Captain Kirk

In de eerste twee weken van april zijn tientallen zorginstellingen, overheidsinstanties, productiebedrijven, transportbedrijven en aanbieders van onderwijssoftware door ransomware getroffen, aldus Microsoft, dat naar aanleiding van de incidenten verschillende beveiligingstips heeft gepubliceerd om ransomware te voorkomen. Getroffen organisaties bleken hun it-beveiliging niet op orde te hebben. Zo maakten slachtoffers gebruik van Windows Server 2003 en Windows Server 2008 die al geruime tijd niet meer met beveiligingsupdates worden ondersteund. Daarnaast werd de situatie door het gebruik van zwakke wachtwoorden verder verergerd, stelt Microsoft. Ook maakten aanvallers misbruik van bekende kwetsbaarheden in Citrix-systemen en Pulse Secure vpn-software waarvoor al lange tijd updates beschikbaar zijn. "Het installeren van beveiligingsupdates is cruciaal om deze aanvallen te voorkomen", laat Microsoft weten. Bij verschillende slachtoffers bleken webservers verkeerd geconfigureerd te zijn, alsmede software voor elektronische patiëntendossiers, back-upservers of servers voor systeembeheer. Een andere aanvalsvector was het remote desktop protocol (RDP), waarbij organisaties zwakke wachtwoorden en geen multifactorauthenticatie gebruikten. Naast het installeren van updates geeft Microsoft ook andere tips, zoals het gebruik van de tool LAPS (Local Administrator Password Solution) om beheerdersaccounts van willekeurige wachtwoorden te voorzien, het toepassen van een account lockout policy, het gebruik van host firewalls om laterale bewegingen door de aanvallers tegen te gaan, het blokkeren van processen die van PsExec- en WMI-commando's afkomstig zijn en voorkomen dat credentials van het Windows local security authority subsystem (lsass.exe) kunnen worden gestolen. bron: security.nl

Adobe heeft beveiligingsupdates uitgebracht die meerdere ernstige kwetsbaarheden in de populaire webwinkelsoftware Magento verhelpen. Via de beveiligingslekken kan een aanvaller in het ergste geval op afstand de webwinkel overnemen en toegang tot gegevens van klanten krijgen. Het gaat in totaal om dertien kwetsbaarheden in Magento Commerce, Enterprise, Community en Open Source, waarmee het mogelijk is om op afstand willekeurige code uit te voeren, gevoelige informatie te verkrijgen en ongeautoriseerde toegang tot het beheerderspaneel te krijgen. Ook bleek dat aanvallers ongeautoriseerde productkortingen hadden kunnen doorvoeren. Beheerders krijgen het advies om de beschikbaar gemaakte beveiligingsupdates te installeren. In de praktijk blijkt dat dit niet altijd gebeurt, waardoor aanvallers bijvoorbeeld kwaadaardige code aan webwinkels toevoegen waarmee creditcardgegevens van klanten worden gestolen. Volgens Magento, dat vorig jaar door Adobe werd overgenomen, maken 240.000 winkels wereldwijd gebruik van het platform. bron: security.nl

Bedrijven en organisaties met een Sophos XG-firewall zijn vorige week het doelwit van een zeroday-aanval geworden en hoewel een oplossing inmiddels beschikbaar is zijn er nog duizenden kwetsbare firewalls op internet te vinden. Dat blijkt uit onderzoek van securitybedrijf Rapid7. De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall. Daarmee kon de aanvaller verschillende scripts uitvoeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen. In een nieuwe analyse van de aanval stelt Sophos dat het geen aanwijzingen heeft gevonden dat de verzamelde data ook daadwerkelijk door de malware is gestolen. Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk blijkt echter dat veel beheerders deze optie hebben uitgeschakeld. Rapid7 was benieuwd hoeveel apparaten er kwetsbaar zijn of waren en voerde een internetbrede scan uit. Dit leverde 72.000 unieke ip-adressen van Sophos-apparaten op. Vervolgens werd er gekeken hoeveel van deze apparaten een XG-firewall waren. Dit kon bij 12.500 apparaten op basis van het op te vragen versienummer worden vastgesteld. Daarvan bleken er iets meer dan 2.000 de hotfix te hebben geïnstalleerd. De overige firewalls zijn nog altijd kwetsbaar, aldus Rapid7. Beheerders krijgen dan ook het advies om de hotfix zo snel als mogelijk te installeren. bron: security.nl

De makers van de Troldesh-ransomware, ook bekend als Shade en Encoder.858, hebben 750.000 decryptiesleutels online gezet waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. De Troldesh-ransomware verscheen voor het eerst in 2014 en richtte zich voornamelijk op Russische en Oekraïense internetgebruikers. Net als andere ransomware versleutelde Troldesh bestanden en eiste losgeld voor het ontsleutelen. Eind vorig jaar stopten de makers met de verspreiding van de ransomware en afgelopen zondag maakten ze alle decryptiesleutels beschikbaar. Het gaat in totaal om 750.000 decryptiesleutels waarmee slachtoffers hun versleutelde bestanden kunnen ontsleutelen. Beveiligingsonderzoeker Sergey Golovanov van antivirusbedrijf Kaspersky bevestigt dat de decryptiesleutels echt zijn. Kaspersky zal de decryptiesleutels aan de eigen RakhniDecryptor toevoegen, wat het eenvoudiger voor slachtoffers moet maken om bestanden te ontsleutelen. Deze tool wordt onder andere via de NoMoreRansom-website van de Nederlandse politie aangeboden. Vorig jaar oktober meldde het Russische antivirusbedrijf Doctor Web nog dat bijna 17 procent van alle ransomwareslachtoffers die bij de virusbestrijder aanklopten door Troldesh was getroffen. bron: security.nl

XG-firewalls van Sophos zijn afgelopen week het doelwit van een zeroday-aanval geweest, zo heeft het securitybedrijf zelf bekendgemaakt. Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en gegevens over gebruikers te downloaden. Het gaat dan om gebruikersnamen en gehashte wachtwoorden voor de lokale beheerder(s), portalbeheerder(s) en gebruikersaccounts voor remote toegang. Sophos stelt dat erop dit moment geen aanwijzingen zijn dat bij de aanvallen er toegang is verkregen tot het lokale netwerk achter de firewall. De eerste aanvallen vonden volgens het securitybedrijf op 22 april plaats. Gisteren werd er onder klanten die automatisch updaten hebben ingeschakeld een hotfix uitgerold die de kwetsbaarheid verhelp en "overblijfselen" van de aanval verwijdert. Wanneer de firewall is gecompromitteerd krijgen beheerders in hun interface een waarschuwing te zien. Sophos adviseert eigenaren van een gecompromitteerde firewall om de wachtwoorden voor beheerders en gebruikers te resetten en het apparaat te herstarten. Verder wordt aangeraden om Admin Services en de User Portal niet vanaf het internet toegankelijk te maken. Getroffen klanten zijn via e-mail ingelicht, aldus een klant op Reddit. bron: security.nl

Mozilla heeft besloten om de beloning voor het melden van kwetsbaarheden in Firefox te verhogen. Daarnaast wordt het "bug bounty" programma verder uitgebreid. De browserontwikkelaar was één van de eerste organisaties met een beloningsprogramma voor onderzoekers die kwetsbaarheden rapporteerden. Toen Mozilla in 2004 begon kregen onderzoekers maximaal 500 dollar voor hun inzendingen. Dat bedrag is in de loop van de jaren verhoogd. Van 2017 tot en met 2019 keerde Mozilla bijna 966.000 dollar uit voor 348 gerapporteerde kwetsbaarheden. Gemiddeld bedroeg de beloning een kleine 2800 dollar per bug. De browserontwikkelaar merkt op dat een beloning van 4000 dollar het vaakst werd uitgekeerd. Meldingen van ernstige kwetsbaarheden werden gemiddeld met beloningen tussen de 3000 en 5000 dollar beloond. Mozilla heeft die bedragen verhoogd, waarbij het een basisniveau van 8000 dollar hanteert. Wanneer de bugmelding goed gedocumenteerd is kan er zelfs 10.000 dollar worden uitgekeerd. Daarnaast stopt de browserontwikkelaar met het "wie het eerst komt, het eerst maalt" principe. Wanneer onderzoekers in het verleden dezelfde kwetsbaarheid rapporteerden kreeg alleen de persoon die de bug als eerste meldde een beloning. Nu zal de beloning worden verdeeld onder alle personen die het beveiligingslek binnen 72 uur na de eerste melding inzonden. Tevens zal Mozilla meer informatie gaan delen hoe Firefox is te testen. Op deze manier zouden meer mensen aan het zoeken naar bugs moeten deelnemen, wat de veiligheid van de browser moet verbeteren. bron: security.nl

Onderzoekers hebben een botnet ontdekt dat uit zeker 35.000 geïnfecteerde computers bestaat en voor zover bekend zich alleen via besmette usb-sticks verspreidde. De besmette computers werden gebruikt voor het delven van de cryptovaluta Monero, zo meldt antivirusbedrijf ESET. Opmerkelijk aan het "VictoryGate" botnet, zoals de onderzoekers het noemen, is dat de enige verspreidingsmethode besmette usb-sticks lijken te zijn. De malware wacht op besmette computers totdat er een usb-stick wordt aangesloten. Vervolgens worden alle bestanden op de usb-stick naar een verborgen directory verplaatst en vervangen door uitvoerbare bestanden die dezelfde namen als de originele bestanden hebben. Zodra de besmette usb-stick op een schone computer wordt aangesloten en de gebruiker opent één van de uitvoerbare bestanden, dan wordt zowel het originele bestand in de verborgen directory geladen als de malware. Die downloadt vervolgens aanvullende malware, waaronder scripts die de computer Monero laten delven. De cryptominer gebruikt de volledige rekenkracht van de computer waardoor die zeer langzaam wordt. Tevens wacht de malware totdat er nieuwe usb-sticks worden aangesloten, zodat ook andere machines kunnen worden besmet. Onderzoekers van ESET wisten verschillende ongebruikte domeinen te registreren waar besmette computers mee verbinding maken. Deze domeinen stonden in de code van de malware vermeld, maar waren niet door de malwareschrijver geregistreerd. Zodoende zag het antivirusbedrijf dat het botnet uit zeker 35.000 computers bestaat, die zich voornamelijk in Peru (90 procent) bevinden. Tevens bleek dat de aansturing van het botnet via subdomeinen bij de dynamische dns-provider No-IP plaatsvond. Deze domeinen zijn door de provider uit de lucht gehaald, waardoor de botnetbeheerder het botnet geen nieuwe instructies kan geven en nieuw geïnfecteerde computers geen aanvullende malware zullen downloaden. De al besmette computers blijven echter gewoon Monero delven. bron: security.nl

Een beveiligingslek in de ZyXEL Cloud CNM SecuManager wordt actief door criminelen gebruikt om systemen onderdeel van een botnet te maken en een beveiligingsupdate is niet beschikbaar. De Zyxel SecuManager is software om Zyxel-producten zoals gateways, vpn's en firewalls mee te beheren en monitoren. De software moet op een virtual machine-server worden geïnstalleerd, zoals VMware ESXi of Windows Hyper-V. In maart van dit jaar maakte twee beveiligingsonderzoekers een reeks kwetsbaarheden in de SecuManager openbaar waardoor het mogelijk was om systemen op afstand en zonder authenticatie volledig over te nemen. De onderzoekers hadden Zyxel niet over hun bevindingen geïnformeerd, omdat ze vonden dat sommige backdoors opzettelijk door Zyxel waren aangebracht. Criminelen maken nu gebruik van één van de kwetsbaarheden die de onderzoekers publiceerden om Zyxel SecuManager-installaties over te nemen. Via het beveiligingslek kan er op afstand code worden uitgevoerd. Aanvallers kunnen zo malware installeren en maken het systeem onderdeel van een botnet dat wordt gebruikt voor het uitvoeren van ddos-aanvallen, aldus securitybedrijf Radware. Of en wanneer Zyxel met een update komt is onbekend. De kwetsbaarheden zijn aanwezig in Zyxel CNM SecuManager versies 3.1.0 en 3.1.1, die in november 2018 verschenen. bron: security.nl

Een beveiligingslek in OpenSSL maakt webservers kwetsbaar voor denial of service (dos)-aanvallen, zo waarschuwen de ontwikkelaars die een beveiligingsupdate hebben uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. De kwetsbaarheid zorgt ervoor dat server- of clientapplicaties die van OpenSSL gebruikmaken en tijdens of na een TLS 1.3-handshake een specifieke functie aanroepen, door het versturen van een ongeldig handtekeningsalgoritme zijn te laten crashen. Hierdoor zou een aanvaller een remote dos-aanval op webservers kunnen uitvoeren. De kwetsbaarheid is aanwezig in OpenSSL versie 1.1.1d, 1.1.1e en 1.1.1f en is verholpen in 1.1.1g. OpenSSL-versies 1.1.1c en ouder zijn niet kwetsbaar. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Deze kwetsbaarheid is als "high" beoordeeld, wat al meer dan drie jaar niet is voorkomen. Alle gevonden beveiligingslekken in de afgelopen drie jaar kregen het stempel low of moderate. bron: security.nl

Microsoft heeft buiten de vaste patchcyclus om noodpatches voor Office 2016, Office 2019, Office 365 ProPlus en Paint 3D uitgebracht die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval volledige controle over het systeem zou kunnen krijgen. De beveiligingslekken zijn aanwezig in de Autodesk FBX-library die aan de eerder genoemde programma's is toegevoegd en wordt gebruikt voor het weergeven van 3D-content. Door een gebruiker van deze programma's een speciaal geprepareerd bestand te laten openen kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de impact bevinden de kwetsbaarheden zich tussen een 7 en 8,9, zo blijkt uit de advisory van Autodesk. De updates worden op de meeste systemen automatisch geïnstalleerd. De update voor Paint 3D is ook via de Microsoft Store te downloaden. bron: security.nl

Een beveiligingslek in videoconferentiesoftware Zoom maakte het mogelijk om toegang te krijgen tot de gegevens van alle Zoom-gebruikers binnen willekeurige organisaties. Het kon dan gaan om voor- en achternaam, e-mailadressen, telefoonnummer en andere informatie in de vCard van de betreffende Zoom-gebruikers. Zoom biedt verschillende features, waaronder een chatoptie. Gebruikers kunnen via Zoom naar andere gebruikers binnen hun organisatie zoeken. Hiervoor verstuurt Zoom een verzoek naar de server waarin de groepsnaam van de organisatie staat opgegeven. Deze groepsnaam is het e-maildomein dat de organisatie voor de registratie heeft gebruikt. Zoom controleerde niet dat de gebruiker die een verzoek verstuurde ook daadwerkelijk bij het opgevraagde domein behoorde. Zo konden willekeurige gebruikers contactlijsten van willekeurige domeinen opvragen. De enige vereiste was dat een aanvaller over een geldig Zoom-account beschikte, dat gratis via de website van Zoom is aan te maken. Vervolgens was het mogelijk om verzoeken voor willekeurige domeinen naar de Zoom-server te sturen, die daarop met de contactgegevens van gebruikers van de betreffende organisatie antwoordde. Volgens Cisco, dat de kwetsbaarheid ontdekte, zouden aanvallers hiermee allerlei gegevens kunnen verzamelen die voor spearphishingaanvallen zijn te gebruiken. Zoom heeft de kwetsbaarheid inmiddels verholpen. bron: security.nl

Spambestrijder Spamhaus heeft in het eerste kwartaal van dit jaar veel minder nieuwe botnetservers gezien dan in het laatste kwartaal van vorig jaar. In de laatste drie maanden van 2019 telde de organisatie zo'n 3200 nieuwe botnetservers die besmette computers aanstuurden. In het eerste kwartaal van dit jaar was dit naar zo'n 2000 nieuwe servers gedaald, zo blijkt uit het nieuwe kwartaalrapport. Naast nieuwe servers waren er ook botnetservers actief die al eerder waren waargenomen. Het totaal aantal botnetservers voor het eerste kwartaal van dit jaar kwam zodoende uit op 2700 machines. Tweeduizend van deze servers werden direct bestuurd door criminelen. Die maken gebruik van gestolen of vervalste gegevens om virtual private servers (VPS) te huren. Het aantal servers dat met gestolen of vervalste gegevens werd gehuurd daalde in vergelijking met het vierde kwartaal van 2019 met 57 procent. Een reden kan Spamhaus niet geven, maar er wordt gewezen naar een vpn-provider die niet op abusemeldingen reageert. Werden in het vierde kwartaal van vorig jaar nog de meeste botnetservers in Rusland waargenomen, dat daarmee de VS van de eerste plek stootte, in de eerste drie maanden van dit jaar staat de VS met 841 servers weer bovenaan. Op de tweede plek volgt Rusland (614 servers), gevolgd door Nederland met 209 machines. Net als bij vorig kwartaaloverzichten haalt Spamhaus opnieuw uit naar internetbedrijf Cloudflare. "Cloudflare blijft één van de geprefereerde keuzes van cybercriminelen om botnetservers te hosten. Deze trend is sinds 2018 gaande." Cloudflare wordt niet gebruikt voor het direct hosten van content, maar biedt volgens Spamhaus wel diensten aan botnetbeheerders, zoals het verbergen van de locatie van de botnetserver en het beschermen van de server tegen ddos-aanvallen. bron: security.nl

De beslissing van Apple en Google om bluetooth contact tracing in iOS en Android in te gaan bouwen heeft grote gevolgen voor smartphonegebruikers, zo waarschuwt Jaap-Henk Hoepman, universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker, op zijn persoonlijke blog Xot.nl. Beide techbedrijven komen volgende maand met een programmeerinterface (API) die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contactonderzoekapps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni wordt bluetooth contact tracing direct in het besturingssysteem verwerkt. Dit zal via een update gebeuren. Doordat contact tracing straks onderdeel van het besturingssysteem wordt kunnen gebruikers het niet meer verwijderen zoals bij een app het geval is. Het is deze stap waar Hoepman zich zorgen over maakt. Doordat de technologie direct aan de besturingssystemen wordt toegevoegd zal die continu voor allerlei apps beschikbaar zijn. "Contact tracing is daardoor niet langer beperkt in tijd of beperkt in gebruik om alleen de verspreiding van het coronavirus te traceren en beperken. Dit houdt in dat twee zeer belangrijke waarborgen om onze privacy te beschermen overboord worden gegooid", aldus de privacyonderzoeker. Apple en Google creëren op deze manier een platform voor contact tracing dat wereldwijd op de meeste smartphones werkt. "Tenzij de juiste waarborgen aanwezig zijn zou dit voor een globaal massasurveillancesysteem zorgen dat betrouwbaar kan volgen wie met wie in contact is geweest, op welk moment en hoe lang", gaat Hoepman verder. Elke app die goedkeuring van Apple en Google krijgt, al dan niet onder dwang of economische motieven, kan van de ingebouwde contact tracing gebruikmaken, wat ook voor de techbedrijven zelf geldt. Een ander probleem dat Hoepman aankaart is dat de techbedrijven zich nu zo hebben gepositioneerd dat hun platform nagenoeg de enige manier is om contact tracing via smartphones uit te voeren. "Met deze stap hebben Apple en Google zichzelf onmisbaar gemaakt, en garanderen zo dat deze potentiële wereldwijde surveillancetechnologie ons wordt opgedrongen. En als gevolg dat alle onderliggende microdata van elk contacttracingsysteem wordt opgeslagen op de telefoons die zij controleren", stelt de privacyonderzoeker. Bij het toepassen van contact tracing wordt steeds geroepen dat dit decentraal plaatsvindt of zou moeten plaatsvinden, maar Hoepman merkt op dat het contacttracingplatform van Apple en Google eenvoudig voor een gecentraliseerde vorm van contact tracing is te gebruiken. Kwaadaardige apps zouden daarnaast via de technologie kunnen achterhalen met wie een besmet persoon in contact is geweest. En niet alleen besmette personen zijn op deze manier te volgen. Ook niet-besmette personen kunnen via het contacttracingplatform worden gevolgd. Function creep is een ander punt waar Hoepman zich zorgen over maakt. Het is niet uit te sluiten dat het gebruik van contact tracing voor andere doeleinden in de toekomst acceptabel en proportioneel wordt gevonden. Doordat de vereiste technologie al aanwezig is, is die dan ook eenvoudig in te zetten. Daarnaast heeft de technologie grote commerciële waarde, omdat het een zeer gedetailleerd beeld in de contacten van mensen geeft. Afsluitend concludeert de privacyonderzoeker dat gebruikers er straks op moeten vertrouwen dat Apple en Google de apps die van de ingebouwde contact tracing gebruikmaken goed controleren en dat ze druk van overheden en commerciële motieven weerstaan. "Dat is verschrikkelijk veel vertrouwen...", besluit Hoepman. bron: security.nl

Ontwikkelaarsplatform GitHub waarschuwt gebruikers voor een phishingaanval die naast gebruikersnaam en wachtwoord ook TOTP-codes voor tweefactorauthenticatie probeert te stelen. De aanval begint met een e-mail waarin wordt gesteld dat er verdachte activiteit met het GitHub-account van de gebruiker is gedetecteerd. De link om deze activiteit te controleren wijst naar een phishingpagina, die op de inlogpagina van Github lijkt. Ingevoerde gebruikersnamen en wachtwoorden worden door de website naar de aanvallers gestuurd. Wanneer een gebruiker TOTP-gebaseerde tweefactorauthenticatie heeft ingeschakeld zal de phishingpagina hier ook om vragen en ingevoerde TOTP-codes in real-time naar de aanvaller doorsturen. Die kan zo op het account inloggen. Volgens GitHub worden de phishingmails vanaf legitieme domeinen verstuurd via gecompromitteerde mailservers of gestolen API-credentials voor bulkmailproviders. Om de werkelijke bestemming van de link te verbergen maken de aanvallers gebruik van url-verkorters. Soms worden meerdere van deze url-verkorters aan elkaar gekoppeld. Ook gebruiken de aanvallers PHP-redirects op gecompromitteerde websites die naar de uiteindelijk phishingsite wijzen. Zodra de aanval succesvol is creëren de aanvallers persoonlijke GitHub-toegangstokens of autoriseren OAuth-applicaties voor het account om zo toegang te behouden mocht de gebruiker zijn wachtwoord wijzigen. In veel gevallen downloaden de aanvallers de private repository content waar het slachtoffer toegang toe heeft. GitHub adviseert om accounts via hardwarematige beveiligingssleutels of WebAuthn-tweefactorauthenticatie te beveiligen. Daarnaast wordt ook het gebruik van wachtwoordmanagers aangeraden en moeten gebruikers goed de url in de adresbalk controleren. bron: security.nl

Mozilla heeft een nieuwe feature aan Firefox toegevoegd die gebruikers waarschuwt als ze voor meerdere accounts hetzelfde wachtwoord gebruiken en één van deze accounts onderdeel van een datalek is geweest. Firefox waarschuwt al als gebruikers op een website inloggen waarvan gebruikersdata is gelekt. Vervolgens wordt er verwezen naar Firefox Monitor, waarmee gebruikers naar gelekte accounts kunnen zoeken. Deze dienst gebruikt dezelfde database als datalekzoekmachine Have I Been Pwned, maar toont de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik. Nu kijkt de browser ook naar de opgeslagen wachtwoorden van de gebruiker. Zodra blijkt dat de gebruiker voor meerdere accounts hetzelfde wachtwoord in de browser heeft opgeslagen en dat één van deze accounts onderdeel van een datalek is geweest, verschijnt er een waarschuwing dat het hergebruik van wachtwoorden accounts in gevaar brengt. Vervolgens wordt er gelinkt naar de betreffende website waar gebruikers het wachtwoord van hun account kunnen wijzigen. De maatregel staat nu standaard ingeschakeld in een testversie van Firefox 76, waarvan de definitieve versie op 5 mei moet uitkomen. bron: security.nl

Onderzoekers hebben malware ontdekt die wifi-wachtwoorden van besmette computers steelt. Het gaat om de Agent Tesla-malware die ontwikkeld is om allerlei wachtwoorden van besmette systemen te stelen. Het was al bekend dat de malware, die via e-mailbijlagen wordt verspreid, uit meer dan zeventig programma's wachtwoorden kan stelen. Het gaat onder andere om 39 browsers zoals Chrome en Firefox, e-mailclients zoals Outlook en Thunderbird, ssh/sftp/ftp-clients, chatprogramma's en verschillende Windowslocaties. Gestolen inloggegevens worden vervolgens via e-mail naar de aanvaller gestuurd. Onderzoekers van Malwarebytes hebben een nieuwe variant van Agent Tesla ontdekt die ook informatie over het wifi-profiel van besmette gebruikers steelt, waaronder het wifi-wachtwoord. Waarom de malware opeens wifi-wachtwoorden steelt is nog onduidelijk. Mogelijk wordt dit gedaan om ook andere machines in het netwerk te infecteren, zegt onderzoeker Hossein Jazi. Een andere mogelijkheid is dat het wifi-profiel voor toekomstige aanvallen wordt gebruikt. Begin dit jaar waarschuwden andere onderzoekers dat de beruchte Emotet-malware wifi gebruikte om machines te infecteren. Daarbij werd er echter gebruik gemaakt van bruteforce-aanvallen om verbinding met het draadloze netwerk te maken. bron: security.nl

Het is volgende week vrijdag 24 april precies een jaar geleden dat er een beveiligingsupdate verscheen voor een zeer ernstige kwetsbaarheid in de Pulse Secure vpn-software. Nu een jaar later zijn er nog altijd organisaties die de patch niet hebben uitgerold, maar ook organisaties die wel zijn gepatcht kunnen risico lopen als aanvallers voor het updaten toegang tot de vpn-omgeving hebben gekregen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid weten. Volgens de overheidsinstantie heeft het meerdere incidenten gezien waarbij vpn-wachtwoorden die via de kwetsbaarheid waren gestolen maanden nadat organisaties de update hadden uitgerold werden misbruikt. Het beveiligingslek in de vpn-software van Pulse Secure is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Ondanks de beschikbaarheid van de update eind april waren de vpn-servers van duizenden organisaties maanden later nog altijd ongepatcht. Vorig jaar augustus werden de eerste aanvallen waargenomen die misbruik van de kwetsbaarheid maakten. Het installeren van de beveiligingsupdate alleen is mogelijk niet voldoende als dit niet tijdig gebeurde, waarschuwt CISA. "CISA is bij meerdere incidenten bij de Amerikaanse overheid en bedrijven betrokken geweest waarbij aanvallers het Pulse Secure-lek gebruikten om toegang tot de netwerken van slachtoffers te krijgen. Hoewel Pulse Secure in april 2019 patches voor het lek uitbracht, heeft CISA incidenten gezien waarbij gecompromitteerde Active Directory-inloggegevens maanden nadat getroffen organisaties hun vpn-server patchten werden gebruikt", aldus de Amerikaanse overheidsinstantie. CISA heeft in een testomgeving aangetoond dat aanvallers Active Directory-inloggegevens in plaintext kunnen stelen, alsmede het lokale beheerderswachtwoord van de vpn-server. Deze gegevens kunnen vervolgens, wanneer organisaties de wachtwoorden niet wijzigden, worden gebruikt om toegang tot de omgeving van slachtoffers te krijgen. Zodra aanvallers toegang tot de omgeving van een slachtoffer hebben verkregen installeren ze malware om toegang te behouden, stelen ze gegevens en installeren ransomware, zo blijkt uit de incidenten die CISA onderzocht. Aangezien organisaties die de Pulse Secure-update hebben geïnstalleerd nog steeds risico op misbruik lopen door aanvallen die voor de installatie van de patch plaatsvonden, heeft het CISA nieuwe detectiemethoden en een tool ontwikkeld waarmee beheerders kunnen controleren of hun omgeving mogelijk al is gecompromitteerd. Verder krijgen organisaties die de update nog niet hebben uitgerold het advies om dit alsnog te doen. Wanneer blijkt dat de vpn-omgeving is gecompromitteerd wordt aangeraden om de wachtwoorden van alle Active Directory-accounts te wijzigen, waaronder die van beheerders en service-accounts. Ook moet er worden gekeken naar de aanwezigheid van ongeautoriseerde applicaties en geplande taken in de omgeving. bron: security.nl

Apple en Google hebben meer details gegeven over het toevoegen van contact-tracing aan iOS en Android en het meest opvallende is wel dat de techbedrijven mensen zelf gaan waarschuwen als ze mogelijk in contact met een coronapatiënt zijn gekomen, zelfs als ze niet de app van hun gezondheidsautoriteit hebben geïnstalleerd. Dat laat The Verge weten. Vorige week kondigden Apple en Google aan dat ze het gebruik van corona contact-tracing apps gaan faciliteren. In mei zullen ze een programmeerinterface (API) uitbrengen die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contact-tracing apps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni zullen Apple en Google bluetooth contact-tracing in iOS en Android inbouwen, zodat het zonder app is te gebruiken. Gebruikers moeten de functionaliteit wel zelf inschakelen. Wanneer ingeschakeld zal de telefoon continu zogeheten beacon-nummers via bluetooth met andere telefoons in de buurt uitwisselen. In eerste instantie werd gemeld dat er nog een aanvullende app nodig was om te worden gewaarschuwd. The Verge had contact met Apple en Google en laat nu weten dat wanneer gebruikers contact-tracing inschakelen via het besturingssysteem, ze zullen worden gewaarschuwd wanneer ze in contact met een coronapatiënt zijn gekomen, zelfs wanneer ze niet de app van hun gezondheidsautoriteit hebben geïnstalleerd. Mogelijk dat de waarschuwing vervolgens naar de betreffende app zal linken, maar dat is nog niet bevestigd. Om misbruik te voorkomen zullen mensen waarvan is vastgesteld dat ze corona hebben een eenmalig te gebruiken code van gezondheidsautoriteiten krijgen. Deze code moeten ze invoeren, waarna iedereen die met hen in contact is gekomen een waarschuwing ontvangt. Verder zal het systeem alleen voor contact-tracing worden ingezet en zullen de techbedrijven het netwerk uitschakelen wanneer het niet meer nodig is. Het systeem zal daarnaast niet voor andere doeleinden zoals gerichte advertenties worden gebruikt. Ook krijgen non-gouvernementele organisaties er geen toegang toe, aldus beide bedrijven. Privacygarantie In de Verenigde Staten heeft de Amerikaanse senator Richard Blumenthal gesteld dat beide techbedrijven een privacygarantie moeten geven om het publiek gerust te stellen. "Apple en Google hebben veel werk te doen om een terecht sceptisch publiek te overtuigen dat ze echt serieus zijn over de privacy en security van hun contact-tracing plannen." "Ik wil dringend weten hoe Apple en Google verzekeren dat tijdens de coronapandemie de privacybelangen van consumenten in balans zijn met de legitieme behoeftes van gezondheidsfunctionarissen. Een gezondheidscrisis mag geen voorwendsel zijn om onze privacywetten opzij te schuiven of de vergaande manier waarop techbedrijven data over de privélevens van Amerikanen verzamelen te legitimeren." bron: security.nl

WordPress-sites die gebruikmaken van het Onetone-theme zijn het doelwit van aanvallen waarbij aanvallers de website volledig overnemen en een beveiligingsupdate voor de kwetsbaarheid zal niet verschijnen. Onetone is een gratis WordPress-theme dat niet meer door de ontwikkelaars wordt onderhouden. Aanvallers maken gebruik van een kwetsbaarheid in het theme waardoor ze kwaadaardige JavaScript-code aan de WordPress-site kunnen toevoegen. Deze code stuurt bezoekers door naar malafide websites en steelt de sessie van ingelogde beheerders. Vervolgens wordt er door de aanvallers een nieuwe beheerder aangemaakt. Deze beheerder kan later via het WordPress-dashboard aanvullende backdoors installeren, zoals een PHP-shell. Op deze manier blijven de aanvallers toegang tot de WordPress-site behouden, ook al wordt de kwaadaardige JavaScript-code verwijderd, zo meldt securitybedrijf Sucuri. Volgens NinTechNet is het Onetone-theme op meer dan 20.000 WordPress-sites geïnstalleerd. De kwetsbaarheid werd op 11 september aan WordPress gerapporteerd en op 10 oktober werd het Onetone-theme van WordPress.org verwijderd. Aangezien de kwetsbaarheid niet wordt gepatcht krijgen webmasters het advies om het theme te verwijderen. bron: security.nl

Google heeft een kritieke kwetsbaarheid in Chrome gedicht waardoor remote code execution mogelijk was. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren. In het ergste geval zou er zo volledige controle over het systeem verkregen kunnen worden. De kwetsbaarheid bevond zich in het spraakherkenningsonderdeel van de browser en werd op 4 april door onderzoekers Leecraso en Guang Gong van securitybedrijf Qihoo 360 aan Google gerapporteerd. Gisterenavond werd de beveiligingsupdate beschikbaar gemaakt. In januari kwam Google ook al met een update voor een kritieke kwetsbaarheid in de spraakherkenning. Google beloont onderzoekers voor het rapporteren van kwetsbaarheden, waarbij ernstige beveiligingslekken de hoogste beloning opleveren. Zowel voor de kritieke kwetsbaarheid van januari als die van april is de beloning nog niet bekendgemaakt. Onderzoeker Guang Gong ontving vorig jaar 30.000 dollar voor een ernstig lek in Chrome dat hij aan Google rapporteerde. Zijn hoogste beloning van Google staat echter op 200.000 dollar. Dat was voor een aanval waardoor het mogelijk was om Pixel 3-telefoons op afstand over te nemen. In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller al op twee. Updaten naar Chrome 81.0.4044.113 zal op de meeste systemen automatisch gebeuren. Google meldt dat de patch de komende dagen/weken onder gebruikers wordt uitgerold. bron: security.nl

Mozilla heeft een nieuwe feature aan Firefox toegevoegd waardoor de browser nu ook client-certificaten kan gebruiken die via macOS of Windows worden aangeboden. Iets wat volgens Mozilla met name handig voor zakelijke omgevingen is. Wanneer Firefox een beveiligde verbinding met een website opzet stuurt de webserver ter verificatie een certificaat naar de browser. In sommige gevallen, bijvoorbeeld bij zakelijke authenticatiesystemen, wil de server dat de browser een certificaat terugstuurt. Dit client-certificaat, gecombineerd met de privésleutel die bij het betreffende certificaat hoort, zorgt ervoor dat de gebruiker zich bij de website kan authenticeren. Deze client-certificaten en privésleutels bevinden zich vaak op hardware tokens of de certificaatopslag van het besturingssysteem. Voorheen moest Firefox gebruikmaken van third-party libraries om een client-certificaat op een hardware token te benaderen. Volgens Mozilla konden deze libraries voor stabiliteits- en veiligheidsproblemen zorgen. Om dit probleem te verhelpen heeft Mozilla nu een library ontwikkeld waarmee Firefox de certificaatopslag van het besturingssysteem kan gebruiken. In plaats van third-party libraries te laden om met hardware tokens te communiceren kan Firefox deze taak door het besturingssysteem laten uitvoeren. Daarnaast kan Firefox direct naar deze certificaten zoeken, zodat gebruikers die niet eerst hoeven te exporteren en in Firefox te importeren. Dit beschermt niet alleen de privésleutels van het certificaat, maar zorgt er ook voor dat Firefox gebruik kan maken van client-certificaten waarvan de privésleutels niet zijn te exporteren. "We verwachten dat onze zakelijke gebruikers, die eerst veel moeite moesten doen om Firefox werkend in hun omgeving te krijgen, veel profijt van deze feature zullen hebben", zegt Mozillas Dana Keeler. Om de feature te gebruiken moet via about:config de instelling "security.osclientcerts.autoload" op true worden gezet. Vooralsnog werkt dit alleen met Firefox 75 op macOS en Windows. Linuxgebruikers worden naar het OpenSC-project verwezen dat deze functionaliteit biedt. bron: security.nl

Google heeft 49 Chrome-extensies uit de Chrome Web Store verwijderd die keys en andere geheimen van allerlei cryptowallets probeerden te stelen. Dat meldt beveiligingsonderzoeker Harry Denley van MyCrypto in een blogpost op Medium. De malafide extensies werden onder andere via advertenties aangeboden en deden zich voor als legitieme cryptowallet-apps. De fraudeurs hadden het op gebruikers van verschillende wallets voorzien, zoals MyEtherWallet, Ledger , Electrum en Trezor. Zodra gebruikers de Chrome-extensie hadden geïnstalleerd en toegang tot hun wallet probeerden te krijgen werden ingevoerde gegevens gestolen. Het ging dan om mnemonic phrases, private keys en keystore files, aldus Denley. Sommige van de malafide extensies waren door nepgebruikers van vijf sterren en positieve beoordelingen voorzien, om zo andere gebruikers te verleiden tot het downloaden ervan. De malafide extensies verschenen in februari, maart en april van dit jaar in de Chrome Web Store, waarbij het grootste deel deze maand door MyCrypto werd ontdekt. "Dit houdt in dat of onze detectie veel beter wordt, of dat het aantal kwaadaardige extensies in de browserstore die het op cryptovalutagebruikers hebben voorzien exponentieel groeit", merkt Denley op. Hoeveel mensen slachtoffer van de malafide extensies zijn geworden is onbekend. Op Reddit, het Chrome-forum en Toshi Times laten slachtoffers weten dat er geld uit hun echte wallets is gestolen. Google werd door de onderzoekers over de malafide extensies ingelicht, waarna die allemaal uit de Chrome Web Store werden verwijderd. In de blogpost is een overzicht van de 49 extensies te vinden. bron: security.nl

Gebruikers van Windows 10 versie 1809 zullen vanwege de coronapandemie zes maanden langer beveiligingsupdates ontvangen, zo heeft Microsoft aangekondigd. Oorspronkelijk zou de ondersteuning van deze Windowsversie voor Windows 10 Home en Pro op 12 mei van dit jaar eindigen, maar dat is nu uitgesteld naar 10 november. Dit moet zowel gebruikers als organisaties meer tijd geven om naar een nieuwere Windows 10-versie te updaten. Windows 10 versie 1809, ook bekend als de "October 2018 Update", verscheen in oktober 2018. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. Feature-updates die rond september verschijnen worden voor Windows 10 Enterprise en Education 30 maanden met beveiligingsupdates ondersteund. Feature-updates die rond maart voor deze Windowsversies uitkomen kunnen 18 maanden op beveiligingsupdates rekenen. Feature-updates voor Windows 10 Home en Pro worden standaard 18 maanden ondersteund. Gebruikers en organisaties moeten na deze supportperiode naar een nieuwere Windows 10-versie updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. In het geval van Windows 10 versie 1809 zou de ondersteuning volgende maand eindigen, maar gezien de huidige situatie is die deadline verschoven. "We willen onze klanten helpen met het verminderen van de stress waarmee ze nu te maken hebben. Daarom hebben we het einde van de support van de volgende producten uitgesteld, zodat mensen en organisaties zich op de bedrijfscontinuïteit kunnen richten", aldus Microsoft. Vorige maand besloot Microsoft al de support van de Enterprise, Education en IoT Enterprise edities van Windows 10 versie 1709 te verlengen. In het geval van Windows 10 versie 1809 geldt dat voor alle edities, ook Home en Pro. Ook Windows Server versie 1809 zal tot en met november beveiligingsupdates blijven ontvangen. Verder is de support van Dynamics 365 cloud services, Basic Authentication in Exchange Online en Configuration Manager versie 1810 verlengd. Update De verlenging van de supportperiode geldt voor de Home- en Pro-edities van Windows 10 versie 1809. Feature-updates voor Home en Pro worden standaard 18 maanden van updates voorzien. Voor de Enterprise- en Education-edities van Windows 10 versie 1809 eindigt de support op 11 mei 2021. Dit is in het artikel verduidelijkt. bron: security.nl

Microsoft heeft vanavond beveiligingsupdates uitgebracht die in totaal 113 kwetsbaarheden verhelpen, waaronder twee beveiligingslekken in Windows die al werden aangevallen voordat de patches beschikbaar waren. Het gaat om twee zerodaylekken in de Adobe Font Manager Library aangeduid als CVE-2020-1020 en CVE-2020-0938, waardoor een aanvaller in het ergste geval volledige controle over bepaalde Windowsversies kan krijgen. In het geval van CVE-2020-1020 kwam Microsoft hier op 23 maart met een waarschuwing voor. Het bestaan van het tweede zerodaylek, CVE-2020-0938, is pas vanavond bekendgemaakt. Via beide kwetsbaarheden zou een aanvaller op alle Windowsversies, behalve op Windows 10, willekeurige code kunnen uitvoeren. Een slachtoffer zou in dit geval een speciaal geprepareerd document moeten openen of dit document in het Windows-voorbeeldvenster (preview pane) moeten bekijken. Microsoft maakte later bekend dat de waargenomen aanvallen tegen Windows 7-systemen waren gericht. In het geval van Windows 10 is de impact van een aanval volgens Microsoft beperkt, omdat de aanvaller dan alleen code met beperkte rechten en mogelijkheden binnen de context van de AppContainer-sandbox kan uitvoeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de beschikbaar gemaakte beveiligingsupdates ontvangen. De kwetsbaarheden waren door Google en het Chinese securitybedrijf Qi An Xin Group aan Microsoft gerapporteerd. Naast de twee bovengenoemde kwetsbaarheden zijn er ook kritieke beveiligingslekken in Windows Media Foundation, Microsoft Graphics, SharePoint, Windows Codecs Library, Microsoft Edge, Dynamics Business Central, Hyper-V en Internet Explorer verholpen waardoor aanvallers volledige controle over systemen hadden kunnen krijgen. Geen van deze kwetsbaarheden zijn volgens Microsoft al aangevallen. Ook waren details van de lekken niet voor het uitkomen van de patches bekend. Dat geldt niet voor een kwetsbaarheid in de OneDrive voor Windows-desktopapplicatie. Via dit beveiligingslek kon een aanvaller die toegang tot een computer had zijn rechten verhogen en zo volledige controle over het systeem kunnen krijgen. Hoewel details al openbaar waren is de kwetsbaarheid niet misbruikt, aldus Microsoft. Verder zijn er deze patchronde beveiligingslekken in Windows Defender, Microsoft Office en Microsoft Apps gepatcht. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Google heeft besloten om de ondersteuning van het ftp-protocol in Chrome, die begin deze maand met de lancering van Chrome 81 werd uitgeschakeld, weer standaard in te schakelen. Aanleiding voor de maatregel is de coronapandemie, zo laat Chrome-ontwikkelaar Asanka Herath weten. Mozilla maakte vandaag bekend de support voor ftp op een later moment uit te schakelen. Dit ook vanwege het coronavirus. Volgens Google is het gebruik van ftp in de browser zo laag dat het niet langer zin heeft om in de ondersteuning van de bestaande ftp-client in de browser te investeren. Daarnaast is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol, aldus het techbedrijf. Daarom is besloten de ondersteuning van ftp in Chrome stapsgewijs uit te faseren. Met de lancering van Chrome 81 zou ftp standaard niet meer worden ondersteund, maar zouden gebruikers het door het aanpassen van een instelling toch kunnen gebruiken. In een toekomstige versie wordt de ondersteuning helemaal verwijderd. Gebruikers moeten dan externe software installeren om met ftp te kunnen blijven werken. Vanwege de coronapandemie is besloten het uitfaseren van ftp tijdelijk te staken en het protocol weer standaard in te schakelen. Wanneer ontwikkelaars en gebruikers in een betere positie zijn om met de potentiële verstoringen en migraties om te gaan zal Google het uitfaseren hervatten, aldus Herath. bron: security.nl