Captain Kirk

Drie republikeinse senatoren in de Verenigde Staten hebben een wetsvoorstel geïntroduceerd dat een eind moet maken aan het gebruik van end-to-end encryptie in apparaten, platformen en systemen. De Lawful Access to Encrypted Data Act van senatoren Graham, Blackburn en Cotton moet ervoor zorgen dat opsporingsdiensten met een gerechtelijk bevel toegang tot alle versleutelde data en communicatie kunnen krijgen (pdf). Volgens de senatoren ontwikkelen techbedrijven hun producten opzettelijk op zo'n manier dat alleen gebruikers er toegang toe hebben en opsporingsdiensten worden buitengesloten. "Dergelijk "warrant-proof" encryptie voegt weinig toe aan de beveiliging van de communicatie van normale gebruikers, maar is een groot voordeel voor diegenen die het internet voor illegale doeleinden gebruiken", aldus de senatoren. Die stellen verder dat het debat over encryptie en toegang door opsporingsdiensten al jaren gaande is en nog altijd niet tot een oplossing heeft geleid. Hierdoor moeten opsporingsdiensten de versleuteling van in beslag genomen apparaten kraken, wat lange tijd en miljoenen dollars kan kosten, zo stellen de senatoren. "Als gevolg loopt onze nationale veiligheid gevaar, en worden talloze misdrijven gepleegd in de Verenigde Staten niet opgelost." Met het wetsvoorstel willen de senatoren een einde maken aan warrant-proof encryptie in apparaten, platformen en systemen. Mocht het voorstel worden aangenomen dan zijn techbedrijven straks verplicht om opsporingsdiensten die over een gerechtelijk bevel beschikken te helpen bij het verkrijgen van toegang tot versleutelde data. Het is aan techbedrijven om uit te zoeken hoe ze aan eventuele decryptiebevelen moeten voldoen. Bedrijven kunnen tegen dergelijke bevelen in beroep gaan, bijvoorbeeld als het ontsleutelen technisch niet mogelijk is. "De overheid kan echter een herontwerp van het systeem verplichten", zegt Andrew Crocker van de Amerikaanse burgerrechtenbeweging EFF. Verder laat het wetsvoorstel de minister van Justitie een wedstrijd organiseren die deelnemers beloont voor het ontwikkelen van een "rechtmatige toegangsoplossing in een versleutelde omgeving". Crocker noemt het een prijs voor "veilige backdoors". Volgens de EFF-medewerker staat het wetsvoorstel los van de realiteit en brengt het de veiligheid van honderden miljoenen mensen in gevaar. bron: security.nl

Microsoft heeft organisaties opgeroepen om hun Exchange-servers te patchen, aangezien sommige ondernemingen dit bewust niet doen omdat ze denken dat dit invloed op de werking van het systeem heeft, zo laat het techbedrijf weten. Volgens Microsoft is er een toename van het aantal aanvallen gericht tegen ongepatchte Exchange-servers. Aanvallers maken bijvoorbeeld misbruik van een kwetsbaarheid aangeduid als CVE-2020-0688. Een beveiligingsupdate voor dit lek is al sinds 11 februari van dit jaar beschikbaar. "Tot op de dag van vandaag blijven aanvallers kwetsbare servers vinden om aan te vallen", zegt Microsofts Hardik Suri. Suri stelt dat organisaties kwetsbaarheden in Exchange de hoogste prioriteit moeten geven, omdat deze servers zeer vertrouwelijke bedrijfsgegevens en accounts met hoge rechten bevatten. Door Exchange-servers te compromitteren kan een aanvaller volledige controle over het netwerk krijgen. Zodra aanvallers toegang tot een Exchange-server hebben gekregen wordt er een webshell geïnstalleerd. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vervolgens brengen de aanvallers andere Exchange-servers, mailboxes en gebruikers in kaart. "Op verkeerd geconfigureerde servers waar aanvallers de hoogste rechten verkrijgen, kunnen aanvallers een nieuw gebruikersaccount aan de server toevoegen. Hiermee kunnen de aanvallers de server zonder het gebruik van remote access tools benaderen", merkt Suri op. Vervolgens voegen de aanvallers het net aangemaakte account toe aan andere groepen, zoals beheerders, remote desktopgebruikers en enterprise admins. Daarmee hebben ze nagenoeg onbeperkte toegang tot gebruikers en groepen in de organisatie. Verder proberen de aanvallers aanwezige beveiligingssoftware uit te schakelen en aanwezige mailboxes te exporteren, die vervolgens worden gedownload. Volgens Suri laten dit soort aanvallen zien dat Exchange-servers zeer waardevolle doelwitten voor aanvallers zijn. Om dergelijke aanvallen te voorkomen worden organisaties opgeroepen om beschikbare updates te installeren en servers geregeld op verkeerde configuraties te controleren. Daarnaast moeten gebruikersgroepen met hogere rechten periodiek worden gecontroleerd en is het nodig om principes als least-privilege toe te passen en geen domeinbrede service-accounts met adminrechten te gebruiken. bron: security.nl

Vorig jaar onthulde Mozilla een zelf ontwikkeld Internet of Things-platform voor het op een privacyvriendelijke manier bedienen van "smart devices" via het internet. Het Britse techbedrijf OKdo is nu begonnen om het platform als kant en klare kit aan te bieden. De Mozilla WebThings Gateway is een softwaredistributie voor smart home gateways en is gericht op privacy, security en interoperabiliteit. Via de gateway is het mogelijk om bijvoorbeeld bewegingssensoren, lampen en andere aangesloten apparaten zonder tussenpartij te bedienen. Het IoT-platform werkt zonder app, slaat geen gegevens op in de cloud en is open source. De software is via Mozilla's website te downloaden en op verschillende apparaten te installeren, zoals een Raspberry Pi. Voor gebruikers die alles in één keer willen hebben biedt OKdo de Mozilla WebThings Gateway Kit. Het pakket bestaat uit een Raspberry Pi 4 en behuizing, een microSD-kaart waarop de Mozilla WebThings Gateway draait en een handleiding. "Met de WebThings Gateway hebben gebruikers altijd volledige controle. Je kunt direct je huis en apparaten vanaf het web monitoren en bedienen. Je hoeft geen data met een clouddienst of leverancier te delen", zegt Mozillas Nancy Hang. De kit van OKdo kost omgerekend 86 euro. bron: security.nl

Twitter heeft gebruikers gewaarschuwd voor een datalek met het eigen analytics- en advertentieplatform dat eerder dit jaar plaatsvond. Wanneer bijvoorbeeld adverteerders of zakelijke gebruikers op ads.twitter.com of analytics.twitter.com hun factureringsgegevens bekeken kon deze data in de browsercache van de computer belanden. Het ging om e-mailadres, telefoonnummer, laatste vier cijfers van creditcard en factuuradres. In het geval gebruikers van het platform een gedeelde computer gebruikten zou iemand anders die ook toegang tot de computer had de opgeslagen data kunnen bekijken. Twitter zegt dat het geen aanwijzingen heeft gevonden dat er misbruik is gemaakt van gegevens. In het bericht aan gebruikers laat Twitter weten dat het "de instructies heeft geüpdatet die het naar de browsercache stuurt om de opslag van data te voorkomen". Verdere details worden niet gegeven. In april van dit jaar werden Firefox-gebruikers al door Twitter gewaarschuwd dat uitgewisselde en gedownloade privébestanden in de browsercache konden achterblijven. Dit kwam doordat Twitter van de Pragma: no-cache header gebruikmaakte, in plaats van de Cache-Control header, aldus Mozilla. Via Cache-Control kunnen websites aan browsers laten weten wat ze in de cache mogen opslaan. De Pragma-header is niet gespecificeerd voor http-responses en daarom geen goede vervanging voor de Cache-Control header, zo stelt de browserontwikkelaar. Gebruikers van Twitter Ads en Analytics krijgen verder het advies om na het uitloggen hun browsercache te verwijderen. bron: security.nl

Microsoft heeft een nieuwe beveiligingsoptie aan Office 365 toegevoegd die zakelijke gebruikers extra tegen malafide documenten met bijvoorbeeld kwaadaardige macro's moet beschermen. Office beschikt al over Protected View, een sandbox waar documenten in worden geopend. In Protected View kunnen gebruikers het document wel bekijken, maar niet wijzigen. De sandbox wordt ingeschakeld voor documenten die bijvoorbeeld vanaf een internetlocatie zijn geopend of als Outlook-bijlage zijn ontvangen. Veel aanvallers maken voor het verspreiden van malware gebruik van Office-documenten met kwaadaardige macro''s. Standaard worden macro's in Microsoft Office echter geblokkeerd. Om macro's toch in te kunnen schakelen moet de gebruiker het document bewerken. Aanvallers voorzien hun documenten daarom van instructies die uitleggen hoe de gebruiker de Protected View sluit en de macro's kan inschakelen, waarna het systeem met malware wordt geïnfecteerd. "Hoewel Protected View helpt bij het beveiligen van documenten die van buiten de organisatie komen, sluiten mensen te vaak de sandbox, zonder na te denken of het document wel veilig is, waardoor hun organisatie risico loopt", zegt Microsofts Kenny Shi. Een nieuwe optie genaamd "Safe Documents" laat documenten eerst door Microsoft Defender ATP scannen. Wanneer er geen malware is aangetroffen krijgt de gebruiker de optie om het document te bewerken. Gaat het wel om een kwaadaardig document, dan kan de gebruiker de Protected View niet sluiten. De Safe Documents-feature is beschikbaar voor Office 365-klanten met een E5- en E5 Security-licentie. De optie staat standaard uitgeschakeld. Beheerders kunnen daarnaast zelf instellen of gebruikers documenten die door Microsoft als kwaadaardig zijn bestempeld toch moeten kunnen bewerken. bron: security.nl

Adobe heeft de laatste beveiligingsupdates uitgerold voor webwinkelsoftware Magento 1, wat inhoudt dat meer dan 90.000 tot 99.000 webwinkels geen patches meer zullen ontvangen. Nieuw ontdekte kwetsbaarheden zullen niet meer door het softwarebedrijf worden verholpen. Daardoor lopen webwinkels die van Magento 1 gebruik blijven maken groter risico op aanvallen. Er zijn twee versies van Magento 1 in omloop, namelijk Magento Commerce en Magento Open Source. Volgens meetwebsite SimilarTech zijn er ruim 99.000 webshops die van Magento 1 gebruikmaken. Built With komt uit op zo'n 90.000 websites. In het verleden zijn kwetsbaarheden in Magento geregeld door criminelen gebruikt om kwaadaardige code aan websites toe te voegen om zo persoons- en creditcardgegevens van klanten te stelen. Ook de laatste beveiligingsupdates voor Magento Commerce 1 en Magento Open Source 1 verhelpen twee kwetsbaarheden waardoor dit mogelijk is. Het gaat om PHP Object Injection waardoor een aanvaller willekeurige code kan uitvoeren en stored cross-site scripting waarmee een aanvaller gevoelige informatie kan stelen. In het geval van deze twee kwetsbaarheden moet een aanvaller wel al over beheerdersrechten beschikken om er misbruik van te maken. In april werden webwinkels nog door creditcardmaatschappij Visa op het einde van de ondersteuning van Magento 1 gewezen. Volgens het bedrijf zijn webwinkels die van Magento 1 gebruik blijven maken niet meer compliant met de Payment Card Industry Data Security Standards (PCI DSS), een internationale beveiligingsstandaard waarin wordt omschreven hoe er met betaalkaartgegevens van klanten moet worden omgegaan. Webwinkels die PCI-compliant willen blijven krijgen van Visa het advies om te migreren naar een platform dat nog wel wordt ondersteund met beveiligingsupdates. bron: security.nl

Een kwetsbaarheid in de beveiligingssoftware van antivirusbedrijf Bitdefender maakte het mogelijk voor malafide websites om op afstand willekeurige commando's op het systeem van gebruikers uit te voeren. Dat ontdekte Wladimir Palant, ontwikkelaar van de bekende adblocker Adblock Plus. Het probleem werd veroorzaakt doordat Bitdefender Total Security 2020 zelf problemen met certificaatfouten afhandelt en een eigen foutpagina laat zien. Voor malafide websites was het mogelijk om sommige security tokens van deze foutpagina's uit te lezen en daarmee de Chromium-gebaseerde Safepay-browser te starten en op afstand commando's op het systeem van de gebruiker uit te voeren. Total Security 2020 biedt onder andere een aparte Safepay-browser voor online bankieren. Daarnaast inspecteert de beveiligingssoftware het https-verkeer van de gebruiker. Hiervoor maakt Bitdefender gebruik van een browser-api, waardoor externe applicaties de versleutelde https-data kunnen bekijken, zonder dat ze die zelf hoeven te ontsleutelen. Het afhandelen van certificaatfouten besloot Bitdefender echter zelf te doen, in plaats van dit aan de browser over te laten. Iets wat volgens Palant onnodig was. De Adblock Plus-ontwikkelaar ontwikkelde een aanval waarbij een malafide site met een geldig tls-certificaat door de browser van de gebruiker wordt geladen. Vervolgens laadt de website een ongeldig tls-certificaat, wat voor de foutmeldingspagina van Total Security 2020 zorgt. Deze foutmeldingspagina kan door de malafide website worden gedownload. De foutmeldingspagina bevat security-tokens waarmee het mogelijk is om de Safepay-browser op het systeem van de gebruiker te starten en commando's op zijn of haar systeem uit te voeren. "Het heeft de voorkeur dat antivirusleveranciers zoveel als mogelijk van versleutelde verbindingen wegblijven", aldus Palant. Hij waarschuwde Bitdefender op 15 april van dit jaar over de kwetsbaarheid. Op 23 april kreeg hij te horen dat het probleem was verholpen en er een automatische update onder gebruikers was uitgerold. Omdat er moest worden gewacht op de "technology partners" van Bitdefender werd besloten om nog geen details over de kwetsbaarheid openbaar te maken. Verschillende partijen maken voor hun eigen producten gebruik van de technologie van het antivirusbedrijf. Nu ook deze partijen bij zijn hebben Palant en Bitdefender vandaag de details over de kwetsbaarheid openbaar gemaakt. Op een schaal van 1 tot en met 10 wat betreft de impact werd het lek met een 8,8 beoordeeld. bron: security.nl

Netwerkfabrikant Netgear heeft een waarschuwing gegeven voor verschillende kwetsbaarheden in 79 modellen routers waardoor aanvallers in het ergste geval de apparaten op afstand kunnen overnemen. Voor twee modellen is er nu "beta firmware" uitgebracht om de beveiligingslekken te verhelpen. Voor overige modellen wordt een workaround aangeraden. Eén van de beveiligingslekken kwam onlangs al in het nieuws en wordt veroorzaakt doordat de webserver, die standaard op poort 80 luistert, niet goed omgaat met gebruikersinvoer. Hierdoor kan een aanvaller een stack-based buffer overflow veroorzaken en code met rootrechten uitvoeren. De kwetsbaarheid is via een Cross-Site Request Forgery (CSRF)-aanval ook vanaf het internet te misbruiken, waardoor gebruikers met een kwetsbare router alleen een kwaadaardige website hoeven te bezoeken. Er zijn echter nog meerdere ongepatchte kwetsbaarheden in de routers aanwezig. Zo maakt ook een lek in de UPnP-service het mogelijk voor een aanvaller om code met rootrechten uit te voeren. Netgear heeft de kwetsbaarheden bevestigd en laat weten dat het aan firmware-updates werkt. Voor twee modellen (R6400 en R6700) zijn er hotfixes verschenen. De netwerkfabrikant benadrukt dat het hier om beta firmware gaat die buiten de normale ontwikkel- en testprocessen is gemaakt. De hotfixes verhelpen de kwetsbaarheden, maar kunnen ook de normale werking van de apparaten negatief beïnvloeden, aldus de verdere uitleg. Netgear stelt dat het tijdens het testen geen gevolgen heeft waargenomen, maar adviseert gebruikers om hun router na de installatie van de hotfix nauwlettend in de gaten te houden. Voor eigenaren van de andere kwetsbare modellen is er een workaround gegeven, namelijk het uitschakelen van Remote Management op de webinterface. Standaard staat dit uitgeschakeld, maar wanneer het wel is ingeschakeld lopen gebruikers groter risico. bron: security.nl

Criminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan. Dat laat John Fokker, hoofd cyberonderzoek en principal engineer bij antivirusbedrijf McAfee tegenover Bleeping Computer weten. "We zijn bekend met verschillende gevallen waarbij de ransomwarecriminelen op het netwerk van een slachtoffer actief bleven nadat ze hun ransomware hadden uitgerold. In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker. Onlangs werd de Amerikaanse vliegtuigreparateur VT San Antonio Aerospace door de Maze-ransomware getroffen. De aanvallers maakten verschillende documenten openbaar die ze bij het bedrijf hadden buitgemaakt, om het zo te dwingen het gevraagde losgeld te betalen. Eén van documenten die de aanvallers publiceerden ging over de betreffende ransomware-aanval, wat liet zien dat de aanvallers nog steeds toegang hadden op het moment dat VT San Antonio Aerospace het incident onderzocht. Volgens Vitali Kremez van securitybedrijf Advanced Intel is het belangrijk dat incident response teams ervan uitgaan dat de aanvaller nog steeds op het netwerk aanwezig is, totdat het tegendeel is bewezen. Communicatie over de herstelwerkzaamheden moet daarom plaatsvinden via een kanaal dat niet zichtbaar voor de aanvaller is. Daarnaast is het mogelijk niet genoeg om systemen opnieuw te installeren, aangezien de mogelijkheid bestaat dat aanvallers de inloggegevens hebben gestolen. De domeinwachtwoorden moeten dan ook worden aangepast, aldus Kremez. bron: security.nl

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen. Beveiligingsonderzoeker Sam Curry ontdekte het probleem toen hij iets via de Starbucks-website wilde kopen. Het viel Curry op dat één van de API's waar de Starbucks-webapplicatie gebruik van maakt data van een andere host leek door te sturen. Verder onderzoek wees uit dat dit inderdaad het geval was. Het ging om een intern Starbucks-systeem. Curry ontdekte dat de API niet goed omging met gebruikersinvoer, waardoor het mogelijk was een path traversal-aanval uit te voeren en zo toegang tot endpoints op het interne Starbucks-systeem te krijgen. Starbucks maakte wel gebruik van een webapplication firewall, maar die wist Curry te omzeilen. Eén van de directories die de onderzoeker via de path traversal-aanval vindt blijkt van een Microsoft Graph-installatie te zijn die toegang tot de gegevens van bijna honderd miljoen Starbucks-klanten heeft. Ook vindt Curry verschillende endpoints waarmee het waarschijnlijk mogelijk is om cadeaubonnen, adresgegevens, beloningen en aanbiedingen aan te passen, hoewel de onderzoeker dit niet verder onderzoekt. Hij waarschuwt Starbucks op 16 mei, waarna de kwetsbaarheid op 17 mei wordt verholpen. Voor zijn bugmelding ontvangt Curry een beloning van 4.000 dollar. Starbucks biedt via het HackerOne-platform een bug bounty-programma en heeft voor kritieke kwetsbaarheden een maximale beloning van vierduizend dollar ingesteld. bron: security.nl

Oracle biedt bedrijven een uitgebreid trackingplatform om internetgebruikers op het web en over meerdere apparaten te volgen, maar door een onbeveiligde database waren miljarden records met browsegegevens van een onbekend aantal internetgebruikers voor iedereen op internet toegankelijk, aldus TechCrunch. Zo werd een record gevonden met de naam, adresgegevens, telefoonnummer en e-mailadres van een Duitse man die met een prepaidkaart op 19 april op een goksite een gokje waagde. Een ander record bevatte de naam, adresgegevens en andere data van iemand uit Istanboel die voor 899 euro aan meubilair bij een online warenhuis had besteld. Een derde record laat zien hoe iemand zich afmeldt voor een nieuwsbrief dat naar zijn iCloud-adres werd gestuurd. Volgens de gegevens is deze persoon geïnteresseerd in een bepaald dashcammodel en blijkt uit de verzamelde user agent dat zijn iPhone niet de laatste versie draait. Sommige bestanden in de database dateerden van augustus 2019, aldus de onderzoeker die het datalek ontdekte. Alle gegevens in de database bleken te zijn verzameld via een trackingplatform genaamd Oracle Data Management Platform, dat voorheen als BlueKai bekend stond. Bedrijven kunnen trackingpixels aan hun websites en nieuwsbrieven toevoegen die allerlei data over de gebruiker vastleggen. Deze data, zoals e-mailadressen en trackingcookies, wordt vervolgens naar het trackingplatform gestuurd, dat de verzamelde persoonlijke data aan data van trackingcookies koppelt. Op deze manier wordt er een uitgebreid profiel van de gebruiker aangelegd, dat adverteerders weer voor gerichte advertenties kunnen gebruiken. Het platform is ook in staat om gebruikers over meerdere apparaten te volgen. Volgens één schatting wordt 1,2 procent van al het webverkeer via Oracles platform getrackt en bevatten bijna 700 van de 10.000 populairste websites op internet een BlueKai-tracker. Alle data die het platform ontvangt wordt in databases opgeslagen en gebruikt om profielen van gebruikers verder te "verrijken". Het was deze onbewerkte datastroom die via een database voor iedereen zonder wachtwoord toegankelijk was . Oracle laat in een reactie weten dat twee bedrijven hun services niet goed hadden geconfigureerd. De namen van deze twee bedrijven zijn niet bekendgemaakt, maar Oracle stelt dat er aanvullende maatregelen zijn genomen om herhaling te voorkomen. Verdere details over het incident zijn niet gegeven. Ook laat Oracle niet weten of het de personen van wie de data is gelekt of toezichthouders heeft ingelicht. bron: security.nl

Allerlei diensten bieden tegenwoordig multifactorauthenticatie aan, maar in de praktijk blijkt dat de meeste gebruikers hier geen gebruik van maken. En dat kan een probleem zijn wanneer het account wordt gekaapt. Wanneer een aanvaller voor een gekaapt account multifactorauthenticatie inschakelt maakt dit het veel lastiger voor de oorspronkelijke eigenaar om het account terug te krijgen, zo meldt it-journalist Brian Krebs. Krebs werd getipt over een incident waarbij een Xbox-account door een aanvaller was overgenomen, die vervolgens multifactorauthenticatie voor het account inschakelde. Hierdoor kon de oorspronkelijke eigenaar niet het wachtwoord resetten zonder toestemming van de aanvaller. De gebruiker nam contact op met Microsoft en kreeg een lijst met allerlei vragen teruggestuurd om te beantwoorden. Zo zou de gebruikers kunnen aantonen de legitieme eigenaar van het account te zijn. Ondanks het beantwoorden van de vragen werd het accountwachtwoord toch niet gereset. Uiteindelijk werd het incident naar een andere supportafdeling geëscaleerd. Daar werd de gebruiker geholpen bij het aanmaken van een nieuw Microsoftaccount waar het Xbox-profiel aan werd gekoppeld. "Het niet inschakelen van multifactorauthenticatie wanneer het wordt aangeboden is een veel groter risico voor mensen die op meerdere websites hun wachtwoorden hergebruiken", aldus Krebs. Twee jaar geleden liet onderzoek van Google zien dat minder dan tien procent van de Gmail-gebruikers tweefactorauthenticatie had ingeschakeld. Volgens onderzoekers van Indiana University komt dit niet doordat mensen het beveiligen van hun account niet belangrijk vinden of niet de extra moeite willen nemen, maar omdat de risico's niet goed worden gecommuniceerd. Gebruikers krijgen niet duidelijk uitgelegd waarom de extra beveiligingslaag nodig is. Daarnaast is het ook belangrijk dat ontwikkelaars naar de gebruiksvriendelijkheid voor het inschakelen en gebruiken van tweefactorauthenticatie kijken. bron: security.nl

Fijn dat alles opgelost is en je zo tevreden bent. Bij deze sluiten we het topic.

Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam. De aanvallers versturen een e-mail naar hun slachtoffers die een link naar een "redirector site" of een html-bijlage bevat. De redirector site is meestal een gecompromitteerde website die het slachtoffer naar de uiteindelijke website doorstuurt. Zodra de link of de html-bijlage wordt geopend belandt de gebruiker op een website waar hij een captcha moet oplossen. Volgens Microsoft moet op deze manier geautomatiseerde analyse van het document door securitybedrijven worden voorkomen. Wanneer de gebruiker de captcha oplost kan hij een Excel-document met een kwaadaardige macro downloaden. Macro's worden standaard door Microsoft Office geblokkeerd. Daarom hebben de aanvallers instructies voor het slachtoffer toegevoegd om macro's in te schakelen. Wanneer dit wordt gedaan zullen de macro's de GraceWire-malware op het systeem installeren, waarmee de aanvallers volledige toegang krijgen. De aanvallers blijken geregeld hun werkwijze te wijzigen. Eerst werden de kwaadaardige Excel-documenten direct als e-mailbijlage meegestuurd. In januari maakte de groep vervolgens gebruik van html-redirectors die naar de malafide Exel-documenten linkten en nu worden captcha's ingezet om detectie te voorkomen. Volgens de Duitse overheid is er een relatie tussen deze groep aanvallers, die bekendstaat als TA505, en de Clop-ransomware, waardoor de Universiteit Maastricht vorig jaar werd getroffen. bron: security.nl

Aanvallers maken gebruik van e-mails met corona-gerelateerde onderwerpen en JNLP-bestanden als bijlage om de Trickbot-malware te verspreiden. Deze malware kan weer aanvullende malware op systemen installeren en was in het verleden voor verschillende grote ransomware-uitbraken verantwoordelijk. De aanval begint met een e-mail die als onderwerp "coronavirus COVID-19 payment application form" heeft. Volgens het bericht komt de ontvanger vanwege de coronacrisis in aanmerking voor steungelden. Meer informatie zou in de meegestuurde JNLP-bestanden te vinden zijn. JNLP staat voor Java Network Launch Protocol. Het bestandsformaat kan Java-programma's gehost op een remote server op de client machine starten. Voorwaarde is wel dat Java op de client is geïnstalleerd. Zodra de gebruiker het JNLP-bestand opent wordt er een coronakaart van de WHO-website geladen. In de achtergrond wordt vervolgens de Trickbot-malware gedownload en geïnstalleerd. Om ervoor te zorgen dat de malware ook bij een herstart van het systeem wordt geladen maakt Trickbot in de startup folder de map "SpotifyMusic" aan die een kopie van de malware bevat. Volgens securitybedrijf Trustwave wordt Trickbot vaak verspreid via Microsoft Office-documenten met kwaadaardige macro's. "Dit is de eerste keer dat we zien dat Trickbot JNLP-bestanden als downloader gebruikt. Het gebruik van JNLP-bestanden als e-mailbijlage om malware te verspreiden is niet gebruikelijk", zegt analist Diana Lopera. Ook volgens securitybedrijf Cofense is de gebruikte methode door Trickbot zeer bijzonder. "Het gebruik van het coronavirus als lokaas en een ongewoon bestandstype om e-mailgateways te omzeilen en het is niet lastig voor te stellen dat dit een zeer effectieve campagne kan zijn", merkt analist Jason Meurer op. bron: security.nl

Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned heeft een nieuwe versie van zijn "Pwned Passwords" dataset beschikbaar gemaakt. Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben. De eerste versie van Pwned Passwords bestond uit 306 miljoen wachtwoordhashes. Met de lancering van versie 6 is dat naar 572 miljoen wachtwoordhashes gestegen, een toename van 17,3 miljoen wachtwoorden ten opzichte van versie 5 die een jaar geleden uitkwam. Naast de hash van het wachtwoord wordt ook aangegeven hoe vaak het wachtwoord in de betreffende datalekken is voorgekomen. De dataset is als bestand te downloaden, maar ook door websites online te gebruiken. Die kunnen gebruikers zo waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt en daardoor kwetsbaarder voor aanvallen is. In eerste instantie bestond de dataset alleen uit SHA-1-wachtwoordhashes. Hunt kreeg echter het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Door de gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. bron: security.nl

Wie op dit moment een Internet of Things-apparaat koopt weet van tevoren vaak niet hoelang het apparaat met beveiligingsupdates wordt ondersteund of hoe er met wachtwoorden en het verzamelen van gegevens wordt omgegaan. Dergelijke informatie is niet op de verpakking te vinden. Aanleiding voor onderzoekers van de Carnegie Mellon University om een tool te ontwikkelen die security- en privacylabels voor IoT-apparaten genereert. Op deze manier kunnen gebruikers eenvoudig zien waar ze aan toe zijn als het om de privacy en security van hun potentiële nieuwe aanschaf gaat. Voor het ontwikkelen van het security- en privacylabel werd met 22 security- en privacyexperts overlegd. Die konden aangeven wat in hun optiek de belangrijkste factoren zijn voor eindgebruikers die voor de aanschaf de privacy en security van IoT-apparaten willen vergelijken. Het eindresultaat werd vervolgens voorgelegd aan vijftien eindgebruikers die eerder al eens IoT-apparaten hadden aangeschaft. De onderzoekers stellen dat er de afgelopen jaren tal van security- en privacyproblemen met IoT-apparaten aan het licht zijn gekomen. Iets waar particulieren zich ook zorgen over maken, zo blijkt uit verschillende onderzoeken. Deze onderzoeken laten ook zien dat particulieren graag meer informatie over de security en privacy van IoT-apparaten willen voordat ze een product aanschaffen. In de praktijk blijkt dat vaak features en prijs doorslaggevend zijn, maar dat is volgens de onderzoekers mogelijk te verklaren doordat particulieren niet over voldoende informatie beschikken om een weloverwogen keuze te maken. Om eindgebruikers beter te informeren hebben verschillende landen voorgesteld om labels te introduceren. Hoe deze labels er precies moeten komen uit te zien en welke informatie ze moeten overbrengen is echter nog onbekend. Met hun onderzoek wilden de onderzoekers een dergelijk security- en privacylabel uitwerken. Volgens de onderzoekers werkt een label twee kanten op, waarbij ze de gezondheidslabels op voeding als voorbeeld noemen. De koper kan namelijk eenvoudig bepalen hoe gezond een product is en producenten worden aangemoedigd om gezondere producten aan te bieden. De experts die werden ondervraagd noemen verschillende zaken die op het label moeten verschijnen, zoals hoelang het apparaat met beveiligingsupdates wordt ondersteund, wat voor data het apparaat verzamelt en hoelang, het soort sensoren waarover het apparaat beschikt, of het apparaat gesigneerde automatische beveiligingsupdates ontvangt, of er van standaardwachtwoorden gebruik wordt gemaakt en de garantieperiode. Naast de directe informatie op het label zelf kwamen de onderzoekers ook met een tweede "informatielaag" die via een qr-code is op te vragen. Gebruikers krijgen door het scannen van de qr-code informatie over hoelang verzamelde gegevens worden bewaard, voor welk doel dit wordt gedaan, waar de data wordt opgeslagen, of een opt-out mogelijk is, of het apparaat ook zonder internetverbinding werkt, hoeveel stroom het verbruikt en verschillende andere zaken. De eindgebruikers die aan het onderzoek deelnamen blijken de labels goed te begrijpen. De onderzoekers hopen dan ook fabrikanten te vinden die het ontwikkelde label willen gaan testen (pdf). bron: security.nl

Mozilla heeft vandaag een eigen vpn-dienst voor Android, iOS en Windows aangekondigd. Vorig jaar begon de browserontwikkelaar met een bètatest van het Firefox Private Network VPN. Deze bètatest loopt de komende weken af, waarna de vpn-dienst niet meer onder het Firefox Private Network-merk wordt aangeboden, maar onder de noemer "Mozilla VPN" een groter publiek moet bereiken. Vooralsnog zal de vpn-dienst alleen in een select aantal regio's beschikbaar komen. Gebruikers kunnen voor een beperkte tijd voor 4,99 dollar per maand vijf apparaten van Mozilla VPN gebruik laten maken. Mozilla laat weten dat het gebruikers niet tijdens hun activiteiten op internet zal volgen en binnen de app geen gebruikmaakt van third-party analytics. Mozilla VPN is zelf door Mozilla ontwikkeld, die gebruik maken van de servers van vpn-provider Mullvad. Daarbij heeft Mozilla gekozen voor het WireGuard vpn-protocol. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. bron: security.nl

Verschillende bedrijven uploaden privédata naar Facebook om gebruikers op het platform gerichte advertenties te tonen, zonder dat ze deze gegevens mogen gebruiken, zo stelt Privacy International op basis van eigen onderzoek. Adverteerders en bedrijven kunnen persoonlijke data die ze van internetgebruikers hebben, zoals e-mailadressen of telefoonnummers, uploaden naar Facebook, om deze gebruikers vervolgens gerichte advertenties op het platform te laten zien. Onderzoekers van Privacy International ontdekten dat hun privédata was geüpload door bedrijven met wie ze geen enkele relatie hadden. Het bleek vervolgens een zeer lastig en tijdrovend proces om te achterhalen hoe deze bedrijven aan de data waren gekomen, als dat al lukte. Wat duidelijk werd is dat sommige bedrijven op Facebook adverteren met gegevens die ze niet mogen gebruiken, zo laat de privacyorganisatie weten. "Het maakt niet alleen duidelijk hoe weinig gebruikers kunnen weten over wat er achter de schermen plaatsvindt, als het om online gerichte advertenties gaat, maar legt ook ongeoorloofde praktijken bloot", aldus Privacy International. "Keer op keer was er geen transparantie of juridische rechtvaardiging voor het uploaden en gebruik van deze data en dat is slechts het begin." De onderzoekers stellen dat er verschillende redenen kunnen zijn hoe de bedrijven aan de data kwamen. Zo komt het voor dat een bedrijf nooit zijn klantenbestand heeft opgeschoond. Een andere mogelijkheid is dat een bedrijf gegevens bij een andere partij heeft gekocht en heeft samengevoegd met de eigen klantenlijst. Marketingbedrijven die bedrijven lijsten met potentiële klanten aanbieden kunnen ook een oorzaak zijn. "Maar wat de reden ook is, het resultaat is problematisch en roept vragen onder de databeschermingswetgeving op", stelt Privacy International. Onder andere datingapp Happn, Led Zeppelin, Volkswagen, Cisco en Dr Oetker bleken gegevens van de onderzoekers naar Facebook te hebben geüpload, ook al hadden die geen relatie met de bedrijven. Een deel van het probleem wordt ook door Facebook veroorzaakt, zo stellen de onderzoekers. Facebook biedt gebruikers wel een tool die uitlegt waarom ze bepaalde advertenties te zien krijgen, maar de gegeven informatie is zeer summier. Zo wordt bijvoorbeeld onduidelijk waar de adverteerder de naar Facebook geüploade informatie vandaan heeft. Ook blijkt het niet eenvoudig om de betreffende adverteerder te benaderen. Facebook linkt vaak alleen naar de Facebookpagina van de onderneming, wat inhoudt dat gebruikers Facebook nog meer moeten gebruiken of zelf op zoek moeten gaan naar contactgegevens. "Dit is geen acceptabele situatie voor mensen die hun rechten willen uitoefenen en informatie zoeken over bedrijven die hun persoonlijke data gebruiken en hieraan verdienen", aldus Privacy International. Ook de informatie die Facebook via de "Download Your Information" tool biedt blijkt onnauwkeurig. Privacy International wil dan ook dat Facebook de informatievoorziening aan gebruikers verbetert. De huidige tools zijn namelijk niet effectief en behulpzaam, wat gebruikers hindert bij het uitoefenen van hun rechten. bron: security.nl

Cisco heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in de Webex Meetings Desktop App voor macOS en Windows waardoor een aanvaller programma's en code op het systeem van gebruikers kan uitvoeren. Webex is een populaire tool voor videoconferencing die volgens Cisco 324 miljoen gebruikers in maart had. Gisterenavond kwam het netwerkbedrijf met beveiligingsupdates voor de Webex Meetings Desktop App. Zo bleek de Windowsversie de invoer voor applicatie-url's niet goed te controleren. Een aanvaller kan hier misbruik van maken door gebruikers een kwaadaardige url te laten openen. Vervolgens kan de aanvaller programma's starten die al op het systeem van de gebruiker aanwezig zijn. In het geval er al kwaadaardige bestanden op het systeem staan of via een netwerklocatie bereikbaar zijn, is het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren, aldus Cisco. De kwetsbaarheid, aangeduid als CVE-2020-3263, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 7,5. Gebruikers krijgen het advies om naar versie 39.5.12 of nieuwer te updaten. MacOS De macOS-versie bleek kwetsbaar voor een ander probleem (CVE-2020-3342) waarvan de impact met een 8,8 hoger is ingeschaald dan de kwetsbaarheid in de Windowsversie. De macOS-versie bleek bestanden die als onderdeel van een software-update werden gedownload niet goed te controleren. Een aanvaller had dit beveiligingslek kunnen misbruiken door gebruikers naar een malafide website te lokken. Deze website zou vervolgens bestanden naar de client kunnen sturen die op de bestanden lijken die van een geldige Webex-site afkomstig zijn. Webex zou deze bestanden vervolgens op het systeem van de gebruiker uitvoeren. Op deze manier had een aanvaller willekeurige code met de rechten van de ingelogde gebruiker kunnen uitvoeren, zo stelt Cisco. Gebruikers wordt aangeraden om te updaten naar versie 39.5.11 of nieuwer. bron: security.nl

Onderzoekers hebben in de Chrome Web Store meer dan zeventig malafide extensies ontdekt die bij elkaar ruim 32 miljoen keer waren gedownload. Google heeft de extensies inmiddels uit de Web Store verwijderd. Dat laat securitybedrijf Awake Security tegenover persbureau Reuters en via de eigen website weten. De Chrome-extensies deden zich onder andere voor als tools om bestanden naar een ander formaat om te zetten of gebruikers voor dubieuze websites te waarschuwen. In werkelijkheid werden screenshots gemaakt, het clipboard uitgelezen, informatie uit cookies, parameters en toetsaanslagen verzameld en teruggestuurd. De aanvallers hebben zo toegang gekregen tot de netwerken van farmaceutische bedrijven, overheidsinstanties, onderwijsinstellingen, mediabedrijven en zorgondernemingen, aldus Awake Security. Om de Chrome Web Store te omzeilen installeerden sommige van de extensies een versie van Chromium, de opensourcebrowser waarop Chrome is gebaseerd. "Omdat de meeste gebruikers niet het verschil tussen Chrome en Chromium herkennen, maken ze de nieuwe browser wanneer gevraagd vaak hun standaardbrowser", aldus het securitybedrijf. De nieuwe browser laadde vervolgens allerlei malafide extensies. De ontwikkelaars van de malafide extensies hadden daarnaast maatregelen genomen om detectie te voorkomen. Wanneer de extensies vanaf een thuiscomputer werden gebruikt maakten ze verbinding met een reeks domeinen en verstuurden de eerder genoemde informatie. Bij gebruik vanaf een bedrijfsnetwerk werd dit niet gedaan. Voor de operatie werden meer dan 15.000 domeinen geregistreerd. Wanneer Google extensies uit de Web Store verwijdert worden ze bij Chrome-gebruikers gedeactiveerd en aangemerkt als malafide, zodat gebruikers weten dat ze die niet moeten inschakelen. Een overzicht van de malafide extensies is in dit bestand te vinden. bron: security.nl

Videoconferentiesoftware Zoom gaat ook gratis gebruikers end-to-end encryptie aanbieden, maar alleen als die eerst hun telefoonnummer laten controleren. Dat heeft het bedrijf vanavond in een blog bekendgemaakt. Zoom-ceo Eric Yuan liet begin deze maand weten dat end-to-end encryptie niet beschikbaar voor gratis gebruikers komt, omdat het bedrijf ook met de FBI en opsporingsdiensten wil samenwerken in het geval van misbruik van de videoconferentiesoftware. Alleen voor Zoom-klanten met een "business" en "enterprise" abonnement zou end-to-end encryptie beschikbaar komen. Daarnaast zal de optie opt-in worden. Een groot deel van de Zoom-meetings maakt gebruik van features die niet compatibel met end-to-end encryptie zijn, zoals PSTN-telefoons, cloudopnames, cloudtranscripties en streaming naar YouTube, aldus het bedrijf. Nu meldt ceo Eric Yuan dat ook gratis gebruikers straks end-to-end encryptie kunnen inschakelen. Voorwaarde is wel dat gebruikers eenmalig "aanvullende informatie" verstrekken, zoals het verifiëren van een telefoonnummer via een sms-bericht. Op deze manier moet misbruik worden voorkomen, aldus Yuan. Een eerste test met end-to-end encryptie staat gepland voor juli. De maatregel zal, omdat het niet met bepaalde systemen werkt zoals PSTN-telefoons en SIP/H.323 hardware, optioneel zijn. Verder kunnen personen die een Zoom-meeting hosten de end-to-end encryptie per meeting in- of uitschakelen. Accountbeheerders kunnen daarnaast de optie daarnaast op account- en groepsniveau in- of uitschakelen. bron: security.nl

Een kwetsbaarheid in de webserver van tientallen modellen Netgear-routers maakt het mogelijk om de apparaten op afstand over te nemen en een beveiligingsupdate is niet beschikbaar. Het gaat onder andere om de Netgear R6700 en R7000, maar ook routerfirmware uit 2007 bleek kwetsbaar te zijn. De routers beschikken over een webserver die gebruikersinvoer van het netwerk verwerkt en gebruikt voor het uitvoeren van allerlei CGI-functies. Het beveiligingslek wordt veroorzaakt doordat de webserver, die standaard op poort 80 luistert, niet goed omgaat met gebruikersinvoer. Hierdoor kan een aanvaller een stack-based buffer overflow veroorzaken en code met rootrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om als root een telnet daemon te starten waarmee op de router kan worden ingelogd. Daarnaast blijkt dat Netgear heeft nagelaten om verschillende beveiligingsmaatregelen door te voeren wat misbruik van de kwetsbaarheid vereenvoudigt. Het beveiligingslek werd onder andere gevonden door Adam Nichols in de firmware van de Netgear R7000. De onderzoeker ontdekte in totaal 79 Netgear-apparaten en 758 firmware-images waarin de kwetsbare webserver in aanwezig is. Het gaat onder andere om firmware voor de Netgear WGT624v4 uit 2007. Nichols was niet de enige die het probleem ontdekte. Een andere onderzoeker met het alias "d4rkn3ss" vond het beveiligingslek ook, alleen dan in de Netgear R6700, en rapporteerde dit aan het Zero Day Initiative (ZDI). Het ZDI, dat Netgear op 8 januari van dit jaar informeerde, geeft leveranciers standaard 120 dagen de tijd om een beveiligingsupdate te ontwikkelen. Netgear vroeg om de deadline naar eind juni te verlengen. Het ZDI ging akkoord met 15 juni. Eind mei vroeg Netgear voor een tweede keer om een verlenging, maar daar ging het ZDI niet mee akkoord, waarop de informatie afgelopen maandag werd gepubliceerd. Volgens het ZDI is de kwetsbaarheid alleen te misbruiken door "network-adjacent" aanvallers die het apparaat kunnen benaderen. Authenticatie is daarbij niet vereist. Het ZDI adviseert dan ook om alleen vertrouwde apparaten toegang tot de router te geven. Nichols laat echter weten dat de kwetsbaarheid ook via een Cross-Site Request Forgery (CSRF)-aanval is te misbruiken. In dit geval is het voldoende wanneer een gebruiker met een kwetsbare browser een kwaadaardige website bezoekt. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met een 8,8 beoordeeld. bron: security.nl

Adobe roept gebruikers van Flash Player op om de software voor 2021 te verwijderen, aangezien de browserplug-in dan niet meer met beveiligingsupdates wordt ondersteund. Om gebruikers hierop te wijzen zal Flash Player later dit jaar ook een melding laten zien. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, kondigde Adobe drie jaar geleden al aan om de ondersteuning van de browserplug-in eind 2020 te beëindigen. Browserontwikkelaars lieten daarop weten de support gefaseerd uit te zullen schakelen. Nu het einde van de ondersteuningsperiode nadert heeft Adobe meer details gegeven. Zo blijven beveiligingsupdates gewoon tot en met 31 december 2020 uitkomen. Vanaf 1 januari 2021 zal Flash Player niet meer via de website van Adobe zijn te downloaden. Het gebruik van Flash Player na de end-of-life datum wordt dan ook afgeraden. Tevens zal het afspelen van Flash-gebaseerde content in Flash Player volgend jaar worden geblokkeerd. Gebruikers worden nu opgeroepen om Flash Player voor 1 januari 2021 van hun systeem te verwijderen. Het softwarebedrijf wijst daarbij naar de verwijderinstructies voor macOS en Windows. Verder zullen gebruikers later dit jaar een melding te zien krijgen waarin wordt aangeraden om Flash Player van het systeem te verwijderen en dat Flash-content vanaf 2021 niet meer door Flash Player wordt uitgevoerd. Hoewel Flash standaard staat uitgeschakeld en voor de meeste websites niet meer is vereist heeft bijvoorbeeld 40 procent van de Firefox-gebruikers de plug-in nog geïnstalleerd. Mozilla zal in december de ondersteuning van Flash volledig uit de browser verwijderen. Microsoft heeft december ook als einddatum genoemd, terwijl Google van plan is om met de lancering van Chrome 88 in januari 2021 de support voor Flash volledig uit de browser te halen. bron: security.nl

De Amerikaanse chipfabrikant MaxLinear is getroffen door de Maze-ransomware, waarbij meerdere systemen zijn versleuteld, zo heeft het bedrijf in een verklaring aan de Amerikaanse beurswaakhond SEC laten weten. Het bedrijf meldt verder dat de aanval geen gevolgen voor de productie of leveringsmogelijkheden heeft en dat de bestellingen van klanten gewoon kunnen worden geleverd. MaxLinear, dat onder andere chips voor breedbandcommunicatie ontwikkelt en vorig jaar een omzet van 317 miljoen dollar had, is niet van plan om het losgeld te betalen dat de aanvallers vragen. De groep achter de Maze-ransomware maakte gisteren via een eigen website verschillende gestolen documenten openbaar. Tevens stelt de groep dat ze meer dan één terabyte aan data van MaxLinear hebben gestolen. De chipfabrikant zegt dat het bezig is om de getroffen systemen te herstellen. Ondanks de kosten voor het forensisch onderzoek en herstel verwacht het bedrijf niet dat de aanval nadelige gevolgen voor de bedrijfskosten zal hebben. MaxLinear zegt daarnaast over een cyberverzekering te beschikken. Hoe de aanvallers konden binnendringen is niet bekendgemaakt. De Maze-ransomware wordt onder andere via e-mailbijlagen verspreid, maar de aanvallers die erachter zitten maken ook gebruik van het remote desktop protocol (RDP) en andere remote services. bron: security.nl