Captain Kirk

Een programma dat op veel Dell-computers standaard staat geïnstalleerd bevat twee beveiligingslekken waardoor aanvallers in bepaalde gevallen kwetsbare systemen kunnen overnemen. Dell heeft inmiddels een beveiligingsupdate uitgebracht en adviseert gebruikers om zo snel als mogelijk te updaten. Het gaat om Dell Support Assist, dat proactief de status van de hardware en software op het systeem controleert. Het kan onder andere automatisch beschikbare drivers installeren. Beveiligingsonderzoeker Bill Demirkapi ontdekte dat het in bepaalde gevallen mogelijk is om via Support Assist automatisch kwaadaardige software op het systeem van het slachtoffer te installeren. Voorwaarde is wel dat een aanvaller op hetzelfde netwerk als het slachtoffer zit of op afstand het dns-verkeer van het slachtoffer kan omleiden, bijvoorbeeld door de router te compromitteren. Daarnaast moet het slachtoffer een website van de aanvaller bezoeken. Vervolgens zal Support Assist de kwaadaardige code van de aanvaller op het systeem uitvoeren. De tweede kwetsbaarheid werd door onderzoeker John C. Hennessy-ReCar ontdekt. Via het lek kan een aanvaller op afstand cross-site request forgery (CSRF) aanvallen tegen de gebruiker uitvoeren. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om de aanval uit te voeren moet een slachtoffer wel eerst een malafide link of website openen. Dell heeft Support Assist 3.2.0.90 uitgebracht om de kwetsbaarheden te verhelpen. In onderstaande video demonstreert Demirkapi de aanval. bron: security.nl

Google biedt gebruikers voortaan de mogelijkheid om verzamelde locatie- en activiteitsgegevens, zoals zoekopdrachten, automatisch na een bepaalde tijd te verwijderen. Gebruikers konden via hun Google-account al locatiegegevens en web- en app-activiteiten deels of geheel handmatig verwijderen. Via de nieuwe auto-delete-functie kan dit voortaan automatisch worden gedaan. Gebruikers kunnen aangeven of ze hun gegevens 3 of 18 maanden willen bewaren. Alle gegevens die ouder zijn worden automatisch van het account verwijderd. Google meldt in een blogpost dat de optie eerst naar locatiegeschiedenis en web- en app-activiteiten komt en de komende weken wordt uitgerold. bron: security.nl

Onderzoekers van de Ruhr-Universiteit Bochum hebben binnen verschillende e-mailprogramma's kwetsbaarheden in de implementatie van de encryptiestandaarden S/MIME en OpenPGP ontdekt, waardoor het mogelijk is om de inhoud van een gesigneerde e-mail aan te passen zonder dat dit bij de controle wordt opgemerkt. E-mailhandtekeningen moeten juist voorkomen dat de inhoud ongezien wordt aangepast. Het probleem speelt bij de verificatie van de e-mailhandtekening en niet het maken ervan, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Om de aanval uit te voeren maakten de onderzoekers gebruik van eerder gesigneerde e-mails, injectie-aanvallen, fouten in de implementatie van OpenPGP en S/MIME en het manipuleren van headers. Wanneer HTML/CSS in de e-mailclient staat ingeschakeld is het mogelijk om de controle van de e-mailhandtekening te manipuleren, aldus het BSI. Daardoor krijgt de gebruiker te zien dat het bericht over een geldige handtekening beschikt, terwijl de inhoud door een aanvaller is aangepast. De Duitse overheidsinstantie was sinds maart van dit jaar betrokken bij het coördineren van de kwetsbaarheden met de verschillende e-mailclientontwikkelaars. Inmiddels zijn er voor de verschillende e-mailclients updates uitgekomen. Volgens het BSI kunnen OpenPGP en S/MIME dan ook gewoon worden gebruikt mits de e-mailclient up-to-date is en het laden van actieve content in het e-mailprogramma is uitgeschakeld. Het gaat dan om het uitvoeren van HTML-code en het laden van externe content. Verdere technische details over de beveiligingslekken en kwetsbare e-mailclients zijn niet door het BSI gegeven. bron: security.nl

Google heeft twee beveiligingslekken in Chrome waardoor een aanvaller het onderliggende systeem had kunnen overnemen 'per ongeluk' vergeten te melden toen de beveiligingsupdate verscheen. Dat heeft de internetgigant laten weten bij de release van een nieuwe Chrome-versie. De nieuwe Chrome-versie die gisterenavond verscheen verhelpt twee kwetsbaarheden waarvan de impact beperkt is. In de aankondiging meldt Google dat het in vorige Chrome-versies twee beveiligingslekken heeft verholpen, maar die destijds bij vergissing heeft weggelaten. Volgens onderzoeker Ned Williamson, die in het verleden verschillende ernstige kwetsbaarheden in Chrome ontdekte, gaat het om een "full chain exploit" waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. De onderzoeker die de twee beveiligingslekken ontdekte ontving van Google voor zijn melding bijna 26.000 dollar. In maart bleek dat Google ook al een keer informatie in een beveiligingsbulletin voor Chrome achterwege had gelaten. Destijds ging het om de melding dat een kwetsbaarheid in combinatie met een Windows-lek werd gebruikt om Chrome-gebruikers op 32-bit versies van Windows 7 aan te vallen. bron: security.nl

Elk kwartaal maakt back-updienst Backblaze een overzicht van de betrouwbaarheid van harde schijven, maar in het eerste kwartaal van dit jaar zag het bedrijf een toename van het aantal defecte harde schijven. Er is zelfs sprake van een opwaartse trend, zo blijkt uit de statistieken. De cijfers van Backblaze zijn gebaseerd op iets meer dan 104.000 harde schijven, goed voor 850 petabytes aan opslagruimte. Het uitvalratio in het eerste kwartaal bedroeg 1,56 procent. Een stijging ten opzichte van de 1,2 procent uitval in dezelfde periode een jaar eerder en de 1,25 procent uitval voor heel 2018. Het uitvalratio van 1,56 procent is het hoogste percentage sinds het vierde kwartaal van 2017. Als er naar specifieke harde schijven wordt gekeken laten 12TB Seagate-schijven een hoog uitvalratio zien (2,22 procent). Ook 4TB en en 8TB harde schijven van Seagate vielen met respectievelijk 1,96 en 1,64 procent vaker uit dan andere schijven. De 6TB-schijven van Seagate presteerden daarentegen beter met een uitvalpercentage van 0,27 procent. Om in de statistieken te worden opgenomen moeten er minimaal 45 harde schijven van een bepaald type worden gebruikt. In het geval van 5TB Toshiba-schijven wordt dit aantal precies gehaald. Geen van deze schijven viel uit. Ook de 4TB-schijven van Toshiba kenden geen uitval. Wederom ging het om een relatief klein aantal (99). Backblaze heeft echter ook ruim twaalfhonderd 14TB-schijven van Toshiba in gebruik, met een uitvalratio van 0,33 procent. Verder presteerden de 4TB-schijven van HGST (0,23 en 0,34 procent) beter dan de rest. bron: security.nl

Als het aan de Britse overheid ligt worden Internet of Things-apparaten straks met een uniek wachtwoord geleverd dat niet naar een universeel standaardwachtwoord is terug te zetten. Het Britse ministerie voor Digitale Zaken, Cultuur, Media & Sport is een internetconsultatie gestart over de veiligheid van IoT-apparaten voor particulieren. Het doel is om tot richtlijnen te komen voor fabrikanten, serviceproviders, ontwikkelaars en winkels. Volgens het ministerie worden er op dit moment grote aantallen IoT-apparaten verkocht die zelfs de meest basale beveiligingsmaatregelen missen. Deze kwetsbare apparaten kunnen de achilleshiel van iemands netwerk worden en de privacy en persoonlijke veiligheid van de gebruiker ondermijnen. Gecompromitteerde IoT-apparaten zijn in het verleden voor grootschalige ddos-aanvallen ingezet. "Deze situatie is onhoudbaar", aldus het ministerie. De Britse regering vindt dat IoT-apparaten met ingebouwde security moeten worden geleverd in plaats van dat wordt aangenomen dat de gebruiker verantwoordelijk is voor de beveiliging. In samenwerking met experts zijn er nu door de overheid drie regels opgesteld die als minimale basisbeveiliging moeten worden gezien. Deze regels moeten verplicht gaan gelden voor IoT-apparaten die in het Verenigde Koninkrijk worden aangeboden. Als eerste moeten alle IoT-apparaten met een uniek wachtwoord worden geleverd dat niet terug te zetten is naar een universeel standaardwachtwoord. Fabrikanten moeten daarnaast een contactpersoon vermelden waar onderzoekers beveiligingslekken kunnen melden. Verder zullen fabrikanten aangeven hoelang een IoT-product beveiligingsupdates blijft ontvangen. Deze maatregelen zouden gebruikers tegen de grootste risico's moeten beschermen. De maatregelen kunnen op verschillende manieren in de praktijk worden geimplementeerd. Zo kunnen winkels worden verplicht om alleen IoT-apparaten te verkopen die over een "security label" beschikken dat door de fabrikanten zelf wordt opgesteld. Een tweede optie is om winkels te verplichten dat ze alleen producten aanbieden die aan de drie regels van de overheid voldoen. De derde en laatste optie verplicht winkels om alleen producten te verkopen die aan dertien eerder gestelde regels voldoen. De Britse overheid is van plan om later dit jaar een vrijwillig "security label" te lanceren totdat wetgeving van kracht wordt en de regering heeft beslist welke maatregelen onderdeel van deze wetgeving zijn. Via de internetconsultatie wordt nu om feedback gevraagd, bijvoorbeeld of de overheid zich met regelgeving voor IoT-producten moet bemoeien en of een security label gewenst is. bron: security.nl

Microsoft gaat gebruikers van Windows 10 en Office 365 ProPlus meer opties geven om te bepalen welke gegevens van hun systemen worden verzameld. De softwaregigant reageert daarmee op kritiek van gebruikers en toezichthouders. Voor alle grote producten en diensten komt Microsoft met een categorie van gegevens die verplicht worden verzameld en optionele data. Verplichte gegevens zijn volgens Microsoft nodig om de producten en diensten te laten functioneren. Het gaat dan bijvoorbeeld om zoekopdrachten, ip-adres en het soort en versie van het systeem. Optionele data is niet vereist voor de werking van het product. Bij de installatie of het gebruik van producten en diensten kunnen gebruikers straks aangeven of optionele gegevens mogen worden verzameld. Ook zegt Microsoft het eenvoudiger voor gebruikers te zullen maken om een eerder gemaakte beslissing terug te draaien. Tevens zal Microsoft duidelijker maken welke gegevens het in de verschillende categorieën precies verzamelt. Tevens komt er twee keer per jaar een rapport uit dat laat weten welke nieuwe gegevens verplicht worden verzameld. Daarnaast gaat Microsoft uitleggen als het aanpassingen aan de dataverzameling doorvoert als antwoord op nieuwe privacywetgeving, industriestandaarden en regelgeving. De aanpassingen, zoals de categorisering van verplichte en optionele data, opties om optionele data te verzamelen en meer informatie over de dataverzameling, zullen de komende maanden als eerste voor Windows 10 en Office 365 ProPlus worden doorgevoerd, gevolgd door aanvullende aanpassingen voor producten zoals Xbox en Dynamics 365. bron: security.nl

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Oracle WebLogic Server om systemen met ransomware te infecteren. Afgelopen weekend verscheen er een noodpatch voor het beveiligingslek, waardoor aanvallers op afstand kwetsbare servers kunnen overnemen. "Deze kwetsbaarheid is eenvoudig voor aanvallers te misbruiken, aangezien iedereen met http-toegang tot de WebLogic-server de aanval kan uitvoeren", aldus Pierre Cadieux van Cisco. Volgens Cadieux wordt de kwetsbaarheid al zeker sinds 17 april aangevallen. De noodpatch van Oracle verscheen op 26 april. De eerste fase van de aanvallen met ransomware werd op 25 april waargenomen. Via de kwetsbaarheid kunnen aanvallers de Sodinokibi-ransomware binnen het netwerk van het slachtoffer uitrollen. Deze ransomware versleutelt allerlei bestanden. Voor het ontsleutelen van de bestanden moet een bedrag van 2500 dollar worden betaald. Wanneer het slachtoffer dit niet op tijd doet wordt het losgeld verdubbeld naar 5000 dollar. Cisco verwacht dat het WebLogic-lek op grote schaal misbruikt zal worden en adviseert organisaties om de beveiligingsupdate zo snel als mogelijk te installeren. bron: security.nl

Klinkt raa maar ik heb het probleem eens kunnen oplossen door de HDMI-kabel om te draaien. Dus de kant die nu in de tv zit naar de pc en omgekeerd. Vraag niet waarom, maar het loste het probleem op

Ik zou je adviseren eerst even met stegisoft alle mogelijkheden te doorlopen. Herinstallatie kan altijd nog als laatste redmiddel. Dat je het snel opgelost wil hebben, begrijpen we. Vergeet alleen niet dat we hier allemaal vrijwillig werken en dus niet direct altijd kunnen reageren ;). Neemt niet weg dat je probleem inderdaad irritant is.

Helpdeskfraudeurs hebben een nieuw truc gevonden om browsers van internetgebruikers via een malafide website te laten 'vastlopen', waardoor die mogelijk het telefoonnummer van de oplichters zullen bellen. Dat laat anti-virusbedrijf Trend Micro in een analyse weten. De malafide website maakt gebruik van iframes in combinatie met een standaard inlogvenster om een loop te creëren waardoor de gebruiker geen nieuwe pagina meer kan openen. De malafide pagina doet zich voor als een website van Microsoft en opent twee pop-ups. De eerste pop-up stelt dat het systeem besmet is met malware en het opgegeven telefoonnummer moet worden gebeld om te voorkomen dat de computer wordt uitgeschakeld. De tweede pop-up is een standaard inlogvenster dat ook laat weten dat de helpdesk op het opgegeven nummer moet worden gebeld. Als de gebruiker het inlogvenster wil sluiten wordt de pagina weer geladen en het sluiten van de eerste pop-up werkt niet. Volgens Trend Micro zijn de ok- en sluitknop alleen aangebracht om het venster legitiem te laten lijken. Op deze manier ontstaat er een loop waardoor de gebruiker de browser niet via de standaard manier kan sluiten of een andere pagina kan laden. De oplichters hopen zo dat het slachtoffer het opgegeven nummer belt. Vervolgens proberen ze het slachtoffer software te laten installeren waardoor het systeem kan worden overgenomen. Wanneer de oplichters toegang tot het systeem hebben stelen ze geld van de rekening van het slachtoffer of laten hem betalen voor het oplossen van niet bestaande problemen. Volgens Trend Micro is het succes van deze aanvallen afhankelijk van hoe slachtoffers op de pagina reageren. In dit geval is het bijvoorbeeld mogelijk om de browser via Taakbeheer te sluiten. bron: security.nl

Meer dan 60.000 op WordPress gebaseerde webwinkels wordt dringend aangeraden om een gebruikte plug-in meteen te updaten, aangezien ze anders het risico lopen dat de webshop door criminelen wordt overgenomen. Het gaat om de plug-in WooCommerce Checkout Manager. WooCommerce is een populaire plug-in voor het opzetten van een op WordPress gebaseerde webwinkel. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar. Via de Checkout Manager-plug-in kunnen beheerders de WooCommerce-bestelpagina van hun webwinkel eenvoudig aanpassen. De plug-in heeft meer dan 60.000 actieve installaties. Vorige week dinsdag werd er een kwetsbaarheid in de plug-in openbaar gemaakt waardoor een aanvaller op afstand willekeurige code kan uitvoeren en in het ergste geval de website kan overnemen. De details en een demonstratie om misbruik van de kwetsbaarheid te maken verschenen online voordat er een update beschikbaar was. WordPress besloot daarop de plug-in tijdelijk uit de WordPress-reposity te verwijderen, de locatie waar WordPressplug-ins te downloaden zijn. Nu er een beveiligingsupdate beschikbaar is, is de plug-in weer teruggeplaatst. Beheerders van webwinkels die met WooCommerce Checkout Manager werken worden door de plug-in-ontwikkelaar opgeroepen om de update meteen te installeren voordat criminelen er misbruik van maken. Vorige week werd namelijk bekend dat een kwetsbaarheid in een andere WooCommerce-plug-genaamd User Email Verification actief werd aangevallen. Voor deze plug-in, die 6.000 installaties heeft, is nog geen update beschikbaar. Beheerders krijgen in dit geval het advies om de plug-in uit te schakelen. bron: security.nl

Er is een nieuwe testversie van Firefox verschenen die gebruikers voor gecompromitteerde websites waarschuwt. De feature is onderdeel van "Firefox Monitor" en maakt gebruik van data die afkomstig is van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 362 gecompromitteerde websites in de zoekmachine. Firefox Monitor zal gebruikers voor deze gecompromitteerde websites waarschuwen. Voor de eerste versie van de feature zullen gebruikers alleen in bepaalde gevallen een waarschuwing te zien krijgen. Als de gebruiker nog geen waarschuwing heeft gezien, zal Firefox een waarschuwing tonen als ze een website bezoeken die de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd. Heeft de gebruiker zijn eerste waarschuwing gezien, dan zal Firefox alleen een waarschuwing laten zien bij websites die de laatste twee maanden aan de zoekmachine zijn toegevoegd. Volgens Mozilla zijn dit redelijke periodes om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. In de waarschuwing wordt gebruikers gevraagd om hun wachtwoord via Firefox Monitor te controleren. Deze dienst werd vorig jaar door Mozilla gelanceerd en laat gebruikers controleren of hun e-mailaccount bij één van de 362 sites is gecompromitteerd. De waarschuwingsfeature staat nu ingeschakeld in Firefox Nightly, een vroege versie van de browser. Het plan is om de maatregel uiteindelijk in Firefox 68 te lanceren, die voor 9 juli van dit jaar gepland staat. bron: security.nl

Oracle heeft een noodpatch uitgebracht voor een zeer ernstige kwetsbaarheid in WebLogic Server waardoor een aanvaller op afstand het systeem kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Een ongeauthenticeerde aanvaller kan via het beveiligingslek op afstand willekeurige code op het systeem uitvoeren. De kwetsbaarheid werd op 17 april aan de China National Vulnerability Database toegevoegd, een database met informatie over allerlei beveiligingslekken. Vanwege de ernst van de kwetsbaarheid geeft Oracle klanten het advies om de beveiligingsupdate zo snel als mogelijk te installeren. Oracle WebLogic is een populaire Java-applicatieserver. Het platform is ook een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers destijds voor cryptomining en het installeren van ransomware. Volgens securitybedrijf KnowSec zijn er zo'n 36.000 kwetsbare WebLogic-servers op internet te vinden. bron: security.nl

Twee miljoen Internet of Things-apparaten zijn door een beveiligingslek in de p2p-software die ze gebruiken voor kwaadwillenden toegankelijk. Het gaat om beveiligingscamera's, webcams, babymonitors en smart deurbellen, zo ontdekte beveiligingsonderzoeker Paul Marrapese. De apparatuur wordt geleverd met software genaamd "iLnkP2P". Via deze software is het mogelijk om de apparaten van over de gehele wereld te benaderen, zonder dat er aanpassingen aan de router of firewall moeten worden gemaakt. Gebruikers installeren een mobiele app en scannen de barcode op het apparaat of voeren een zescijferige code (UID) in. De p2p-software regelt de rest. De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken. Om de mogelijkheid te bewijzen ontwikkelde Marrapese een script waarmee hij meer dan twee miljoen kwetsbare IoT-apparaten identificeerde. Negentien procent hiervan bevindt zich in Europa. Wachtwoorden De onderzoeker ontwikkelde ook een aanval waarmee het mogelijk is om wachtwoorden van de kwetsbare apparaten te stelen, door misbruik van hun ingebouwde "heartbeat" feature te maken. Zodra de apparaten op een netwerk worden aangesloten versturen de iLnkP2P-apparaten geregeld een bericht naar een vooraf geconfigureerde p2p-server in afwachting van verdere instructies. De p2p-server zal verbindingsverzoeken naar de locatie van het meest recent ontvangen bericht doorsturen. Door alleen het UID te kennen kan een aanvaller een frauduleus heartbeat-bericht versturen dat het vorige bericht van het legitieme apparaat vervangt. Hierdoor zal het apparaat verbinding met de aanvaller maken. "Zodra er verbinding wordt gemaakt zullen de meest clients meteen in plaintext als beheerder proberen in te loggen, waardoor een aanvaller de inloggegevens van het apparaat kan verkrijgen", aldus de onderzoeker tegenover it-journalist Brian Krebs. Aanvallers kunnen zo het apparaat overnemen. Marrapese waarschuwde de ontwikkelaar van de software, maar kreeg geen reactie. ILnkP2P wordt vaak door fabrikanten geïmplementeerd, die hun apparaten als white label distribueren. Het is daardoor lastig om een lijst van alle kwetsbare fabrikanten te maken. Gebruikers kunnen echter aan de hand van de id-code op hun apparaat kijken of ze risico lopen. In onderstaande tabel staan (een deel van) de prefixes waarmee het UID van kwetsbare apparaten begint. In een analyse van de kwetsbaarheid stelt de onderzoeker dat het onwaarschijnlijk is dat fabrikanten met een update zullen komen, waardoor gebruikers risico blijven lopen. Gebruikers krijgen dan ook het advies om de apparatuur weg te doen. Wanneer dit niet mogelijk is wordt aangeraden om UDP-poort 32100 dicht te zetten, waardoor de p2p-functionaliteit niet meer werkt. Daardoor zijn de apparaten niet meer vanaf externe netwerken via p2p toegankelijk. Lokale toegang werkt nog wel. bron: security.nl

De meeste mensen die het op privacy gerichte besturingssysteem Tails gebruiken werken vanaf een usb-stick, zo hebben de ontwikkelaars bekendgemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het is zowel vanaf dvd als usb-stick te starten, of binnen een virtual machine te gebruiken. Sinds januari biedt Tails een nieuwe installatiemethode voor usb-sticks, die de installatie een stuk eenvoudiger maakt. Zo is er voor macOS een grafische tool beschikbaar, zodat gebruikers niet meer vanaf de commandline hoeven te werken. Windows-gebruikers hoeven niet meer over twee usb-sticks te beschikken. Daarnaast zorgt de nieuwe installatiemethode voor usb-sticks die beter op nieuwe computers met UEFI werken. 76 procent van alle downloads van Tails betreft inmiddels de versie voor usb-sticks, terwijl de resterende 24 procent het bestand voor dvd's en virtual machines is, zo laten de ontwikkelaars in het maandoverzicht van maart weten. Sinds de lancering van de nieuwe installatiemethode voor usb-sticks is het aantal Mac-gebruikers van Tails verdubbeld. Tails wordt gemiddeld 26.000 keer per dag gestart. VeraCrypt Vorig jaar besloten de Tails-ontwikkelaars om de encryptiesoftware VeraCrypt binnen het besturingssysteem te integreren. VeraCrypt is een programma voor het versleutelen van systemen en bestanden. Door de integratie kunnen gebruikers eenvoudig hun met VeraCrypt versleutelde schijven en containers ontsleutelen. Het aantal Tails-gebruikers dat VeraCrypt gebruikt is bijna verdubbeld. De ontwikkelaars zijn blij met deze resultaten, maar hadden naar eigen zeggen meer verwacht. "We moeten dan ook beter over nieuwe features communiceren", zo stellen ze. bron: security.nl

Duizenden WordPress-sites lopen risico om te worden overgenomen nu aanvallers zich op meer kwetsbare plug-ins richten. De afgelopen maanden zijn er verschillende kwetsbaarheden in populaire WordPressplug-ins onthuld die aanvallers kwaadaardige code aan de website laten toevoegen. Zo kunnen er backdoors worden toegevoegd en scripts die bezoekers bijvoorbeeld naar malafide websites doorsturen. Een bekend voorbeeld zijn websites die internetgebruikers via helpdeskfraude proberen op te lichten. Eén specifieke campagne die kwetsbaarheden in meerdere WordPressplug-ins gebruikt om websites over te nemen is al enige maanden gaande. De aanvallers achter deze campagne hebben nu exploits voor twee nieuwe plug-ins toegevoegd. Het gaat om Woocommerce User Email Verification. Deze plug-in wordt door webwinkels gebruikt voor het valideren van het e-mailadres waarmee klanten zich registreren. Een kwetsbaarheid in de plug-in laat aanvallers allerlei kwaadaardige scripts injecteren. Een beveiligingsupdate om de kwetsbaarheid te verhelpen is nog niet beschikbaar. Meer dan 6.000 websites hebben Woocommerce User Email Verification geïnstalleerd. WP Inventory Manager is de andere plug-in waar aanvallers het op hebben voorzien. Via deze plug-in kunnen webwinkels de voorraad van producten en materiaal bijhouden. Op 16 april werd een kwetsbaarheid in de plug-in verholpen, die inmiddels ook wordt aangevallen. In dit geval is er wel een beveiligingsupdate beschikbaar, maar de praktijk laat zien dat veel webmasters hun WordPressplug-ins niet updaten. Van WP Inventory Manager is een gratis en betaalde versie die identiek zijn. De gratis versie heeft meer dan duizend installaties. Het aantal installaties van de betaalde variant is onbekend. bron: security.nl

Ontwikkelaar van forensische software ElcomSoft heeft een update van de eigen software uitgebracht waardoor het eenvoudiger moet worden om via bruteforce het wachtwoord te kraken van harde schijven die via BitLocker, PGP en TrueCrypt/VeraCrypt zijn versleuteld. Normaliter moeten onderzoekers eerst een image van de versleutelde schijf maken voordat er begonnen kan worden met het bruteforcen van het wachtwoord dat voor de versleuteling is gebruikt, aldus ElcomSoft. De laatste versie van de System Recovery-software maakt het mogelijk om de computer van een usb-stick op te starten, waarna de aanwezige schijfversleuteling automatisch wordt gedetecteerd. Onderzoekers kunnen zo de informatie achterhalen die nodig is om het originele wachtwoord te bruteforcen, zo stelt het softwarebedrijf. ElcomSoft merkt op dat het lastig kan zijn om wachtwoorden voor volledige schijfversleuteling te kraken. "Een sneller alternatief is mogelijk aanwezig als de computer in slaapstand stond op het moment dat de versleutelde partitie was gemount. Wanneer dit het geval is, kan de decryptiesleutel in het slaapstandbestand zijn opgeslagen", zo laat het softwarebedrijf weten. De software van ElcomSoft wordt volgens het bedrijf door opsporingsdiensten wereldwijd gebruikt. bron: security.nl

Onderzoekers hebben nieuwe versies van de beruchte Emotet-malware ontdekt die ip-camera's en andere Internet of Things-apparaten als proxyserver gebruikt, om zo detectie te ontlopen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. Eenmaal actief maakt Emotet verbinding met een command & control-server. De nieuwste versies maken echter gebruik van een proxycontroleserver die het verkeer naar de echte command & control-servers doorstuurt. Wat opvalt aan deze proxyserver is dat het Internet of Things-apparaten zijn, zoals ip-camera's, routers en digitale videorecorders. "Deze aanpassingen lijken onbeduidend, maar de toegevoegde complexiteit aan het command & control-verkeer is een poging van de Emotet-auteurs om detectie te omzeilen", aldus anti-virusbedrijf Trend Micro. De virusbestrijder merkt op dat deze ontdekking ook laat zien dat de malware wordt ingezet om kwetsbare met internet verbonden apparaten te compromitteren en verzamelen, die weer voor allerlei andere kwade doeleinden gebruikt kunnen worden. De e-mails die Emotet begin deze maand gebruikte hadden een met wachtwoord beveiligd zip-bestand als bijlage, waarbij het wachtwoord in de e-mail stond vermeld. bron: security.nl

Hostingprovider GoDaddy heeft vorige maand 15.000 subdomeinen gesloten die voor meerdere grootschalige spamcampagnes werden gebruikt waarin allerlei gewichtsverliesproducten en medicijnen werden aanbevolen. De subdomeinen waren van honderden legitieme GoDaddy-klanten waarvan de inloggegevens waren gecompromitteerd. De aanvallers hebben deze inloggegevens waarschijnlijk bemachtigd via phishingaanvallen of doordat klanten hetzelfde wachtwoord voor meerdere websites gebruikten zo meldt securitybedrijf Palo Alto Networks. De spammers verstuurden e-mails met afgekorte links die naar de subdomeinen wezen. Deze subdomeinen verwezen weer door naar websites waarop de gewichtsverlies en andere producten werden aangeboden. Naast het sluiten van de subdomeinen in maart heeft GoDaddy de gecompromitteerde gebruikers aangespoord hun wachtwoord te wijzigen. bron: security.nl

Tienduizenden Oracle WebLogic-servers zijn kwetsbaar door een nieuw beveiligingslek waarvoor nog geen update beschikbaar is. Via de kwetsbaarheid kan een aanvaller op afstand code op de server uitvoeren, zo laat de China National Vulnerability Database weten. Oracle WebLogic, een populaire Java-applicatieserver, is een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruiken kwetsbare servers voor cryptomining of installeren ransomware. In het geval van de huidige kwetsbaarheid is er nog geen beveiligingsupdate door Oracle uitgerold. Securitybedrijf F5 Labs meldt op Twitter dat er al aanvallen zijn waargenomen die van het nieuwe beveiligingslek misbruik maken, maar dit is nog niet door andere partijen bevestigd. Beheerders van een Oracle WebLogic-server kunnen in afwachting van een beveiligingsupdate de bestanden wls9_async_response.war en wls-wsat.war verwijderen en de WebLogic-service herstarten. Een andere optie is toegang tot de /_async/* en /wls-wsat/* paden te beperken, aldus securitybedrijf KnowSec. Volgens het bedrijf zijn er zo'n 36.000 kwetsbare servers op internet te vinden. Oracle komt vier keer per jaar met beveiligingsupdates. De volgende patchronde staat gepland voor 16 juli. Of het softwarebedrijf vanwege het nu onthulde lek met een noodpatch komt is nog onbekend. bron: security.nl

Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zo goed als zinloos is, aldus Microsoft. De softwaregigant heeft dan ook besloten om het wachtwoordverloopbeleid waardoor Windows-gebruikers periodiek gedwongen kunnen worden om hun wachtwoord te wijzigen uit de security baseline van Windows 10 versie 1809 en Windows Server 2019 te verwijderen. "Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden", zegt Microsofts Aaron Margosis. Hij wijst naar onderzoek waaruit blijkt dat er betere alternatieven zijn voor het periodiek wijzigen van wachtwoorden, zoals het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie. Om organisaties te helpen bij hun beveiliging biedt Microsoft een zogeheten "security baseline" met aanbevolen instellingen. Het gaat dan onder andere om allerlei group policies. De group policy voor het periodiek wijzigen van wachtwoorden is in de nieuwste versie van de baseline verwijderd. Volgens Margosis heeft deze functie nauwelijks enige waarde. Het biedt namelijk alleen bescherming als een wachtwoord of wachtwoordhash is gestolen tijdens de periode dat die geldig is en vervolgens door een aanvaller wordt gebruikt. Als een wachtwoord echter nooit gestolen wordt is er ook geen reden om het verplicht te laten vervangen. En als blijkt dat een wachtwoord wel is gestolen, dan zullen de meeste organisaties of gebruikers meteen in actie komen en het veranderen, in plaats van te wachten tot de ingestelde periode verloopt. Het is dan ook de vraag hoeveel bescherming het periodiek wijzigen van wachtwoorden biedt. "Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zeer weinig waarde heeft, en we denken dat het niet zinvol is voor onze baseline om een bepaalde waarde te handhaven. Door het van onze baseline te verwijderen in plaats van een bepaalde waarde of helemaal geen expiratie aan te bevelen, kunnen organisaties kiezen wat het beste aan hun beoogde wensen tegemoet komt zonder dat het tegenstrijdig met ons advies is", aldus Margosis. Eind vorig jaar adviseerde het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid ook al om het periodiek wijzigen van wachtwoorden niet langer te verplichten en deze maatregel te vervangen door compenserende maatregelen. bron: security.nl

Aanvallers zijn er onlangs in geslaagd om kwaadaardige code aan een WordPress-site van securitybedrijf Flashpoint toe te voegen die bezoekers naar een website met malware doorstuurde. Dat heeft het bedrijf in een verklaring op de eigen website bevestigd. Het gaat om de website flashpoint-intel.com die vermoedelijk in de nacht van vrijdag 12 april op zaterdag 13 april via een kwetsbare Wordpressplug-in werd gecompromitteerd. Dit houdt in dat het securitybedrijf advies om de plug-in te verwijderen niet heeft opgevolgd. Op 10 april waarschuwden securitybedrijven Sucuri en Wordfence voor een beveiligingslek in de Yuzo Related Posts-plug-in dat actief werd aangevallen en waarvoor geen beveiligingsupdate beschikbaar was. De ontwikkelaar van de plug-in liet vervolgens weten dat er een update zou verschijnen en adviseerde gebruikers om Yuzo direct van hun website te verwijderen totdat de patch beschikbaar was. Twee dagen later was de plug-in nog steeds op de WordPress-site van Flashpoint aanwezig en kon zodoende door aanvallers worden misbruikt. De kwaadaardige code die de aanvallers toevoegden stuurde bezoekers door naar een malafide website. Deze website toonde een pop-up die naar malware linkte. Op 14 april werd de Flashpoint-website door het securitybedrijf opgeschoond. Naar aanleiding van het incident heeft Flashpoint besloten om alle onnodige plug-ins te verwijderen en de website verder te hardenen. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die 39 beveiligingslekken verhelpt en automatische downloads in iframes blokkeert. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Verder is er een beveiligingslek in de Autofill-functie van Chrome verholpen waardoor een kwaadwillende website informatie van de gebruiker had kunnen achterhalen. Voor het rapporteren van de kwetsbaarheden keerde Google in totaal meer dan 26.000 dollar uit aan externe beveiligingsonderzoekers. Tevens is de browser voorzien van een maatregel om gebruikers tegen "drive-by downloads" te beschermen die zonder interactie van de gebruiker plaatsvinden. Het gaat dan specifiek om automatische downloads in iframes. De automatische downloads worden vanaf nu geblokkeerd, maar de beperking kan nog door contentproviders worden omzeild. Vanaf Chrome 76 zal de ondersteuning van dergelijke downloads volledig worden verwijderd. Updaten naar Chrome 74.0.3729.108 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Eén van de beveiligingsupdates die Microsoft eerder deze maand voor Windows 7 en Server 2008 uitbracht zorgt voor problemen op systemen met sommige antivirussoftware. Na installatie van de update en een herstart van de computer kan die bij het laden van Windows vastlopen, zo meldt Microsoft. Daarnaast kunnen gebruikers met trage systeemprestaties en opstarttijden te maken krijgen. De problemen doen zich voor bij antivirussoftware van Sophos, Avira, ArcaBit, Avast en McAfee. Microsoft heeft een onderzoek naar het probleem ingesteld en systemen met de betreffende antiviruspakketten krijgen de Windows-update niet meer aangeboden. De verschillende antivirusbedrijven hebben inmiddels advies voor hun klanten uitgebracht. In het geval van Avast en ArcaBit zijn er micro-updates verschenen om het probleem te verhelpen. Volgens McAfee is een update voor het Client Server Runtime Subsystem (CSRSS) die deze maand verscheen de boosdoener en veroorzaakt het in combinatie met de antivirussoftware voor een "potentiële deadlock". CSRSS is een essentieel onderdeel van Windows dat verantwoordelijk is voor de Win32-console en het sluiten van de grafische gebruikersinterface. De deadlock zorgt ervoor dat de antivirussoftware wacht totdat er een resource wordt vrijgegeven, wat niet gebeurt. Of en wanneer Microsoft met een update komt om het euvel te verhelpen is nog onbekend. bron: security.nl