Captain Kirk

Voor de derde keer dit jaar heeft Adobe een beveiligingsupdate voor Flash Player uitgebracht die één kritieke kwetsbaarheid in de browserplug-in verhelpt. Eind dit jaar stopt Adobe de ondersteuning van Flash Player en zullen er geen updates meer verschijnen. De afgelopen jaren werden er grote aantallen kwetsbaarheden in Flash Player gevonden, waarvan verschillende bij zeroday- en andere aanvallen werden ingezet. In 2015 ging het nog om 329 kwetsbaarheden, gevolgd door 266 in 2016. Maandelijks kwam Adobe met patches om deze problemen te patchen. Dit jaar laat echter een ander verhaal zien. Vandaag is pas voor de derde keer dit jaar een beveiligingsupdate uitgebracht die net als de voorgaande twee patches slechts één kwetsbaarheid verhelpt. Net als de beveiligingslekken die in februari en juni werden gepatcht betreft het een kritieke kwetsbaarheid waardoor een aanvaller code met rechten van de ingelogde gebruiker had kunnen uitvoeren. Gebruikers krijgen het advies om "snel" te updaten naar Flash Player 32.0.0.445. Dit kan via de automatische updatefunctie of Adobe.com. Adobe zegt niet bekend te zijn met aanvallen die misbruik van de nu verholpen kwetsbaarheid maken. Daarnaast verwacht het softwarebedrijf niet dat er op korte termijn aanvallen zullen plaatsvinden. bron: security.nl

In de back-upsoftware van Acronis zijn verschillende kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot een systeem heeft systeemrechten kan krijgen, om zo het systeem volledig over te nemen. De beveiligingslekken zijn aanwezig in Acronis Cyber Backup 12.5, Acronis Cyber Protect 15 en Acronis True Image 2021. Het onderliggende probleem van de drie kwetsbaarheden wordt veroorzaakt doordat een "unprivileged" gebruiker de software een speciaal geprepareerd .cnf- of .dll-bestand kan laten uitvoeren. Aangezien de software van Acronis met systeemrechten draait worden ook de bestanden van de aanvaller met deze rechten uitgevoerd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 8,1 en een 8,7 beoordeeld. Acronis heeft True Image 2021 build 32010, Cyber Backup 12.5 build 16363 en Acronis Cyber Protect 15 build 24600 uitgebracht om de kwetsbaarheden te verhelpen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Onderzoekers hebben in een horloge voor kinderen een backdoor ontdekt waardoor remote surveillance mogelijk was, zoals het nemen van foto's op afstand, het achterhalen van de locatie en het afluisteren van de omgeving. De fabrikant stelt dat er onbedoeld testcode is achtergebleven en heeft een firmware-update uitgebracht om het probleem te verhelpen. Het gaat om een horloge gefabriceerd door het Chinese bedrijf Qihoo 360 dat door het Noorse Xplora onder de eigen naam op de Europese markt wordt aangeboden. Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren. Onderzoekers van securitybedrijf Mnemonic, die eerder voor de Noorse consumentenautoriteit onderzoek naar smartwatches voor kinderen deden, ontdekten de backdoor. Ze stellen dat de backdoor zelf geen kwetsbaarheid is, maar opzettelijk is aangebracht. Dat blijkt onder andere uit functienamen zoals remote snapshot, wiretap en send location. De backdoor was door middel van het versturen van sms-codes te activeren. Hiervoor moest een eventuele aanvaller wel de geheime encryptiesleutel van het horloge kennen, die tijdens de productie wordt aangemaakt. De onderzoekers stellen dat zowel Xplora als Qihoo 360 over de encryptiesleutel en het telefoonnummer beschikken, waardoor ze de backdoor zouden kunnen activeren. Daarnaast zou een aanvaller met fysieke toegang tot het horloge de sleutel kunnen achterhalen. "De mogelijkheid om via sms af te luisteren of in het geheim foto's te nemen is geen kwetsbaarheid in de software, een misconfiguratie of een misser in het gebruik van verouderde protocollen. Deze functionaliteit is met opzet ontwikkeld", zo luidt de conclusie van de onderzoekers. In een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd. De onderzoekers vonden een deel van de code die niet helemaal uit de firmware was verwijderd", aldus een verklaring van het bedrijf. Na te zijn ingelicht door de onderzoekers heeft Xplora een patch ontwikkeld die de backdoor verwijdert en vorige week onder gebruikers is uitgerold. bron: security.nl

De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd. Een verschil met veel andere privacy-extensies die trackers blokkeren is dat Privacy Badger niet met blocklists werkt of interactie van gebruikers vereist. De privacyplug-in kijkt namelijk naar het gedrag van trackers op websites. Zodra Privacy Badger ziet dat hetzelfde third-party domein de gebruiker op drie verschillende websites volgt besluit het die te blokkeren. Doordat Privacy Badger eerst moet leren welke trackers de gebruiker tegenkomt voordat het die kan blokkeren, dachten veel gebruikers dat de plug-in niet werkte. In het begin worden er namelijk geen trackers en advertenties geblokkeerd. Twee jaar geleden verscheen er een nieuwe versie die standaard allerlei trackers blokkeert, zodat gebruikers weten dat die werkt. Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken. Wanneer een gebruiker van Privacy Badger een website zou bezoeken had een tracker een script kunnen uitvoeren dat ervoor zorgde dat de extensie een unieke combinatie van domeinen zou blokkeren. Wanneer de tracker ook op andere websites actief was kon die de fingerprint van de gebruiker uitlezen en hem zo op deze andere websites volgen. Het was ook mogelijk voor een tracker om te achterhalen of de gebruiker bepaalde websites had bezocht, ook al draaide er geen code van de tracker op deze websites. De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken. bron: security.nl

De op privacy gerichte zoekmachine DuckDuckGo heeft een nieuwe feature gelanceerd die privacyvriendelijke routebeschrijvingen belooft. Voor het weergeven van routebeschrijvingen maakt de zoekmachine gebruik van Apple Maps. Daarbij wordt geen persoonlijke informatie verzameld of gedeeld, zo laat DuckDuckGo in de aankondiging van de nieuwe feature weten. Wanneer een gebruiker een locatie gerelateerde zoekopdracht uitvoert verstuurt de browser locatiegegevens naar de zoekmachine, die DuckDuckGo scheidt van andere persoonlijke informatie die de browser meestuurt, en na gebruik worden verwijderd. Om de locatie van de gebruiker te bepalen maakt DuckDuckGo van een Geo IP lookup. Hierbij wordt er geen persoonlijke identificeerbare informatie zoals ip-adressen met derde partijen gedeeld. Nadat de zoekmachine aan de hand van het ip-adres van de gebruiker zijn locatie heeft bepaald wordt het verwijderd. Op deze manier kan de zoekmachine naar eigen zeggen anonieme lokale resultaten en features bieden zonder het ip-adres van gebruikers op te slaan. Routebeschrijvingen waren een belangrijke feature die nog ontbrak, aldus de zoekmachine. bron: security.nl

Verschillende organisaties, waaronder Mozilla, de EFF en DuckDuckGo, zijn een nieuw initiatief gestart waardoor gebruikers aan websites kunnen laten weten dat hun AVG-rechten gerespecteerd moeten worden worden. Global Privacy Control (GPC) is een experimenteel nieuw protocol waarmee gebruikers via de browser een opt-outverzoek naar websites kunnen sturen dat ze niet willen worden gevolgd. GPC lijkt daarmee op Do Not Track (DNT), waarmee gebruikers ook kunnen aangeven dat ze op geen enkele wijze getrackt willen worden. Het is echter aan websites om hier gehoor te geven en DNT wordt door veel websites gewoon genegeerd. Door privacywetgeving zoals de AVG hebben internetgebruikers nu het recht om zich voor bepaalde vormen van tracking af te melden. GPC moet deze opt-outverzoeken versturen. Het gaat hier echter om een geheel nieuw voorstel voor een standaard en veel websites ondersteunen het dan ook nog niet. De initiatiefnemers hopen dat GPC uiteindelijk een bindend juridisch verzoek zal zijn voor alle bedrijven in landen met een toepasbare privacywetgeving. GPC wordt onder andere door browserextensie Privacy Badger, Brave-browser en de extensie en browser van DuckDuckGo ondersteund. bron: security.nl

Twee kritieke kwetsbaarheden in de software van NAS-fabrikant QNAP maken het mogelijk voor een aanvaller om NAS-systemen over te nemen, zo laat het bedrijf zelf weten. De beveiligingslekken zijn aanwezig in het Helpdesk-onderdeel van het QTS-besturingssysteem. Via de in QTS ingebouwde Helpdesk-app is het mogelijk om problemen met de NAS direct bij QNAP te rapporteren. Details over de kwetsbaarheden en hoe die precies zijn te misbruik zijn niet gegeven, behalve dat het om een kritiek probleem met de "toegangscontrole" gaat waardoor een aanvaller NAS-systemen kan overnemen. De beveiligingslekken zijn verholpen in Helpdesk versie 3.0.3 die op 17 augustus van dit jaar verscheen. QNAP maakt echter nu pas melding van de kwetsbaarheden en adviseert QNAP-gebruikers om naar de nieuwste versie van de Helpdesk-app te updaten. Eind september waarschuwde QNAP nog dat NAS-systemen het doelwit van ransomware waren, waarbij aanwezige bestanden op de systemen werden versleuteld. Hoe de ransomware NAS-systemen weet te infecteren liet QNAP niet weten, maar het bedrijf stelde dat er aanwijzingen waren gevonden dat de ransomware het op oudere versies van Photo Station heeft voorzien. bron: security.nl

De Duitse overheid is begonnen met het informeren van netwerkproviders over kwetsbare Exchange-servers in hun netwerken. De servers bevatten een kwetsbaarheid die wordt aangeduid als CVE-2020-0688. Via het beveiligingslek kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Nu acht maanden later blijken nog altijd duizenden servers niet te zijn geüpdatet, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Daar komt bij dat aanvallers actief misbruik van de kwetsbaarheid maken. Vorige maand maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security nog bekend dat overheidsinstanties vaak via vier kwetsbaarheden worden aangevallen, waaronder het Exchange-lek in kwestie. "Helaas blijven we zien dat gebruikers bestaande beveiligingsupdates maandenlang negeren en dus onnodige maar aanzienlijke risico's nemen. In dit geval is het met name ernstig dat de kwetsbaarheid vanaf het internet is te misbruiken en de benodigde aanvalscode online is verschenen en al is toegevoegd aan bekende aanvalstools", zegt BSI-voorzitter Arne Schönbohm. Volgens Schönbohm is het de hoogste tijd dat organisaties de beveiligingsupdates gaan installeren. Het Computer Emergency Response Team van de Duitse overheid, CERT-Bund, dat onder het BSI valt, is daarom begonnen met het informeren van Duitse netwerkproviders over de ip-adressen van kwetsbare Exchange-servers in hun netwerk. De provider kan vervolgens klanten waarschuwen dat ze hun Exchange-server moeten updaten. Deze week liet NBIP, de Nationale Beheersorganisatie Internetproviders, weten dat het een dergelijke rol in Nederland wil gaan vervullen. De organisatie heeft een systeem ontwikkeld dat meldingen van het Nationaal Cyber Security Centrum (NCSC) kan ontvangen en doorzetten naar de betreffende providers (pdf). Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders. bron: security.nl

Een kritiek beveiligingslek in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval volledige controle over het onderliggende systeem kan krijgen. Google heeft gisterenavond een nieuwe versie van de browser uitgebracht waarin het probleem is verholpen. De kwetsbaarheid is aanwezig in het onderdeel van Chrome dat wordt gebruikt voor het uitvoeren van betalingen. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een use after free te veroorzaken. Vervolgens is het mogelijk om willekeurige code met rechten van de gebruiker uit te voeren. De kwetsbaarheid, aangeduid als CVE-2020-15967, werd op 11 september door beveiligingsonderzoeker Man Yue Mo van GitHub aan Google gerapporteerd. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend. Naast de bovengenoemde kritieke kwetsbaarheid zijn in de nieuwe Chrome-versie 34 andere beveiligingslekken met een lagere impact verholpen. Het gaat onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Nieuwe features Chrome 86.0.4240.75 introduceert ook verschillende nieuwe features. Zo waarschuwt de browser voor onveilig verstuurde webformulieren. Het gaat dan om webformulieren op https-sites die via een onbeveiligde verbinding worden verstuurd. Dit is volgens Google een risico voor de security en privacy van gebruikers, aangezien een aanvaller op deze manier verstuurde formulieren kan onderscheppen, lezen en aanpassen. De nieuwe browser blokkeert ook standaard uitvoerbare bestanden, archiefbestanden en disk-images die op https-sites via http worden aangeboden. Tevens waarschuwt Chrome voor andere "mixed content" downloads die via http plaatsvinden, met als uitzondering downloads van audio-, video- en tekstbestanden. Tevens gaat Google in Chrome 86 experimenteren met de weergave van url's in de adresbalk. Een testgroep zal niet meer de volledige url te zien krijgen. In plaats daarvan wordt alleen het domein weergegeven. Gebruikers hebben nog wel de optie om de volledige url te bekijken. Ook start Google in deze versie van de browser met het uitschakelen van FTP. Bij één procent van de gebruikers wordt de FTP-ondersteuning uitgeschakeld. Gebruikers kunnen FTP nog wel zelf inschakelen. Met de lancering van Chrome 87 zal FTP standaard bij de helft van alle gebruikers worden uitgeschakeld. Uiteindelijk zal FTP-support in Chrome 88 volledig verdwijnen. De nieuwe Chrome-versie wordt bij de meeste gebruikers automatisch geïnstalleerd. Aangezien er ook een kritieke kwetsbaarheid is verholpen probeert Google alle gebruikers binnen dertig dagen naar de nieuwe versie te krijgen. bron: security.nl

De websites van browserontwikkelaar Brave zijn tegenwoordig ook toegankelijk via het Tor-netwerk, wat gebruikers meer privacy en security moet bieden. Brave is geen onbekende met het Tor-netwerk. In 2018 besloot het bedrijf om de browser van privétabs met Tor-integratie te voorzien. De privétabs met Tor-integratie laten het internetverkeer via het Tor-netwerk lopen. Op deze manier wordt het ip-adres van de gebruiker afgeschermd en kan de provider niet meer meekijken. Daarnaast beheert Brave verschillende servers die binnen het Tor-netwerk worden gebruikt. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. Brave wilde nog een stap verder gaan door de eigen websites op het Tor-netwerk te hosten. Hierdoor hoeven Tor-gebruikers het Tor-netwerk niet te verlaten, wat de veiligheid van gebruikers moet vergroten. Adressen op het Tor-netwerk eindigen op .onion en bestaan uit een string van zestien karakters. In het geval van Brave is er gekozen voor het domein brave5t5rjjg3s6k.onion. De browserontwikkelaar heeft de eigen onion-site niet alleen aangekondigd, maar ook in technische detail stap voor stap beschreven hoe het dit domein aanmaakte. bron: security.nl

Mozilla heeft nieuwe badges voor gecontroleerde Firefox-extensies geïntroduceerd. Dit moet het duidelijker voor gebruikers maken van welke extensies de code is geïnspecteerd. Firefox-extensies die via addons.mozilla.org (AMO) worden aangeboden werden altijd handmatig door Mozilla-medewerkers gecontroleerd. Aangezien dit een tijdsintensief proces is besloot de browserontwikkelaar hiermee te stoppen. In 2019 werd daarop het Recommended Extensions-programma gelanceerd. Het gaat hier om door Mozilla gecontroleerde extensies. Alleen bij extensies in dit programma vindt nog een handmatige check plaats. Het programma telt inmiddels 98 extensies, die allemaal het label "Recommended" hebben. Bij alle andere extensies laat Mozilla een waarschuwing zien dat de extensie geen controle van het Recommended Extensions-programma heeft ondergaan en gebruikers er zeker van moeten zijn dat ze de extensie vertrouwen voordat ze die installeren. Ontwikkelaars van deze extensies lieten onlangs weten dat ze zich zorgen maken dat de waarschuwing Firefox-gebruikers afschrikt om hun extensie te installeren. Mozilla werd dan ook gevraagd of het mogelijk is om weer een handmatige controle van extensies uit te voeren, waarbij sommige ontwikkelaars aangaven hiervoor te willen betalen. Om deze ontwikkelaars tegemoet te komen is Mozilla een betaald controleproces gestart. Ontwikkelaars kunnen uit twee betaalde opties kiezen. Bij de eerste optie zal de goedgekeurde extensie het label "Verified" krijgen. Vervolgens is het mogelijk om tegen een extra bedrag deze Verified extensies op de homepage van addons.mozilla.org te plaatsen. Naast de Verified en Recommend Firefox-extensies biedt Mozilla ook eigen extensies aan. Daarvoor is nu ook een nieuwe badge ontwikkeld met de naam "By Firefox". Gebruikers kunnen op addons.mozilla.org specifiek op de verschillende badges zoeken. Zo zijn er op het moment van schrijven vier extensies van Mozilla zelf en negen extensies met het label Verified. Het totaal aantal gecontroleerde Firefox-extensies komt daarmee uit op 111. bron: security.nl

Het afgelopen jaar wisten criminelen door middel van sim-swapping miljoenen euro's te stelen en deze vorm van cybercrime vormt dan ook een serieus risico, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA). Daarin maakt de opsporingsdienst ook de zorgen kenbaar die het heeft over de impact van encryptie op onderzoeken, bijvoorbeeld in het geval van DNS over HTTPS. Bij sim-swapping belt een oplichter de provider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Zodoende kan de oplichter toegang tot allerlei accounts van het slachtoffer krijgen en bijvoorbeeld sms-codes ontvangen die de bank voor het uitvoeren van financiële transacties verstuurt. Begin dit jaar wisten de Spaanse autoriteiten in samenwerking met Europol een bende op te rollen die ervan wordt verdacht via sim-swapping 3,5 miljoen euro te hebben gestolen. In 2019 was Europol nog betrokken bij het oprollen van een bende die op een zelfde manier meer dan een half miljoen euro van Oostenrijkse bankrekeningen wist te stelen. Bij deze aanvallen hadden de criminelen, bijvoorbeeld via malware, toegang tot de inloggegevens voor internetbankieren gekregen. . Zodra ze door middel van sim-swapping de controle over het telefoonnummer van hun slachtoffers hadden gekregen, logden ze in op een mobiele bank-app of banksite en voerden frauduleuze transacties uit. Zo maakt sim-swapping het mogelijk om de aanwezige tweefactorauthenticatie die banken toepassen te omzeilen. Volgens Europol is sim-swapping een belangrijke nieuwe trend in het IOCTA en zagen Europese opsporingsdiensten de afgelopen twaalf maanden een toename van deze methode. Encryptie Een ander onderwerp dat in het rapport meerdere keren wordt benoemd is de impact van encryptie op het onderzoekswerk van opsporingsdiensten. Zo stelt Europol dat het gebruik van versleutelde chat-apps, en voorstellen om dit uit te breiden, een risico voor kindermisbruik vormt en het lastig voor opsporingsdiensten maakt om online kindermisbruik te detecteren. Ook het gebruik van versleutelde e-maildiensten zoals ProtonMail, Tutanota en ***.li worden genoemd. "Het gebruik van bepaalde technologieën heeft het lastiger voor opsporingsdiensten gemaakt om bij onderzoeken toegang tot gegevens te krijgen. Het wijdverbreide gebruik van encryptie is één van de meest prominente voorbeelden", zo laat het rapport weten. "Van een beveiligingsstandpunt biedt het vele voordelen, maar het is ook een ontwikkeling waar criminelen dankbaar gebruik van maken." Europol merkt op dat encryptie in steeds meer diensten en tools wordt verwerkt. Eén voorbeeld dat de dienst noemt is DNS over HTTPS (DoH). DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Het kan zijn dat internetgebruikers om van DoH gebruik te maken een andere DNS-provider kiezen. Doordat de DNS-verzoeken zijn versleuteld maakt dit het lastiger voor opsporingsdiensten om hier toegang toe te krijgen, laat Europol weten. Worden DNS-verzoeken op dit moment vaak door de lokale internetprovider van de betreffende gebruiker afgehandeld, DoH kan ervoor zorgen dat straks een handvol providers alle verzoeken ontvangt. "Als een gevolg hiervan zullen bij de meeste DoH-gerelateerde onderzoeken internationale juridische verzoeken komen kijken. De DoH-provider zal waarschijnlijk over een privacybeleid beschikken, wat het nog lastiger voor opsporingsdiensten maakt om de noodzakelijke informatie voor het onderzoek te verkrijgen", gaat het rapport verder. Europol-directeur Catherine De Bolle laat echter ook weten dat Europol voorop loopt als het om innovatie gaat en de dienst verschillende oplossingen biedt met betrekking tot encryptie. bron: security.nl

Onderzoekers hebben verschillende malafide npm-packages ontdekt die gegevens van gebruikers op Github publiceerden, zo blijkt uit een advisory van het npm Security Team en een analyse van securitybedrijf Sonatype. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. De malafide packages, met de namen electorn, lodashs, loadyaml en loadyml, waren bij elkaar meer dan 550 keer gedownload. Eenmaal geïnstalleerd verzamelden de packages het ip-adres, ip-gebaseerde locatiegegevens, naam van de home directory en lokale gebruikersnaam. Deze informatie werd in een reactie op GitHub geplaatst. De ontwikkelaar besloot twee van de malafide packages kort na de publicatie in augustus weer te verwijderen. De twee resterende packages, loadyaml en electorn, een bewust verkeerde spelling van het populaire Electron-framework, werden vorige week door het npm Security Team uit de npm registry verwijderd. bron: security.nl

Onderzoekers hebben bij twee organisaties UEFI-images ontdekt die met malware besmet bleken te zijn en een backdoor aan het systeem toevoegden. Doordat de malware in de UEFI-firmware verborgen zat kon de backdoor een herinstallatie van het systeem overleven, zo meldt antivirusbedrijf Kaspersky. De virusbestrijder ontdekte de malware bij twee niet nader genoemde organisaties. De malware was gebaseerd op een gelekte UEFI-bootkit van het Italiaanse bedrijf Hacking Team. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Volgens de onderzoekers was deze malware tot nu toe nooit in het wild waargenomen. Hoe de systemen met de UEFI-bootkit besmet raakten is onbekend. Eén mogelijke optie is dat de aanvallers fysieke toegang tot de systemen van de twee organisaties hadden. In een uitleg van Hacking Team over de UEFI-bootkit wordt een infectiemethode beschreven die gebruikmaakt van een usb-stick. Het systeem moet vanaf een usb-stick worden gestart, die vervolgens de malafide firmware via een speciale updatetool installeert. Eenmaal actief zorgde de malware in de UEFI-firmware ervoor dat het bestand IntelUpdate.exe in de Startup-map van het systeem wordt geplaatst. Het gaat hier om een backdoor die automatisch bij het starten van Windows wordt geladen. Wanneer de gebruiker of een virusscanner dit bestand verwijdert zorgt de UEFI-malware voor een nieuwe installatie van het bestand. De groep die voor de aanvallen verantwoordelijk wordt gehouden zou van 2017 tot en met 2019 "diplomatieke entiteiten" en NGO's in Afrika, Azië en Europa hebben aangevallen. Bij twee van deze organisaties werd de UEFI-bootkit geïnstalleerd. De organisaties zouden allemaal een link met Noord-Korea hebben, zo stellen de onderzoekers. Daarnaast bleek dat de aanvallers Noord Korea gerelateerde informatie van de besmette systemen stalen. bron: security.nl

Cisco heeft beveiligingsupdates voor de IOS XR-software uitgebracht waarmee twee kwetsbaarheden worden verholpen die al zeker een maand het doelwit van aanvallen zijn. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers. De kwetsbaarheden (CVE-2020-3566 en CVE-2020-3569) bevinden zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen. Op 29 augustus kwam Cisco met een waarschuwing dat er actief misbruik werd gemaakt van de kwetsbaarheden voor het uitvoeren van denial of service-aanvallen. Er werden vervolgens verschillende mitigaties genoemd om het probleem te verhelpen. Nu een maand later zijn er beveiligingsupdates voor de kwetsbaarheden verschenen. bron: security.nl

Zo'n 140.000 servers die Exchange 2010 draaien zullen over twee weken geen beveiligingsupdates meer ontvangen. Microsoft stopt op 13 oktober namelijk dan de support van de software. In maart van dit jaar werd Exchange 2010 nog op 166.000 servers aangetroffen, een aantal dat nu naar 140.000 is gedaald, zo blijkt uit onderzoek van securitybedrijf Rapid7. Microsoft heeft de afgelopen jaren verschillende service packs voor Exchange 2010 uitgebracht. Om nog beveiligingsupdates te ontvangen moeten servers over Exchange 2010 Service Pack 3 beschikken, een upgrade die in 2013 uitkwam. Rapid7 ontdekte dat van de 140.000 servers er echter 40.000 op Exchange Service Pack 1 of 2 draaien en dus al jarenlang geen beveiligingsupdates meer ontvangen. Bijna 54.000 Exchange 2010-servers bleken al zes jaar lang niet meer te zijn bijgewerkt met updates. Zo draaien er bijna 10.000 servers nog de eerste versie van Service Pack 3 die op 12 februari 2013 uitkwam. Verder telde Rapid7 ruim 16.000 Exchange 2007-servers die vanaf het internet toegankelijk zijn en waarvan de ondersteuning op 11 april 2017 eindigde. Ook bij andere Exchange-servers is het mis. Zo zijn er ruim 102.000 Exchange 2013-servers, waarvan er 35.000 de laatste update draaien. Tienduizenden van deze servers zijn in jaren niet geüpdatet. Op 11 april 2023 stopt Microsoft de ondersteuning van Exchange 2013. Bij Exchange 2016 en 2019 is de situatie niet anders en blijkt een meerderheid niet de laatste update te draaien. Organisaties die nog met Exchange 2010 werken wordt aangeraden om met spoed hun omgeving naar een wel ondersteunde versie te upgraden. In het geval van Exchange 2013 krijgen organisaties het advies om een migratieplan klaar te hebben liggen, zodat er tijdig kan worden overgestapt. Daarnaast doen organisaties er verstandig aan om de laatste Exchange-updates te installeren. bron: security.nl

Veel mensen werken nog altijd thuis en voor deze groep is het belangrijk dat ze hun persoonlijke computer en zakelijke computer gescheiden houden, zo stelt de Belgische politie. Zo wijst de Federale Politie naar een onderzoek waaruit blijkt dat thuiswerkers wekelijks tientallen risicovolle en frauduleuze websites bezoeken, die gevolgen kunnen hebben voor de veiligheid van hun bedrijf. "De frauduleuze sites hadden kunnen worden geblokkeerd als de werknemer vanop zijn computer op het werk werkte. De beveiliging is bij je thuis echter niet dezelfde", zo stelt de Belgische politie. Thuiswerkers krijgen dan ook het advies geen privézaken op de werkcomputer te doen. "Als je thuiswerkt en gebruikmaakt van een door je werkgever ter beschikking gestelde computer, beperk dan het gebruik ervan tot deze beroepsactiviteit", zegt commissaris Olivier Bogaert van de Federal Computer Crime Unit. bron: security.nl

Na Microsoft en de Amerikaanse overheid heeft ook Cisco een waarschuwing afgegeven voor actief misbruik van het "Zerologon-lek" in Windows Server. Volgens het netwerkbedrijf is er een toename van het aantal exploitpogingen zichtbaar. Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen. Microsoft bracht op 11 augustus een beveiligingsupdate uit. Vorige week waarschuwde het techbedrijf dat het aanvallen had waargenomen waarbij het beveiligingslek, dat de naam Zerologon heeft gekregen, actief werd misbruikt. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen. Het Amerikaanse ministerie van Homeland Security kwam vanwege de impact met een aparte "Emergency Directive" waarin federale overheidsinstanties werden verplicht om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Een aantal dagen later meldde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruik van de kwetsbaarheid en riep organisaties op om alle domeincontrollers meteen te patchen. Een advies dat door de Britse overheid werd overgenomen (pdf). Nu meldt Cisco dat het een stijging van het aantal exploitpogingen ziet. Securitybedrijf Pen Test Partners laat daarbij weten dat er ook een risico bestaat dat ontevreden eigen personeel van organisaties, wanneer er een eenvoudige 'point and click' exploit verschijnt, de kwetsbaarheid kan gaan misbruiken. bron: security.nl

Een koffiezetapparaat dat niet meer werkt omdat het met ransomware is geïnfecteerd, onderzoekers van antivirusbedrijf Avast hebben laten zien dat dit geen sciencefiction is. De aanval is mogelijk door de onveilige updateprocedure van het koffiezetapparaat van fabrikant Smarter. Het koffiezetapparaat is naast de normale manier ook via een app te bedienen. Wanneer de machine voor het eerst wordt aangezet creëert het een eigen wifi-netwerk waar de gebruiker via de bijbehorende app verbinding mee kan maken. Vervolgens kan de gebruiker het koffiezetapparaat zo instellen dat het verbinding maakt met zijn wifi-netwerk. Onderzoekers van Avast ontdekten dat de firmware van het koffiezetapparaat in de app zelf aanwezig is. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat. Die maakt namelijk geen gebruik van encryptie of digitale handtekeningen. Daarnaast schakelt het koffiezetapparaat het eigen onbeveiligde wifi-netwerk voor de updateprocedure in. "Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde", aldus de onderzoekers. Een aanvaller zou zo een kwaadaardige firmware-versie kunnen maken om die vervolgens naar het koffiezetapparaat te sturen. Daarbij zijn er verschillende aanvalsvectoren, bijvoorbeeld wanneer de machine nog niet is ingesteld en zijn eigen wifi-netwerk open heeft staan. Een andere aanvalsvector is via het wifi-netwerk, bijvoorbeeld via een op afstand gecompromitteerde router. Een derde optie is het gebruik van een malafide app die zich als de machine-app voordoet. Om te demonstreren dat een aanval mogelijk is ontwikkelden de onderzoekers een malafide firmware-versie die de machine onbruikbaar maakt door continu heet water en de koffiemolen te laten lopen. Daarnaast wordt de warmhouder ingeschakeld en verschijnt er een melding op de display die om losgeld vraagt. Het enige dat de gebruiker op dat moment kan doen is het uitschakelen van de machine, zo merken de onderzoekers op. De fabrikant laat op de eigen website weten dat deze versie van het koffiezetapparaat niet meer wordt ondersteund. Gebruikers moeten dan ook geen beveiligingsupdate verwachten, stelt Avast. Via Wigle vonden de onderzoekers 570 koffiezetapparaten van Smarter die nog niet zijn ingesteld, wat inhoudt dat iedereen in de buurt van deze machines die via het open wifi-netwerk van het apparaat zouden kunnen aanvallen. bron: security.nl

NAS-fabrikant QNAP heeft een waarschuwing afgegeven voor de AgeLocker-ransomware die bestanden op NAS-systemen versleutelt. Hoe de ransomware NAS-systemen weet te infecteren laat QNAP niet weten, maar het bedrijf stelt dat er aanwijzingen zijn gevonden dat AgeLocker het op oudere versies van Photo Station heeft voorzien. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. In mei werden er details over verschillende kwetsbaarheden in de QNAP-software gepubliceerd. Via de beveiligingslekken kan een aanvaller vanaf het internet en zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. QNAP had eind vorig jaar al beveiligingsupdates voor de kwetsbaarheden in Photo Station uitgebracht, die op een schaal van 1 tot en met 10 wat betreft de ernst allemaal met een 9,8 zijn beoordeeld. Aangezien de door AgeLocker gebruikte aanvalsvector nog niet bekend is adviseert QNAP in ieder geval om de laatste versie van het QTS-besturingssysteem en geïnstalleerde NAS-applicaties te installeren. "We zijn bezig met een uitgebreid onderzoek en zullen zo snel als mogelijk meer informatie vrijgeven" aldus de NAS-fabrikant. NAS-systemen van QNAP zijn geregeld het doelwit van malware. In juli waarschuwden het Britse National Cyber Security Centre (NCSC) en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat er wereldwijd 62.000 besmette QNAP NAS-systemen waren ontdekt. bron: security.nl

Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie. Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken. Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA. Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en vervolgens het dataverkeer onderscheppen. Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen. bron: security.nl

Cisco heeft een reeks kritieke patches uitgebracht voor Cisco IOS en IOS XE, de besturingssystemen waarop veel hardware van het bedrijf draait. Het gaat om een bundeling van 25 beveiligingsadviezen die gezamenlijk 34 kwetsbaarheden oplossen. Alle 25 beveiligingsadviezen hebben het label "hoog risico" gekregen. Uit de toelichting van Cisco blijkt dat kwaadwillenden dankzij meerdere fouten in het web management framework van IOS en IOS XE in staat zijn om beheerdersrechten op Cisco-apparatuur te verkrijgen.Verder blijken de industriële Cisco 800 Serie routers en de Cisco 1000 Connected Grid routers-serie overgenomen te kunnen worden door softwarefouten. Ook zijn er patches uitgebracht voor de Catalyst switches uit de 9000-serie. Bovendien wordt er nog een aantal DoS-kwetsbaarheden in de besturingssystemen opgelost. Organisaties die willen weten of hun Cisco-apparatuur kwetsbaar is voor een van de fouten, wordt aangeraden om de Cisco Software Checker te gebruiken. Cisco brengt naar eigen zeggen op verzoek van klanten twee keer per jaar een beveiligingsupdate voor IOS en IOS XE uit. Dit gebeurt elk jaar in maart en september. bron: security.nl

Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen. De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto's naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly . Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media. Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren. Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt. bron: security.nl

Op de server werden zoekopdrachten opgeslagen die met de mobiele Bing app zijn uitgevoerd. Behalve de zoekopdrachten van gebruikers uit ongeveer 70 landen, werden ook apparaatgegevens en gps-coördinaten opgeslagen. De server was beveiligd met een wachtwoord maar vanaf de eerste week van september was die beveiliging eraf, aldus Wizcase. Op 12 september ontdekte Wizcase de server waarna op 13 september Microsoft werd ingelicht over de server. Enkele dagen later nam Microsoft maatregelen. Volgens de onderzoekers werd tussen 10 en 12 september een ‘Meow’-aanval uitgevoerd waarbij bijna de hele database werd verwijderd en alleen het woord ‘meow’ achterblijft. Op 14 september werd een tweede Meow-aanval uitgevoerd. Wizcase verzamelde uiteindelijk ongeveer 100 miljoen datarecords en analyseerde de zoekopdrachten, waaronder ook zoekopdrachten naar schietpartijen en kinderporno. Een woordvoerder van Microsoft bevestigt tegenover The Register dat de misconfiguratie is hersteld en dat ‘een kleine hoeveelheid zoekopdrachten is uitgelekt’. “Na analyse hebben we vastgesteld dat de uitgelekte gegevens beperkt waren en niet tot personen herleidbaar." bron: security.nl

Ongeveer een week na de bekendmaking van Zerologon, de ernstige kwetsbaarheid in Windows Server welke hackers toegang kan geven tot interne netwerken, zijn hackers druk bezig om misbruik te maken van deze kwetsbaarheid. Dat constateert het Microsoft Security Intelligence team. “We hebben aanvallen waargenomen waarbij vrij verkrijgbare exploits worden ingezet”, aldus Microsoft op Twitter. Zerologon is een kwetsbaarheid die ruim een week geleden door het Nederlandse security-bedrijf Secura werd geopenbaard. Het geeft aanvallers de mogelijkheid om domeinbeheerder te worden zonder over inloggegevens te beschikken door een authenticatietoken voor de Netlogon-functie te vervalsen. Op 11 augustus publiceerde Microsoft een patch voor deze kwetsbaarheid. Omdat misbruik zo eenvoudig is, wordt het snel patchen van servers sterk aangeraden. Ook de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde vorige week nog voor het risico van uitbuiting van Zerologon. “Ongepatchte servers zijn aantrekkelijk voor hackers”, waarschuwde de organisatie. bron: security.nl