Captain Kirk

Onderzoekers hebben malware ontdekt die specifiek ontwikkeld is om gegevens van twee type voip-softswitches te stelen. Het gaat om de VOS2009 en VOS3000 van fabrikant Linknat, zo laat antivirusbedrijf ESET in een analyse weten. Een softswitch is een essentieel onderdeel van een voip-netwerk en is onder andere verantwoordelijk voor het beheer van voip-verkeer, routering en facturatie. De VOS2009 en VOS3000 zijn softwaregebaseerde oplossingen die op standaard Linux-servers worden geïnstalleerd. Onderzoekers van ESET ontdekten dat de malware, die ze CDRThief noemen, gegevens van de twee type softswitches steelt. Het gaat mede om gespreksgegevens, die metadata over voip-gesprekken bevatten. Denk aan de ip-adressen van de beller en ontvanger, gespreksduur en starttijd van het gesprek. Deze data bevindt zich in een MySQL-database die door de malware wordt uitgelezen. Om toegang tot de database te krijgen zoekt de malware in verschillende configuratiebestanden naar het wachtwoord. Het wachtwoord is versleuteld opgeslagen. Toch weet de malware het te ontsleutelen. Volgens onderzoeker Anton Cherepanov toont dit aan dat de malware-ontwikkelaars uitgebreide kennis van het betreffende voip-platform hebben. Hoe de aanvallers toegang tot de voip-softswitches weten te krijgen is op dit moment nog onbekend. Mogelijk gebruiken ze hiervoor een bruteforce-aanval of een kwetsbaarheid, merkt Cherepanov op. Een aantal jaren geleden werd er nog een beveiligings in de voip-software gevonden. Door middel van SQL-injection was het mogelijk om de inloggegevens te achterhalen en zo op het systeem in te loggen. bron: security.nl

Onderzoekers hebben een beveiligingslek in Bluetooth ontdekt waardoor een man-in-the-middle-aanval mogelijk is, zo laten de Bluetooth Special Interest Group (SIG) en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De kwetsbaarheid wordt BLURtooth genoemd en is aanwezig in de Cross-Transport Key Derivation (CTKD) van Bluetooth 4.0 tot en met 5.0. Via CTKD is het mogelijk om Bluetooth-apparaten te pairen die zowel Bluetooth Low Energy (BLE) als Basic Rate/Enhanced Data Rate (BR/EDR) ondersteunen. Het gaat hierbij om zogenoemde "dual-mode" apparaten die zelf kunnen kiezen of ze van BLE of BR/EDR voor de verbinding gebruikmaken. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren maken er gebruik van. BD/EDR heeft een hogere doorvoer en wordt bijvoorbeeld door draadloze koptelefoons gebruikt. Om ervoor te zorgen dat de apparaten slechts één keer via één van beide transportmethodes hoeven te pairen genereert CTKD zowel de BR/EDR als de BLE Long Term Keys (LTK). Wanneer de authenticatie tussen twee Bluetooth-apparaten succesvol is wordt de LTK door beide apparaten berekend. De LTK wordt voor het versleutelen van de verbinding gebruikt. In het geval van de BLURtooth-aanval kan een aanvaller de bestaande LTK overschrijven. Om de aanval uit te voeren moet een kwetsbaar apparaat wel pairing zonder authenticatie voor BR/EDR of BLE toestaan. Vervolgens kan een aanvaller voor de andere mode via CTKD een key genereren die een bestaande maar sterkere key overschrijft, of een key die door middel van authenticatie was gemaakt vervangen. Een aanvaller kan dan een man-in-the-middle-aanval uitvoeren op apparaten die eerder met het aangevallen apparaat zijn gepaird. De Bluetooth Special Interest Group laat weten dat versie 5.1 van de Bluetoothspecificatie beperkingen voor CTKD biedt om de aanval te voorkomen en adviseert fabrikanten om hier gebruik van te maken. Eindgebruikers krijgen het advies om beveiligingsupdates te installeren zodra die beschikbaar komen. bron: security.nl

Google was bij het oplossen van een beveiligingslek in Google Maps niet grondig genoeg, waardoor de onderliggende kwetsbaarheid nog steeds kon worden misbruikt. Dat laat beveiligingsonderzoeker Zohar Shachar via zijn eigen blog weten. Google Maps biedt gebruikers de optie om een eigen map te maken en die vervolgens als KML-bestand te exporteren. Dergelijke bestanden zijn vervolgens te gebruiken om geografische data binnen Google Earth en andere applicaties weer te geven. Bij het maken van de map is het mogelijk om die van een naam te voorzien. Deze tekst wordt echter niet weergegeven door de browser. Shachar ontdekte een manier om de tekst die in het naamveld werd opgegeven toch door de browser van een gebruiker uit te laten voeren. Door het toevoegen van speciale karakters kon de beperking worden omzeild en was cross-site scripting (XSS) mogelijk. Hiervoor had een aanvaller een nieuwe map moeten maken, voorzien van de XSS-code. Deze map moest vervolgens als KML-bestand worden geëxporteerd. Als laatste stap had een aanvaller de downloadlink naar het KML-bestand naar een slachtoffer moeten sturen. Wanneer die het bestand opende zou het mogelijk zijn om zijn cookies te stelen. De onderzoeker waarschuwde Google waarna het techbedrijf een oplossing doorvoerde en de onderzoeker met 5.000 dollar beloonde. Shachar besloot te kijken of Google het probleem echt had verholpen. Binnen tien minuten lukte het hem naar eigen zeggen om de oplossing van Google te omzeilen en was cross-site scripting wederom mogelijk. Weer waarschuwde de onderzoeker Google, dat het probleem dit keer wel volledig verhielp en Shachar opnieuw een beloning van 5.000 dollar gaf. De kwetsbaarheid in Google Maps is niet het enige probleem dat in eerste instantie niet goed door Google werd opgelost. De oplossing voor een beveiligingslek in Gsuite dat Shachar rapporteerde werd ook door de onderzoeker omzeild, wat hem wederom een dubbele beloning opleverde. De onderzoeker controleert nu alle fixes voor de door hem gemelde bugs en adviseert andere onderzoekers om dit ook te doen. bron: security.nl

Organisaties die met behulp van Windows Server Update Services (WSUS) de computers in hun netwerk up-to-date houden moeten controleren dat ze geen gebruik van http en user-proxies maken, anders zullen computers niet meer kunnen controleren of er beveiligingsupdates beschikbaar zijn. Dat heeft Microsoft aangekondigd. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. De verbinding tussen Microsoft en de WSUS-server vindt plaats via https. In het geval er meerdere WSUS-servers hiërarchisch zijn ingesteld zullen de downstream-servers de update-metadata van de upsteam-servers ontvangen. Wanneer er http voor deze verbindingen wordt gebruikt zijn organisaties kwetsbaar voor aanvallen en kan de informatie worden aangepast. Om de "chain of trust" in stand te houden en aanvallen op computers in het netwerk te voorkomen moeten alle verbindingen waarbij metadata wordt uitgewisseld via https plaatsvinden, aldus Microsoft. Organisaties kunnen ervoor kiezen dat computers in het netwerk via een proxy verbinding met een WSUS-server maken om te kijken of er updates beschikbaar zijn. Volgens Microsoft is het belangrijk om hierbij een systeem-gebaseerde proxy te gebruiken en geen user-gebaseerde proxy. Bij een user-gebaseerde proxy wordt de gebruiker geauthenticeerd. In het geval van een user-gebaseerde proxy kan een gebruiker de data die tussen de updateserver en de computers in het netwerk wordt uitgewisseld onderscheppen en manipuleren, zo stelt Microsoft. Om dit te voorkomen heeft Microsoft deze maand een update voor Windows 10-computers uitgerold die de omgang van computers met WSUS aanpast. Na installatie van de beveiligingsupdates van deze maand zullen computers die via http en een user-gebaseerde proxy verbinding met de WSUS-server maken geen updatescans bij de WSUS-server kunnen uitvoeren. Daardoor lopen deze computers het risico dat ze geen beveiligingsupdates meer ontvangen en dus kwetsbaar zijn. Om ervoor te zorgen dat computers toch via de WSUS-server naar updates kunnen zoeken adviseert Microsoft het gebruik van https voor de WSUS-omgeving, het gebruik van een systeem-gebaseerde proxy wanneer nodig en het instellen van een fallback-policy. bron: security.nl

Een kritieke kwetsbaarheid in Exchange-servers maakt het mogelijk voor aanvallers om systemen over te nemen door alleen het versturen van een speciaal geprepareerde e-mail. Microsoft heeft gisterenavond beveiligingsupdates voor het beveiligingslek uitgebracht, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 is beoordeeld. Tijdens de patchdinsdag van september heeft Microsoft in totaal 129 beveiligingslekken verholpen waarvan er 23 kritiek zijn en "remote code execution" mogelijk maken. Deze kwetsbaarheden bevinden zich in Windows, Dynamics 365, SharePoint, Exchange, Windows, IE11 en Edge. De kwetsbaarheid in Exchange is volgens securitybedrijf ZDI het gevaarlijkst. Een geauthenticeerde aanvaller kan door het versturen van een e-mail code met systeemrechten uitvoeren. Het feit dat de aanvaller geauthenticeerd moet zijn houdt in dat hij op een e-mailaccount moet kunnen inloggen. Dat blijkt in de praktijk geen obstakel te zijn. Een soortgelijke kwetsbaarheid waarvoor in februari een patch verscheen werd kort na het verschijnen van details actief aangevallen. Ook bij dit beveiligingslek kon een geauthenticeerde aanvaller door het versturen van een e-mail code met systeemrechten uitvoeren. Op deze was het mogelijk om Exchange-servers over te nemen en bijvoorbeeld het e-mailverkeer te onderscheppen en manipuleren. Het ZDI verwacht dat aanvallers op korte termijn misbruik van het nieuwe beveiligingslek zullen maken. Organisaties worden dan ook oproepen om de beveiligingsupdate voor de Exchange-kwetsbaarheid, aangeduid als CVE-2020-16875, de hoogste prioriteit te geven. Twee andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in de Windows Media Audio Decoder. Alleen door het bezoeken van een kwaadaardige of gecompromitteerde website kan een aanvaller willekeurige code uitvoeren. Iets wat ook mogelijk is door een lek in de Windows Codecs Library. In dit geval moet een programma een malafide afbeelding verwerken. Het grootste deel van de verholpen kwetsbaarheden is als "Belangrijk" beoordeeld. Vier van deze beveiligingslekken bevinden zich in Microsoft Office en zullen waarschijnlijk bij phishingaanvallen worden misbruikt, zo stelt Cisco. Alleen het openen van een kwaadaardig Office-document kan een aanvaller willekeurige code op het systeem laten uitvoeren. De door Microsoft uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

De Franse, Japanse en Nieuw-Zeelandse overheid hebben een waarschuwing afgegeven voor nieuwe aanvallen door de Emotet-malware en roepen organisaties onder andere op om personeel te onderwijzen dat ze geen macro's in Microsoft Office-documenten inschakelen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .doc-bestanden met kwaadaardige macro's bevatten. De malware lift daarbij mee op eerdere e-mailconversaties tussen al besmette slachtoffers en potentiële doelwitten. Die krijgen vervolgens een e-mail toegestuurd met een kwaadaardig bestand of een link hiernaar. Nieuwe versies van Emotet stelen ook adresboeken, e-mailbijlagen en de inhoud van berichten om die voor nieuwe aanvallen te gebruiken. Zodra de ontvanger van een dergelijke e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Hierbij maakt Emotet gebruik van SMB-kwetsbaarheden en gestolen wachtwoorden, zo stelt het Franse Computer Emergency Response Team (CERT-FR). De overheidsinstantie meldt dat Franse bedrijven en overheidsinstellingen al meerdere dagen doelwit zijn van aanvallen met Emotet. In het geval van een succesvolle aanval zal Emotet aanvullende malware installeren die grote gevolgen voor slachtoffers kan hebben, zo laat de waarschuwing van CERT-FR weten. Zo is Emotet gebruikt voor de installatie van de TrickBot-malware, die weer ransomware op systemen installeert. CERT-FR geeft organisaties verschillende adviezen om infecties door Emotet te voorkomen. Zo moeten gebruikers bewust worden gemaakt om geen macro's in ontvangen Office-documenten in te schakelen. Verder moeten besmette machines uit het netwerk worden gehaald zonder daarbij gegevens te verwijderen. In het algemeen is het volgens de Franse overheidsinstantie niet voldoende om malware met een virusscanner te verwijderen. "Alleen de herinstallatie van de machine verzekert dat de malware is verwijderd", aldus het advies. Tevens worden organisaties die malafide bijlagen ontvangen gevraagd om die naar het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) te sturen. Naast de Franse overheid waarschuwt ook het Nieuw-Zeelandse CERT (CERT NZ) dat er een toename is van Emotet-activiteit. CERT NZ adviseert om macro's binnen Microsoft Office in zijn geheel uit te schakelen en alleen macro's toe te staan die digitaal zijn gesigneerd of van een vertrouwde locatie afkomstig zijn. Ook moet PowerShell zo worden ingesteld dat het alleen gesigneerde scripts mag uitvoeren. In het geval van een besmet systeem raadt ook het CERT NZ aan om de machine te re-imagen. Het derde land dat een toename van aanvallen met Emotet meldt is Japan. Het Japanse CERT (JPCERT) zag begin deze maand een sterke stijging van besmette .jp-e-mailadressen die werden gebruikt om Emotet te verspreiden. Daarbij maken de aanvallers niet alleen gebruik van .doc-bestanden, maar ook van met wachtwoord beveiligde zip-bestanden die een kwaadaardig document bevatten. Net als de andere CERTs raadt ook JPCERT aan om macro's niet zomaar in te schakelen. bron: security.nl

Gebruikers van Thunderbird 68 worden zeer binnenkort automatische geüpdatet naar Thunderbird 78. Dat heeft MZLA, de dochteronderneming van Mozilla die de e-mailclient ontwikkelt, bekendgemaakt. De update zal met name gevolgen hebben voor gebruikers van de Enigmail-extensie. Via Enigmail is het mogelijk om Thunderbird met OpenPGP te gebruiken en versleuteld te mailen. Enigmail wordt echter niet door Thunderbird 78 ondersteund. Daarnaast is Thunderbird 68 vanaf deze herfst end-of-life en zal geen beveiligingsupdates meer ontvangen. De Thunderbird-ontwikkelaars hebben daarom besloten om de ondersteuning van OpenPGP direct in de e-mailclient in te bouwen. Eind augustus verscheen Thunderbird 78.2.1, de eerste Thunderbird-versie met ingebouwde OpenPGP-support die standaard staat ingeschakeld. MZLA meldt nu dat het gebruikers van Thunderbird 68 automatisch naar deze versie gaat updaten. In het geval van Engimail, dat meer dan 100.000 actieve gebruikers telt, wordt er een migratietool gebruikt om bestaande instellingen en sleutels te migreren. Dit geldt alleen voor gebruikers van de Classic Mode van Enigmail. Gebruikers van de Enigmail Junior Mode moeten aanvullende software downloaden of de migratie handmatig uitvoeren. De nieuwe Thunderbird werkt standaard niet met de GnuPG-software, waar Enigmail gebruik van maakt. In plaats daarvan werkt Thunderbird 78 met RNP, een OpenPGP-library die als vervanging van GnuPG dient. Er is echter een optionele configuratie voor "gevorderde gebruikers" waarmee die handmatig het gebruik van apart geïnstalleerde GnuPG-software kunnen instellen. Een ander verschil met Enigmail is dat Thunderbird 78 geen optie biedt voor het beveiligen van secret keys met een wachtwoord. In plaats daarvan is de enige optie het instellen van een Master Password in Thunderbird. Gebruikers die met de overstap tegen problemen aan lopen worden naar deze Thunderbird-supportgroep doorverwezen. bron: security.nl

FTP moet eigenlijk niet meer worden gebruikt, maar toch zijn er nog miljoenen FTP-servers toegankelijk vanaf het internet, zo stelt securitybedrijf Rapid7 aan de hand van eigen onderzoek. Voor het onderzoek werd een internetbrede scan uitgevoerd, die bijna 13 miljoen "nodes" opleverde. Bij 6,6 miljoen van deze nodes kon worden vastgesteld welke FTP-software ze draaiden. Het uit 1971 stammende File Transfer Protocol (FTP) maakt geen gebruik van versleuteling, waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. "In 2020 is er één aanvaardbaar gebruik van FTP, en dat is het bieden van een anonymous FTP-downloaddienst van min of meer openbare data", zegt Tod Beardsley van Rapid7. In dit geval worden er geen inloggegevens in plain text verstuurd, maar gaat de data wel onversleuteld naar de server. "Alle andere toepassingen van FTP moeten als onveilig worden beschouwd en worden vermeden", merkt Beardsley op. "Zelfs deze toepassing is op het randje van het onacceptabele, aangezien FTP geen checksumming of foutcontrole van uitgewisselde bestanden biedt, waardoor het eenvoudig is om data via een man-in-the-middle aan te passen." Toch zijn erop internet nog miljoenen FTP-servers te vinden. Meer dan 3,1 miljoen van deze servers draaien Pure-FTPd, gevolgd door ProFTPD met iets meer dan 1 miljoen. Op de derde plek vonden de onderzoekers Microsoft IIS (823.000), met daarna vsFTPd (661.000). Veel van deze servers bleken een kwetsbare versie van de FTP-software te draaien. In het geval van vsFTPd maken 496.000 servers gebruik van een verouderde en kwetsbare versie. Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien. Deze versies bevatten een uit 2015 stammende kwetsbaarheid die op een schaal van 1 tot en met 10 wat betreft de impact met een 10 is beoordeeld. Via het beveiligingslek kan een aanvaller willekeurige bestanden lezen en schrijven. Beardsley adviseert IT-afdelingen om het gebruik van FTP te vermijden en SFTP of SCP te gebruiken. Verder wordt cloudproviders aangeraden om het gebruik van FTP door klanten te ontmoedigen. bron: security.nl

Versleutelde e-maildienst ProtonMail en vpn-dienst ProtonVPN zijn tijdelijk overgestapt op tls-certificaten van Let's Encrypt. Aanleiding zijn ddos-aanvallen op certificaatautoriteit SwissSign waar ProtonMail en ProtonVPN normaliter gebruik van maken. De aanvallen op SwissSign zorgden ervoor dat de diensten van ProtonMail en ProtonVPN met onderbrekingen te maken kregen. "Belangrijk om te vermelden is dat de data van onze gebruikers geen risico heeft gelopen", laat ProtonMail weten. "Totdat SwissSign de aanval kan afslaan zijn we tijdelijk overgestapt op een andere certificaatautoriteit genaamd Let's Encrypt." Gebruikers van ProtonMail of ProtonVPN die het certificaat van beide diensten controleren zien dat die nu door Let's Encrypt zijn uitgegeven en niet door SwissSign. In de aankondiging heeft ProtonMail ook de SHA-256- en SHA-1-fingerprint van het certificaat vermeld. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid meldt dat organisaties en bedrijven wereldwijd het doelwit van ddos-aanvallen zijn geworden. Ook de FBI heeft een soortgelijke waarschuwing gegeven (pdf). Criminelen die claimen de groep "Fancy Bear" te zijn hebben verantwoordelijkheid voor de aanvallen opgeëist. Sommige van de aangevallen organisaties zijn ook afgeperst, waarbij ze een bedrag moesten betalen om verdere aanvallen te voorkomen. Het betalen van losgeld wordt door de FBI afgeraden. bron: security.nl

Een kritieke kwetsbaarheid in Cisco Jabber voor Windows maakt remote code execution mogelijk, waardoor aanvallers in het ergste geval volledige controle over het systeem van het slachtoffer kunnen krijgen. Alleen het versturen van een een speciaal geprepareerd bericht is voldoende. Er is geen interactie van het slachtoffer vereist, behalve dat hij Cisco Jabber in de achtergrond heeft draaien. Cisco Jabber is een programma dat instant messaging, desktopsharing en audio-, video- en webconferenties biedt. Het is met name bedoeld voor interne communicatie binnen organisaties, maar is ook voor het meetings met personen buiten de organisatie te gebruiken. Onderzoekers van securitybedrijf Watchcom ontdekten via kwetsbaarheden in de software. Eén daarvan, CVE-2020-3495, maakt het mogelijk voor een aanvaller om op afstand systemen met een kwetsbare Jabber-versie over te nemen. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de impact met een 9,9 beoordeeld. Het probleem wordt veroorzaakt doordat Cisco Jabber de inhoud van inkomende HTML-berichten niet goed valideert. Door het versturen van een speciaal geprepareerd bericht kan een aanvaller een kwaadaardig exe-bestand naar de gebruiker sturen en dat vervolgens uitvoeren. Ook is het mogelijk om commando's met de rechten van de ingelogde gebruiker uit te voeren. Cisco heeft beveiligingsupdates uitgebracht. De kwetsbaarheid, die volgens de onderzoekers ook door een worm misbruikt kan worden, is niet aanwezig in Cisco Jabber voor MacOS of Cisco Jabber voor mobile platforms. In onderstaande video wordt het beveiligingslek gedemonstreerd. bron: security.nl

Een kritiek beveiligingslek in een cloudplatform van securitybedrijf SonicWall maakte het mogelijk om toegang tot miljoenen apparaten van zo'n 500.000 organisaties te krijgen, zo stelt securitybedrijf Pen Test Partners. Ruim twee weken nadat SonicWall was ingelicht werd de kwetsbaarheid verholpen. SonicWall biedt allerlei netwerkapparaten, zoals firewalls, vpn's en UTM-appliances. Via een cloudplatform kunnen organisaties deze apparaten beheren. Organisaties kunnen voor hun omgeving gebruikers met verschillende rechten aanmaken. Beveiligingsonderzoeker Vangelis Stykas ontdekte een insecure direct object reference (IDOR) kwetsbaarheid in een API-request van het cloudplatform. Via dit beveiligingslek was het mogelijk om elke willekeurige gebruiker aan elke willekeurige groep van elke willekeurige organisatie toe te voegen. Het enige dat was vereist was een geldig gebruikersaccount voor het cloudplatform. SonicWall maakte in de API-request gebruik van de parameter "partyGroupId". Dit Id bestaat uit zeven cijfers. Alleen door het Id in het request te veranderen kon een gebruiker aan een andere groep worden toegevoegd. Aangezien het Id uit zeven cijfers bestond was het eenvoudig om alle mogelijke Id's via een bruteforce-aanval te vinden, aldus Stykas. De toegevoegde gebruiker zou vervolgens via het cloudplatform toegang tot de apparaten van het bedrijf kunnen krijgen, zoals firewalls, routers, vpn's en voip-systemen. Zo zouden bijvoorbeeld firewallregels kunnen worden aangepast of was het mogelijk om remote toegang te krijgen. In totaal was het mogelijk om aan 1,9 miljoen groepen van zo'n 500.000 organisaties te worden toegevoegd. Zeker tien miljoen unieke apparaten die via het cloudplatform waren te bedienen liepen risico, zo stelt Pen Test Partners. Volgens Stykas is het ironisch dat een beveiligingsproduct het mogelijk maakte om de netwerken van klanten te compromitteren. De onderzoeker waarschuwde SonicWall op 13 augustus, en ontving drie kwartier later een bevestiging. Het probleem werd echter pas 17 dagen later verholpen. In de tussentijd werd het platform niet offline gehaald, waardoor klanten risico liepen, zo stelt Stykas. "Soortgelijke kwetsbaarheden die we aan andere organisaties melden worden meestal binnen 48 uur verholpen", merkt de onderzoeker op. bron: security.nl

Ruim 300.000 WordPress-sites lopen het risico om door aanvallers te worden overgenomen doordat ze een kwetsbare versie van de plug-in File Manager gebruiken. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was. Hoewel er inmiddels een patch is te downloaden hebben de meeste kwetsbare sites die nog niet geïnstalleerd. Via File Manager kunnen WordPress-beheerders eenvoudig bestanden van hun website beheren zonder hiervoor van FTP gebruik te maken. De plug-in draait op meer dan 700.000 websites. File Manager bevat een library genaamd elFinder, een open source file manager die voor een eenvoudige bestandsmanagementinterface zorgt en de kernfunctionaliteit achter de plug-in biedt. Het probleem met File Manager werd veroorzaakt doordat de plug-in de naam van een bestand van de elFinder-library had hernoemd van .dist naar .php. Dit php-bestand is voor iedereen toegankelijk. Een aanvaller kan het bestand aanroepen en gebruiken om de library een commando uit te laten voeren, zoals het uploaden van een webshell waarmee er toegang tot de website kan worden verkregen. Na ontdekking van de aanvallen kwam de ontwikkelaar van File Manager gisteren met een beveiligingsupdate. De kwetsbaarheid is aanwezig in versie 6.0 tot en met 6.8. Uit statistieken van WordPress blijkt dat 45 procent van de WordPress-sites met deze plug-in gebruikmaakt van versie 6.4, 6.5 of 6.7, en zijn zodoende kwetsbaar. Bij elkaar gaat het om 315.000 websites. Van 29 procent wordt het versienummer niet vermeld, waardoor het aantal kwetsbare websites mogelijk nog veel hoger is. Securitybedrijf Wordfence meldt dat het al 450.000 aanvallen tegen WordPress-sites heeft voorbij zien komen. NinTechNet laat weten dat aanvallers in het geval van een succesvolle aanval het kwetsbare bestand van een wachtwoord voorzien, om zo misbruik door andere aanvallers te voorkomen. Beheerders worden dan ook opgeroepen om versie 6.9 te installeren, die de kwetsbaarheid verhelpt. Deze versie draait inmiddels op 7 procent van de WordPress-sites met File Manager. bron: security.nl

Aanvallers maken gebruik van een drie jaar oude kwetsbaarheid om NAS-systemen van fabrikant QNAP van een backdoor te voorzien, stelt securitybedrijf Qihoo 360 in een analyse. QNAP-systemen zijn vaker het doelwit van aanvallen, maar volgens onderzoekers van het securitybedrijf was het nog niet bekend dat ervan het betreffende beveiligingslek gebruik werd gemaakt. Via de kwetsbaarheid kan een ongeautenticeerde aanvaller op afstand commando's op het systeem uitvoeren. Het beveiligingslek is aanwezig in een CGI-programma gebruikt voor het uitloggen van de gebruiker. Dit programma blijkt gebruikersinvoer niet goed te filteren en roept de systeemfunctie aan voor het uitvoeren van een opgegeven string, waardoor command injection mogelijk is. In het geval van een succesvolle aanval installeren de aanvallers een reverse shell, waarmee ze toegang tot het systeem houden. Verdere andere activiteiten, zoals bijvoorbeeld het versleutelen van bestanden voor losgeld of het gebruik van het NAS-systeem voor ddos-aanvallen zijn nog niet waargenomen. Qihoo 360 informeerde QNAP waarop de NAS-fabrikant liet weten dat de onderliggende kwetsbaarheid al in 2017 via een update voor het QTS-besturingssysteem van de NAS-systemen was verholpen. Gebruikers wordt aangeraden om nieuwe firmware-updates tijdig te installeren en op ongewone processen en netwerkverbindingen te controleren. bron: security.nl

Het Tor Project, verantwoordelijk voor het Tor-netwerk, is een nieuw lidmaatschap gestart voor bedrijven en organisaties die de softwareontwikkelaar financieel willen ondersteunen. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en overheidscensuur te omzeilen. Het netwerk en de software om er gebruik van te maken worden door het Tor Project onderhouden, een non-profitorganisatie die volledig dankzij giften bestaat. De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid. In 2017 ontving het Tor Project 4,1 miljoen dollar. Daarvan was 2,1 miljoen dollar afkomstig van Amerikaanse overheidsinstellingen, zoals de National Science Foundation, het Stanford Research Institute en een afdeling van het Amerikaanse ministerie van Buitenlandse Zaken. In 2015 waren donaties van de Amerikaanse overheid nog goed voor 85 procent van de inkomsten. Al enige tijd vraagt het Tor Project aan individuele gebruikers om donaties. Vorig jaar ontving de organisatie een recordbedrag van 834.000 dollar. Toch zag het Tor Project zich in april van dit jaar vanwege de economische situatie genoodzaakt om een derde van al het personeel te ontslaan. Daarnaast zijn de giften die van overheidsinstellingen afkomstig zijn alleen voor eerder vastgestelde voorstellen te gebruiken. Het Tor Project doet geregeld voorstellen om het netwerk of de software te verbeteren. Tussen de tijd dat het voorstel is ingediend, de overheidsinstelling het heeft goedgekeurd en een contract is getekend kan soms meer dan een jaar zitten. Als softwareontwikkelaar wil het Tor Project snel op nieuwe ontwikkeling kunnen reageren, iets wat met de giften van overheidsinstellingen niet mogelijk is. Met het nieuwe "Tor Project Membership Program" hoopt de organisatie meer giften aan te trekken die vervolgens sneller zijn in te zetten. Het lidmaatschapsprogramma is mede opgezet door Avast, DuckDuckGo, Insurgo, Mullvad VPN en Team Cymru. Bedrijven en organisaties die willen meedoen krijgen toegang tot een adviesgroep die deelnemers helpt om Tor binnen hun product te integreren. Ook wordt er informatie gedeeld over nog in ontwikkeling zijnde projecten. Sponsoren kunnen uit drie verschillende lidmaatschappen kiezen. Het goedkoopste lidmaatschap kost tussen de 10.000 en 50.000 dollar. Voor het tweede lidmaatschap moet tussen de 50.000 en 100.000 dollar worden betaalt en "Shallot Onion" leden mogen jaarlijks 100.000 dollar of afrekenen. Alle lidmaatschappen bieden toegang tot de adviesgroep en webinars. Het verschil zit in de bijkomende promotie vanuit het Tor Project. bron: security.nl

Cisco waarschuwt voor een actief aangevallen kwetsbaarheid in de IOS XR-software waardoor een aanvaller een denial of service (dos) kan veroorzaken en een beveiligingsupdate is nog niet beschikbaar. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers. De kwetsbaarheid (CVE-2020-3566) bevindt zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen. Cisco laat weten dat het met een beveiligingsupdate zal komen. Op dit moment zijn er geen workarounds voorhanden, wel kunnen organisaties verschillende mitigaties doorvoeren. Zoals het instellen van een rate limiter voor IGMP-verkeer of het aanmaken van een access control list (ACL) die inkomend DVMRP-verkeer voor een bepaalde interface blokkeert. Ook het uitschakelen van IGMP-routering voor interfaces die geen IGMP hoeven te verwerken wordt aangeraden. bron: security.nl

Miljoenen internetgebruikers maken gebruik van browserextensies, maar de toekomst van deze extensies is in gevaar, zo waarschuwt Wladimir Palant, ontwikkelaar van de bekende adblocker Adblock Plus. Extensies bieden allerlei extra functionaliteit aan de browser, bijvoorbeeld op het gebied van privacy en security. Mozilla lanceerde onlangs een nieuwe Firefox voor Android. Ondersteunde de oude Firefox voor Android nog tal van extensies, de nieuwe editie laat gebruikers op dit moment uit negen extensies kiezen. Palant stelt dat er geen technische reden is waarom de extensies niet meer werken. "Het is een beleidskeuze", zo merkt hij op in een blog. De meeste add-ons blijken gewoon in de nieuwe versie te kunnen werken, maar Mozilla staat dit niet toe. Een mogelijke reden hiervoor is kostenbesparingen. Begin deze maand maakte Mozilla bekend dat het een kwart van het personeel zal ontslaan wegens de economische situatie. Alle Firefox-extensies worden door Mozilla gecontroleerd, wat een kostbaar proces is. De Firefox-ontwikkelaar liet wel weten dat het later meer extensies zal gaan ondersteunen, maar maakte niet kenbaar om welke extensies het gaat en wanneer. Een bijkomend probleem is dat elke nieuwe extensie klein begint. Deze extensies zullen waarschijnlijk geen kans krijgen, waardoor ontwikkelaars ook geen nieuwe extensies meer zullen ontwikkelen, vreest Palant. De situatie is op de desktop niet veel beter. Mozilla besloot daar het eigen extensiemodel te verruilen voor het WebExtensions-model waar Google Chrome mee werkt. Dit beperkte Firefox-extensies tot de functionaliteit die door Chrome wordt ondersteund. Mozilla liet weten dat het nieuwe functionaliteit zou toevoegen, om krachtigere extensies mogelijk te maken. Ook zou er een mogelijkheid voor extensie-ontwikkelaars komen om nieuwe extensie-API's te schrijven. Dit is echter nooit van de grond gekomen. "En dus bepaalt Google nu met de eigen Chrome-browser wat extensies moeten kunnen doen", gaat Palant verder. Eén van aankondigingen waar extensie-ontwikkelaars zich zorgen over maken is het plan van Google om de WebRequest API uit te faseren. Adblockers maken hiervan gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld. Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Adblockers zouden hierdoor requests van de browser alleen nog kunnen observeren en niet meer aanpassen of blokkeren. Mozilla liet eind vorig jaar weten dat het niet alle aanpassingen van Google zal volgen, maar Palant is bang dat de Firefox-ontwikkelaar vroeger of later toch overstag gaat. Daardoor is Google Chrome de standaard voor browseraanpassingen geworden. Voor mobiele apparaten bood Google al geen extensie-support en op de desktop heeft het techbedrijf volgens Palant weinig reden om veel in extensie-support te steken. De Adblock Plus-ontwikkelaar verwacht dan ook verder functionaliteitsverlies in de naam van prestaties en security. "En ondanks deze nobele doelen, houdt het in dat gebruikers aan het kortste eind trekken. De innovatieve impact van add-ons zal verdwijnen. In de toekomst zal alle innovatie van browserontwikkelaars zelf moeten komen, er zal geen ruimte meer zijn voor experimenten of nicheoplossingen", besluit de extensie-ontwikkelaar. bron: security.nl

Een ernstige kwetsbaarheid in de desktopapplicatie van de zakelijke berichtendienst Slack maakte het mogelijk voor aanvallers om op afstand code uit te voeren. Slack heeft het beveiligingslek verholpen en onderzoeker Oskars Vegeris die het probleem ontdekte en rapporteerde met 1750 dollar beloond. De enige vereiste voor het uitvoeren van de aanval was dat de gebruiker op een Slack-bericht klikte. Vegeris omschrijft een scenario waarbij een aanvaller een kwaadaardig Slack-bericht maakt waarop de gebruiker klikt. Slack verbiedt het uitvoeren van JavaScript in berichten van gebruikers, maar het is wel mogelijk om HTML-tags te gebruiken. De onderzoeker maakt hiervan gebruik voor zijn aanval. Zodra de gebruiker op het bericht klikt wordt de Slack-desktopapplicatie via een HTML-redirect naar een kwaadaardige website gestuurd. Deze website reageert met JavaScript, die vervolgens door de Slack-app wordt uitgevoerd. In een videodemonstratie laat Vegeris zien hoe hij na een enkele klik van de gebruiker calc.exe start. De onderzoeker merkt op dat de payload eenvoudig is aan te passen. Zo is het ook mogelijk om toegang tot privégesprekken, bestanden en tokens van de gebruiker te krijgen, zonder dat hiervoor commando's op het systeem van de gebruiker moeten worden uitgevoerd. Daarnaast ontdekte Vegeris dat het domein files.slack.com kwetsbaar was voor cross-site scripting. Hierdoor zou het mogelijk zijn om phishingpagina's op het domein van Slack te hosten of de eerder genoemde exploit. De onderzoeker waarschuwde Slack eind januari, waarna het probleem begin maart werd verholpen. Op Twitter is er de nodige kritiek dat Slack 1750 dollar voor een ernstige kwetsbaarheid betaalt. Het bedrijf biedt via HackerOne een bugbounty-programma en dat laat onderzoekers van tevoren weten dat er maximaal 1500 dollar voor kritieke kwetsbaarheden wordt uitgekeerd. bron: security.nl

Wie een tls-certificaat wil aanschaffen dat langer dan 398 dagen geldig is heeft alleen vandaag nog de tijd om dit te regelen. Vanaf morgen zullen nieuw uitgegeven certificaten met een levensduur van meer dan 398 dagen niet meer door browsers en besturingssystemen worden geaccepteerd. Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd. Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, wilden de levensduur van certificaten naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen. Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Volgens Mozilla kan er zo sneller op beveiligingsincidenten worden gereageerd en kan veiligere technologie sneller worden doorgevoerd. Daarnaast lopen privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans om te worden gecompromitteerd, aldus de browserontwikkelaar. Hoewel certificaten maximaal 398 dagen geldig mogen zijn adviseerde Apple certificaatautoriteiten om certificaten met een maximale levensduur van 397 dagen uit te geven. Certificaatautoriteiten hebben daarop hun beleid aangepast. Zo besloot DigiCert vorige week al te stoppen met het uitgeven van certificaten die 825 dagen geldig zijn. De maatregel heeft geen effect op de populaire certificaatautoriteit Let's Encrypt. Certificaten van Let's Encrypt hebben een levensduur van maximaal negentig dagen. bron: security.nl

Miljoenen servers die via OpenSSH toegankelijk zijn draaien een kwetsbare versie van de software, zo blijkt uit onderzoek van securitybedrijf Rapid7. Het bedrijf voerde een internetbrede scan uit en ontdekte ruim 17,8 miljoen systemen die via SSH toegankelijk zijn. Secure Shell (SSH) is een protocol om op afstand op servers in te loggen en bijvoorbeeld machines te beheren. Vanwege de beveiligde manier van inloggen is SSH inmiddels de standaard geworden en heeft daarmee de onbeveiligde inlogmethode Telnet verdrongen. Voor elke machine die op internet via Telnet toegankelijk is zijn er zes via SSH benaderbaar. In de VS gaat het zelfs om een ratio van 1 op 28. Zo werden er 232.000 Telnet-servers geteld tegenover 6,6 miljoen SSH-servers. In China is de verhouding zo'n 1 op 3, namelijk 734.000 Telnet-servers tegenover 2,4 miljoen SSH-servers. Als er wordt gekeken naar de top tien landen met SSH-toegang staat Nederland op een negende plek in het onderzoek van Rapid7. Er zijn verschillende SSH-oplossingen, waarbij OpenSSH veruit het populairst is. Ruim 92,2 procent van alle SSH-servers draait op OpenSSH. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol. SSH-software Dropbear volgt met 7,3 procent op de tweede plek. Het onderzoek laat verder zien dat veel servers kwetsbare OpenSSH-versies draaien. OpenSSH versie 7.4 werd het vaakst aangetroffen, namelijk op meer dan 4,7 miljoen servers. Deze versie verscheen op 19 december 2016 en bevat negen bekende kwetsbaarheden. OpenSSH versie 5.3, die op 1 oktober 2009 uitkwam, draait op meer dan 1,5 miljoen servers en telt 32 bekende kwetsbaarheden. De meest recente versie van OpenSSH is versie 8.3. Deze versie komt echter niet terug in het overzicht van de onderzoekers. "Elke OpensSSH-versie in top twintig heeft tussen de 2 en 32 kwetsbaarheden, wat inhoudt dat er een duidelijk gebrek aan patchmanagement is voor miljoenen systemen die aan het koude, harde internet zijn blootgesteld", aldus onderzoeker Tod Beardsley. bron: security.nl

Een beveiligingslek in de vpn-software van Pulse Secure maakt het mogelijk voor aanvallers om willekeurige code uit te voeren. Voorwaarde is wel dat een beheerder eerst een malafide link opent. Via een andere kwetsbaarheid kan een aanvaller het Google Time-based One-time Password (TOTP) omzeilen. Pulse Secure bracht vorige maand beveiligingsupdates voor de kwetsbaarheden uit. Details over één van de verholpen beveiligingslekken is nu online verschenen. Het gaat om een lek aangeduid als CVE-2020-8218. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid beoordeeld met een 7,2. Dit komt omdat het beveiligingslek alleen door een geauthenticeerde aanvaller is te misbruiken. Zodra een aanvaller beheerdersrechten heeft kan die via een cgi-bestand op het systeem, bedoeld om de licentie te controleren, zijn eigen code aanroepen en uitvoeren. "Hoewel een aanvaller geauthenticeerd moet zijn, is het feit dat de kwetsbaarheid via een eenvoudige phishingaanval op het juiste slachtoffer is te misbruiken, voldoende bewijs dat dit beveiligingslek niet moet worden genegeerd", zegt Jean-Frédéric Gauron van GoSecure, het securitybedrijf dat de kwetsbaarheid ontdekte. Eind juli kwam Pulse Secure met beveiligingsupdates voor verschillende problemen in de eigen vpn-software. De kwetsbaarheid met de Google TOTP scoort wat de impact betreft een 8,1. Uitgebreide details over dit lek ontbreken echter, behalve dat een aanvaller de Google TOTP, die als tweede factor bij het inloggen op de vpn dient, kan omzeilen als de primaire inloggegevens bekend zijn. bron: security.nl

Internationale bedrijven zullen de komende tien jaar drastisch veranderen door de opkomst van Bring your own PC en secure access service edge (SASE), zo voorspelt marktvorser Gartner. Bring your own PC (BYOPC) is een strategie waarbij medewerkers hun eigen apparatuur gebruiken voor het draaien van zakelijke applicaties en het benaderen van bedrijfsservices en data. Via SASE kunnen endpoints op een beveiligde manier toegang tot applicaties krijgen, ongeacht het gebruikte netwerk. Volgens Gartner zullen BYOPC en SASE voor een transformatie van internationale ondernemingen zorgen. De ontwikkeling wordt mede door de coronapandemie veroorzaakt. "Voor de coronapandemie was er weinig interesse in BYOPC", zegt Rob Smith, onderzoeksdirecteur van Gartner. "Aan het begin van de pandemie hadden organisaties eenvoudigweg geen andere keuze. De noodzaak om medewerkers vanaf huis te laten werken en een gebrek aan beschikbare hardware heeft wereldwijd de toepassing versterkt." Vanwege de sterke groei is het aan chief information security officers (CISO's) en "security leaders" om beveiligingsregels op te stellen. "CISO's en security leaders moeten ervan uitgaan dat de noodzaak om BYOPC te ondersteunen van een thuiswerkstrategie voor de lange termijn afhankelijk is, en moeten er ook rekening mee houden om securitytools te ondersteunen die voor een BYOPC-omgeving zijn vereist", aldus Smith. Volgens de onderzoeksdirecteur van Gartner moeten bedrijven inzetten op zaken als multifactorauthenticatie (MFA) voor bedrijfsapplicaties, -systemen en -data, ongeacht of die virtueel zijn of niet, of dat ze wel of niet in de cloud worden gehost. In het geval van cloudapplicaties adviseert Smith om lokale opslag bij medewerkers te verbieden en het uploaden van data afkomstig van een BYOPC naar de cloud ook niet toe te staan, aangezien op deze manier het cloudsysteem besmet kan raken. "Aangezien BYOPC's vaak besmet zijn met malware of ransomware en slachtoffer van phishingaanvallen worden, moet de it-afdeling de toegang beperken en controleren door de hardware-aanschaf te compenseren met beveiligingstechnologieën zoals MFA, cloud access security brokers (CASB), zero trust network access (ZTNA), virtuele desktopinfrastructuur en desktop as a service", laat Gartner weten. De marktvorser adviseert tevens om in samenwerking met HR, juridische zaken en de ondernemingsraad een goed thuiswerkbeleid op te stellen. bron: security.nl

Microsoft heeft besloten om de Enterprise-, Education- en IoT Enterprise-edities van Windows 10 versie 1803 zes maanden langer te ondersteunen. Aanleiding is de impact van de coronapandemie op organisaties en bedrijven. Oorspronkelijk zouden deze versies op 10 november 2020 de laatste beveiligingsupdates uitvangen. Dat heeft Microsoft nu verlengd tot 11 mei 2021. Dit moet organisaties meer tijd geven om naar een nieuwere Windows 10-versie te upgraden. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. Feature-updates die rond september verschijnen worden voor Windows 10 Enterprise en Education 30 maanden met beveiligingsupdates ondersteund. Feature-updates die rond maart voor deze Windowsversies uitkomen kunnen 18 maanden op beveiligingsupdates rekenen. Daarna stopt de ondersteuning en zullen de betreffende versies geen beveiligingsupdates meer ontvangen. Volgens Microsoft zijn bedrijven in deze tijd meer bezig met hun bedrijfscontinuïteit en is de supportperiode daarom verlengd. Eerder besloot het techbedrijf dit ook te doen voor de Enterprise-, Education- en IoT Enterprise-edities van Windows 10 versie 1709 en de Home- en Pro-edities van Windows 10 versie 1809. bron: security.nl

De ontwikkelaars van Thunderbird hebben besloten om gebruikers van de Enigmail-extensie nog niet automatisch naar de nieuwste versie van de e-mailclient te upgraden. Via de Enigmail-extensie is het mogelijk om Thunderbird met OpenPGP te gebruiken, volgens de ontwikkelaars de meestgebruikte encryptiestandaard ter wereld. Zo kunnen gebruikers versleuteld e-mailen. Thunderbird 68 is echter de laatste versie die met de Enigmail-extensie werkt. De Thunderbird-ontwikkelaars hebben besloten om de ondersteuning van OpenPGP direct in de e-mailclient in te bouwen. Oorspronkelijk was het plan om deze functionaliteit met de lancering van Thunderbird 78 gereed te hebben, maar dat bleek niet haalbaar. In plaats daarvan zou OpenPGP-support in Thunderbird 78.2 verschijnen. Deze versie zou Enigmail-gebruikers automatisch naar de nieuwste versie upgraden en automatisch hun Enigmail-instellingen in de nieuwe OpenPGP-feature van Thunderbird importeren. Thunderbird 78.2 is nu uitgekomen, maar Enigmail-gebruikers zullen nog niet automatisch worden geüpgraded. Vanwege laatste wijzigingen en tests door vrijwilligers is besloten dit tijdelijk uit te stellen. Wanneer de upgrade nu zal plaatsvinden is nog onbekend. Thunderbird 78.2 is wel handmatig te downloaden, maar Enigmail-gebruikers wordt afgeraden dit te doen. Thunderbird 68 zal tot de herfst van dit jaar beveiligingsupdates blijven ontvangen. bron: security.nl

Softwarebedrijf Autodesk waarschuwt bedrijven die van 3ds Max gebruikmaken voor een actief aangevallen kwetsbaarheid in de software. Bij de aanvallen wordt gebruikgemaakt van een exploit waardoor er kwaadaardige code via 3ds Max op systemen kan worden uitgevoerd. 3ds Max, voorheen bekend als 3D Studio en 3D Studio Max, is professionele software voor modellering, rendering en animatie. Bij de nu waargenomen aanvallen lukt het aanvallers om bedrijven een zogenoemde "MAXScript-exploit" te laten uitvoeren. De exploit zit verborgen in een bestand dat zich voordoet als een plug-in voor 3ds Max. Zodra het bestand wordt geopend in 3ds Max kan de exploit het programma kwaadaardige code laten uitvoeren en zichzelf naar andere MAX-bestanden verspreiden, zo laat Autodesk weten. Het bedrijf heeft nu een plug-in uitgebracht die de kwaadaardige kan detecteren en verwijderen. Antivirusbedrijf Bitdefender heeft een analyse gepubliceerd van een aanval waarbij een MAXScript-exploit succesvol door aanvallers tegen een niet nader genoemd bedrijf werd ingezet. De aanvallers wisten na infectie van het systeem allerlei bedrijfsgegevens te stelen. Daarbij was industriële spionage in de vastgoedindustrie het doel, aldus de onderzoekers. Het aangevallen bedrijf is betrokken bij grote vastgoedprojecten in New York, Londen, Australië en Oman, stelt Bitdefender. De virusbestrijder was bij het onderzoek naar de aanval betrokken en ontdekte dat de aanvallers via een tot dan toe onbekende kwetsbaarheid in 3ds Max waren binnengekomen. bron: security.nl

Routers van fabrikant MikroTik krijgen ingebouwde ondersteuning voor het vpn-protocol WireGuard. Een nieuwe testversie van RouterOS, het besturingssysteem dat op MikrokTik-routers draait, voegt WireGuard-support toe. Een feature waar gebruikers al sinds om vragen. In maart van dit jaar werd versie 1.0 van WireGuard aan de Linux-kernel toegevoegd en nu heeft MikroTik besloten om het vpn-protocol ook in RouterOS te ondersteunen. Hierbij wordt gebruik gemaakt van de eerder verschenen versie 1.0. Zo kunnen gebruikers op de router een WireGuard-server instellen en daar vanaf andere locaties mee verbinding maken. Vooralsnog gaat het om beta-firmware van RouterOS. Volgens WireGuard-ontwikkelaar Jason Donenfeld is zijn vpn-protocol een snellere, eenvoudigere en modernere vpn dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. bron: security.nl