser verschenen die gebruikers voor de eerste keer de optie biedt om onion-versies van websites automatisch te bezoeken. Websites die over een onion-versie beschikken moeten hiervoor wel een http-header toevoegen waarin deze website wordt aangekondigd. Onion-sites zijn alleen toegankelijk via het Tor-netwerk, dat weer via Tor Browser benaderbaar is. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Dit is de laatste computer in het Tor-netwerk dat de uiteindelijke verbinding naar de gewenste website opzet. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Facebook, nieuwssite ProPublica, e-maildienst ProtonMail en zelfs de CIA hebben een onion-versie van hun website. Deze partijen kunnen de onion-versie nu via een http-header aankondigen. Wanneer de normale versie van de website met Tor Browser wordt bezocht laat de browser een melding zien of de gebruiker voortaan de onion-versie wil bezoeken. De nieuwe feature is aanwezig in Tor Browser 9.5. Deze versie verhelpt daarnaast verschillende kwetsbaarheden in de browser en legt bij beveiligingswaarschuwingen in de adresbalk de nadruk op onbeveiligde verbindingen. Waar een beveiligde verbinding in het verleden via aparte iconen en andere indicatoren werd weergegeven is dit inmiddels voor browsers de standaardsituatie. Wanneer er van deze situatie wordt afgeweken, bijvoorbeeld bij het bezoeken van http-sites, krijgen gebruikers een waarschuwing te zien. De ontwikkelaars van Tor Browser hebben de indicatoren van de browser hierop nu ook aangepast. Updaten naar de nieuwste Tor Browser kan via de updatefunctie en TorProject.org. bron: security.nl

Zoom maakt end-to-end encryptie niet beschikbaar voor gratis gebruikers, omdat het bedrijf ook met de FBI en opsporingsdiensten wil samenwerken in het geval van misbruik van de videoconferentiesoftware. Dat liet ceo Eric Yuan tijdens een conference call weten, zo meldt persbureau Bloomberg. Volgens Alex Stamos, voormalig chief security officer van Facebook en tegenwoordig adviseur van Zoom, is het een lastige balans om privacy te verbeteren en misbruik van het platform tegen te gaan. Zoom kwam begin dit jaar onder vuur te liggen omdat het claimde dat het de communicatie van gebruikers end-to-end versleutelde, terwijl dat niet het geval was. Vorige week lanceerde Zoom versie 5.0 van de software waarmee de communicatie van alle gebruikers, zowel betaald als gratis, via 256-bit GCM encryptie wordt versleuteld. "Het is nog steeds geen end-to-end encryptie, en is gewoon een versleuteling van de datastream, maar het is een stap in de juiste richting", zegt hoogleraar cryptografie Bill Buchanan. Zoom is nu nog steeds in staat om de inhoud van de communicatie van gebruikers te bekijken en ook een aanvaller zou dit kunnen doen. "In de huidige implementatie kan een passieve aanvaller die de serverinfrastructuur van Zoom kan monitoren en toegang tot het geheugen van de relevante Zoom-servers heeft de encryptie ongedaan maken. De aanvaller kan de shared meeting key observeren, session keys afleiden en alle meetingdata ontsleutelen", aldus Zoom over de huidige encryptiemethode. Om de communicatie van gebruikers volledig te beschermen wil het bedrijf end-to-end encryptie gaan toevoegen. Een opzet voor de implementatie hiervan werd onlangs gepresenteerd (pdf). Wanneer end-to-end encryptie daadwerkelijk beschikbaar komt is nog onbekend. Daarnaast zal de optie alleen beschikbaar komen voor betalende gebruikers en in eerste instantie alleen voor Zoom-meetings. "Gratis gebruikers willen we zeker geen end-to-end encryptie geven, omdat we ook met de FBI, met lokale opsporingsdiensten willen samenwerken in het geval mensen Zoom voor verkeerde zaken gebruiken", vertelde Yuan tijdens een conference call over de resultaten van het eerste kwartaal. Stamos, die door Zoom werd ingehuurd om de beveiliging te verbeteren, laat via Twitter weten dat de videconferentiesoftware met allerlei vormen van misbruik heeft te maken. Aan de ene kant wil Zoom de privacy verbeteren, terwijl het ook misbruik wil tegengaan, wat een lastige balans is, aldus Stamos. Zoom heeft besloten om end-to-end encryptie alleen beschikbaar te maken voor klanten met een "business" en "enterprise" abonnement. Daarnaast zal de optie opt-in worden. Een groot deel van de Zoom-meetings maken gebruik van features die niet compatibel met end-to-end encryptie zijn, zoals PSTN-telefoons, cloudopnames, cloudtranscripties en streaming naar YouTube, voegt Stamos toe. De bij nadruk bij het ontwerp van end-to-end encryptie zal komen te liggen op het authenticeren van de gebruikers en apparaten die er gebruik van maken. "Zal dit al het misbruik elimineren? Nee, maar aangezien het grootste deel van het misbruik afkomstig is van self-service gebruikers met valse identiteiten, zal dit voor frictie zorgen en misbruik verminderen", laat Stamos weten. bron: security.nl

Er is een nieuwe versie van Firefox verschenen waarmee Mozilla meerdere kwetsbaarheden in de browser heeft verholpen. Via de kwetsbaarheden was het onder andere mogelijk om de adresbalk te spoofen en de browser te laten crashen. Volgens Mozilla zou het met genoeg moeite waarschijnlijk mogelijk zijn om via deze browsercrashes willekeurige code op het systeem uit te voeren, zoals de installatie van malware. Aangezien het uitvoeren van code via deze kwetsbaarheden niet is aangetoond heeft Mozilla de beveiligingslekken niet als kritiek, maar als "high" bestempeld. Deze beoordeling wordt gegeven aan kwetsbaarheden waarmee het mogelijk is om data in andere geopende browsertabs te stelen of manipuleren. De in totaal zeven beveiligingslekken zijn gepatcht in Firefox 77. Voor gebruikers van Firefox ESR is versie 68.9 verschenen. Van de zeven kwetsbaarheden in de normale Firefox-versie zijn er slechts twee aanwezig in de ESR-versie. De Extended Support Release (ESR) van Firefox is een versie die alleen maar beveiligingsupdates ontvangt en vooral is bedoeld voor bedrijven en organisaties die geen nieuwe features willen. Updaten kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Er is een toename van het aantal scans door statelijke actoren naar kwetsbare vpn-software en met name mkb-bedrijven lopen hierdoor risico, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van de overheid. "Uit betrouwbare bron heeft het NCSC vernomen dat in Nederland statelijke actoren nog altijd actief scannen naar vpn-kwetsbaarheden", aldus de overheidsinstantie. Het zou onder andere om de vpn-software van Pulse Secure en Fortinet gaan. Volgens het NCSC hebben veel organisaties inmiddels maatregelen genomen om de kwetsbaarheden in hun vpn-software te verhelpen. Het zijn met name mkb-bedrijven die hun vpn-software nog altijd niet hebben gepatcht. Het gaat onder andere om makelaars, adviesbureaus, producenten van goederen, bouwbedrijven en andere leveranciers. Het NCSC adviseert organisaties om hun vpn-software van de laatste beveiligingsupdates te voorzien. In het geval er niet met zekerheid kan worden vastgesteld dat aanvallers al toegang tot de vpn-systemen hebben gekregen wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken. Verder wordt gewezen op het toepassen van tweefactorauthenticatie en het controleren van logbestanden. De waarschuwing van het NCSC staat niet op zichzelf. Begin deze maand waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid dat aanvallers steeds vaker gebruikmaken van kwetsbaarheden in vpn-software, en dan voornamelijk in de software van Citrix (CVE-2019-19781) en Pulse Secure (CVE-2019-11510). Vorige week kwam de Australische overheid nog met een overzicht van manieren waarop aanvallers systemen weten binnen te dringen. Het ging onder andere om bekende kwetsbaarheden in Pulse Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway. bron: security.nl

Vorig jaar oktober waren gebruikers van Google Chrome het doelwit van een zeroday-aanval en nu blijkt dat die alleen tegen Windows 7-gebruikers werkte. Via een onbekende kwetsbaarheid in de browser werden gebruikers bij het bezoeken van een gecompromitteerde website automatisch met malware besmet. De zeroday-aanval werkte echter alleen tegen Chrome-gebruikers op Windows 7, net als een zeroday-aanval die in maart 2019 werd ontdekt. Dat laat antivirusbedrijf Kaspersky weten, dat de aanval afgelopen oktober ontdekte. Bij deze zeroday-aanval maakten de aanvallers gebruik van twee onbekende kwetsbaarheden: één in Google Chrome en één in Windows. Via het Windows-lek kon een aanvaller code met hogere rechten uitvoeren en uit de Chrome-sandbox ontsnappen. Als eerste werd de kwetsbaarheid in Chrome gebruikt die het uitvoeren van kwaadaardige code mogelijk maakte, gevolgd door het beveiligingslek in Windows. De kwetsbaarheid in Windows bevond zich in het Win32k-onderdeel van het besturingssysteem. In de afgelopen vijf jaar ontdekte Kaspersky vijf zerodaylekken die misbruik van Win32-kwetsbaarheden maakten. Volgens Microsoft is het onderdeel verantwoordelijk voor meer dan vijftig procent van alle kernelkwetsbaarheden. Met de lancering van Windows 10 heeft Microsoft verschillende beveiligingsmaatregelen doorgevoerd om misbruik te voorkomen. De meeste zeroday-aanvallen die Kaspersky ontdekte werken alleen tegen Windows-versies die voor de Windows 10 April 2018 Update zijn uitgekomen. In het geval van de zeroday-aanval van afgelopen oktober was die speciaal ontwikkeld voor Windows 7 en twee vroege versies van Windows 10 van 2015 en 2016. De aanval werkte echter alleen tegen Windows 7. Google heeft een beveiligingsmaatregel aan Chrome toegevoegd genaamd "Win32k lockdown". Deze maatregel voorkomt toegang tot Win32 system calls vanuit het Chrome-proces. Daardoor is het niet mogelijk om misbruik van de kwetsbaarheid in Win32k te maken. De beveiligingsmaatregel is echter alleen beschikbaar voor Chrome-gebruikers op Windows 10. De zeroday-aanval van oktober was dan ook gericht tegen Windows 7-gebruikers, aldus Kaspersky. Het besturingssysteem heeft onder Windowsgebruikers nog een marktaandeel dat tussen de 20 en 30 procent ligt. bron: security.nl

Microsoft heeft de May 2020 Update voor Windows 10 uitgebracht die allerlei nieuwe security-opties bevat. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. Feature-updates voor Windows 10 Home en Pro worden standaard 18 maanden ondersteund. Gebruikers en organisaties moeten na deze supportperiode naar een nieuwere Windows 10-versie updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. Daarnaast introduceren deze feature-updates allerlei nieuwe features. In het geval van de May 2020 Update, ook bekend als Windows 10 versie 2004, is de Application Guard-beveiliging beschikbaar voor Chromium Edge en Microsoft 365 Apps. Application Guard zorgt ervoor dat onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend. Ook bestanden die van onbetrouwbare of onveilige locaties afkomstig zijn worden in deze container geopend. Dit moet ervoor zorgen dat een eventuele aanval of malware geen toegang tot het systeem krijgt. Verder is de ondersteuning van hardwarematige FIDO2-beveiligingssleutels uitgebreid voor Azure Active Directory-gebruikers en is Windows Hello voor Microsoft-accounts beschikbaar. Hiermee kunnen gebruikers zonder wachtwoord op hun Windowscomputer inloggen. Windows 10 werd vorig jaar al uitgerust met een eenvoudige sandbox om applicaties geïsoleerd te kunnen draaien. De May 2020 Update voegt verschillende nieuwe opties aan de sandbox toe, zoals ondersteuning van configuratiebestanden en microfoon. Tevens ondersteunt de "Secured-core" technologie nu AMD Ryzen Pro 4000-processors . Deze technologie combineert verschillende beveiligingsmaatregelen op het gebied van besturingssysteem, virtualisatie, hardware en firmware en moet de integriteit van het bootproces garanderen. Een andere nieuwe optie is de "cloud recovery". Voorheen konden gebruikers alleen via een usb-stick of herstelschijf hun systeem herstellen. Via de cloud recovery kunnen gebruikers via het internet de laatste Windows 10-versie bij Microsoft downloaden en installeren. Voor gebruikers van Windows Defender System Guard is nu een hogere System Management Mode (SMM) Firmware Protection beschikbaar. Tevens zijn er extra opties aan de update-instellingen toegevoegd. Microsoft geeft op deze pagina een overzicht van alle nieuwe features, speciaal bedoeld voor it-professionals. Het techbedrijf zal de May 2020 Update gefaseerd uitrollen, waarbij die eerst beschikbaar is voor gebruikers van Windows 10 versie 1903 en 1909 die de update via Windows Update zoeken. bron: security.nl

Google heeft vorige maand 1755 waarschuwingen naar gebruikers verstuurd dat ze doelwit waren van aanvallen die aan een staat werden toegeschreven. Het ging onder andere om phishingaanvallen uit naam van de Wereldgezondheidsorganisatie (WHO). Google volgt naar eigen zeggen meer dan 270 groepen uit meer dan vijftig landen die zich met dergelijke aanvallen bezighouden. Veel van de recente aanvallen zijn corona-gerelateerd, aldus Google. Het noemt daarbij specifiek aanvallen door "hack-for-hire" bedrijven die zich in India bevinden. Deze bedrijven maken Gmail-accounts aan en versturen vervolgens phishingmails uit naam van de WHO. De aanvallen zijn gericht op financiële dienstverleners, consultancybedrijven en gezondheidszorgbedrijven in verschillende landen, waaronder de Verenigde Staten, Slovenië, Canada, India, Bahrein, Cyprus en het Verenigd Koninkrijk. In de phishingmails wordt ontvangers gevraagd om zich aan te melden voor nieuwsbrieven van de WHO. De link in de e-mail wijst naar een website die erg op die van de Wereldgezondheidsorganisatie lijkt. Zodra gebruikers zich voor de zogenaamde nieuwsbrief willen aanmelden verschijnt er een inlogpagina die vraagt om met een Google-account in te loggen. Ook worden soms andere persoonlijke gegevens gevraagd, zoals telefoonnummer. De gegevens die slachtoffers invoeren worden vervolgens naar de aanvallers gestuurd. bron: security.nl

Organisaties die gebruikmaken van systeembeheerservers om computers te beheren en software uit te rollen moeten deze machines goed beschermen, anders lopen ze risico om slachtoffer van een ransomware-aanval te worden. Zo laat Microsoft weten, dat organisaties via Twitter op de Java-gebaseerde ransomware PonyFinal wijst. Aanvallers achter deze ransomware maken gebruik van bruteforce-aanvallen op systeembeheerservers om binnen te komen. Hoewel Java-gebaseerde ransomware niet zoveel voorkomt als andere bestandstypes, is het volgens het techbedrijf belangrijker voor organisaties om naar de gebruikte aanvalsmethode te kijken. PonyFinal is één van de ransomware-exemplaren die bij zogeheten "human operated" aanvallen wordt ingezet. Bij dergelijke aanvallen gaan aanvallers gericht te werk en voeren zelf een groot deel van de vereiste stappen uit. Aanvallers kunnen zo veel nauwkeuriger het netwerk van een organisatie in kaart brengen en meer systemen versleutelen. De schade van deze aanvallen is dan ook veel groter dan van volautomatische aanvallen. De aanvallers achter de PonyFinal-ransomware richten zich specifiek op de servers waarmee organisaties hun it-omgeving (laten) beheren. Via bruteforce-aanvallen wordt geprobeerd om toegang te krijgen. Zodra dit de aanvallers is gelukt stelen ze eerst allerlei data van systemen en installeren vervolgens de ransomware. PonyFinal is Java-gebaseerd, wat inhoudt dat Java op de te versleutelen systemen aanwezig moet zijn. Microsoft is bekend met verschillende gevallen waarbij de aanvallers eerst Java op de aangevallen systemen installeerden voordat de ransomware werd uitgerold. In de meeste gevallen maken de aanvallers gebruik van informatie van de systeembeheerserver om alleen computers aan te vallen waarvan ze weten dat Java al aanwezig is. Het techbedrijf stelt verder dat de aanvallers op het juiste moment wachten om hun ransomware uit te rollen. Vaak is dit in het weekend of op feestdagen, wanneer it-personeel niet aanwezig is. Om aanvallen door de groep te voorkomen krijgen organisaties onder andere het advies om multifactorauthenticatie toe te passen. bron: security.nl

Antivirusbedrijf Trend Micro zal de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, de komende drie jaar met totaal 600.000 dollar sponsoren. Onlangs werd bekend dat de Amerikaanse afdeling in grote financiële problemen verkeerde nadat Cisco zich als hoofdsponsor had teruggetrokken. De stichting verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. De stichting kan dankzij allerlei sponsoren bestaan. Eind februari liet Cisco weten dat het stopte als grootste financiële sponsor in de Verenigde Staten. Daardoor raakte de Shadowserver Foundation meteen vier van de zeven gedoneerde ontwikkelaars / systeembeheerders in de Verenigde Staten kwijt. De overige drie gedoneerde medewerkers stopten er gisteren mee. Tevens moest Shadowserver de complete Amerikaanse datacenterinfrastructuur voor 26 mei naar een nieuwe locatie verhuizen. Het ging om 104 serverracks, 1340 servers en zo'n 12 petabytes aan opslag. De operatie is inmiddels succesvol afgerond. "Als een kleine non-profitorganisatie heeft Shadowserver niet de financiële reserves om op deze onverwachte gebeurtenissen en van buiten opgelegde tijdschema's te reageren", zo liet de stichting in maart nog weten. Zonder directe hulp zal Shadowserver dan ook moeten stoppen met het aanbieden van de belangrijkste diensten, waaronder de gratis netwerkrapporten met informatie over besmette systemen. Trend Micro was al een partner van de Shadowserver Foundation en deelt via de stichting malware-exemplaren. Nadat het nieuws over de financiële problemen bekend werd besloot de virusbestrijder voor de komende drie jaar 600.000 dollar te doneren. Daarmee zijn de geldzorgen van de stichting nog niet voorbij. De totale operationele kosten van de Amerikaanse afdeling bedragen dit jaar 2,1 miljoen dollar. Daarvan is pas 44 procent gehaald, wat inhoudt dat er nog 1,18 miljoen dollar nodig is. bron: security.nl