Captain Kirk

De populaire adblocker Adblock Plus heeft een update uitgebracht vanwege een beveiligingslek waardoor malafide filterlijsten kwaadaardige code hadden kunnen uitvoeren op websites die gebruikers bezoeken. Meerdere adblockers maken gebruik van filterlijsten voor het blokkeren van advertenties. Sommige filterlijsten maken daarbij gebruik van een zogeheten rewrite-filteroptie om trackingdata te verwijderen en advertenties op websites te blokkeren. In bepaalde gevallen is het mogelijk voor filterlijsten die de rewrite-optie toepassen om kwaadaardige scripts op bezochte websites uit te voeren. Onderzoeker Armin Sebastian die het probleem ontdekte stelde dat Adblock Plus, AdBlock en uBlock kwetsbaar zijn. In een reactie verklaarde Eyeo, het bedrijf achter Adblock Plus, dat zowel filterlijsten als hun auteurs worden gecontroleerd, waardoor de kans op misbruik onwaarschijnlijk zou zijn. Om misbruik uit te sluiten is er echter een nieuwe versie verschenen. Die is te downloaden via de browsers add-on store of adblockplus.org. Sebastian liet eerder al weten dat het probleem niet speelde bij uBlock Origin. bron: security.nl

Mozilla heeft een nieuwe maatregel aan een testversie van Firefox toegevoegd om pushnotificaties van malafide websites aan te pakken. Websites kunnen gebruikers toestemming vragen om pushnotificaties te tonen. Deze notificaties kunnen ook worden getoond als de gebruiker de website heeft verlaten. Onlangs liet Mozilla weten dat websites elke maand miljoenen keren aan Firefoxgebruikers toestemming vragen om pushnotificaties te versturen. Minder dan 3 procent van deze verzoeken wordt echter geaccepteerd. De browserontwikkelaar kondigde daarom maatregelen aan om deze "permission notification spam" tegen te gaan. Een van deze maatregelen is nu aan de nieuwste versie van Firefox Nightly toegevoegd, een testversie van de browser. Sommige malafide websites lieten gebruikers in het verleden een notificatieverzoek zien. Zodra de gebruiker dit weigerde verscheen er een nieuw notificatieverzoek, alleen vanaf een ander subdomein. Gebruikers werden op deze manier letterlijk met verzoeken gespamd totdat ze het versturen van pushnotificaties toestonden of de website verlieten, aldus Mozilla. Om deze vorm van spam te blokkeren geldt de beslissing van een gebruiker om een pushnotificatie nu voor het gehele domein. Verzoeken die van een subdomein afkomstig zijn worden zo ook geblokkeerd als de gebruiker tegen het eerst verzoek van de website nee heeft gezegd. De maatregel is nu aan Firefox Nightly 68 toegevoegd en zal later in de definitieve versie van de browser verschijnen. bron: security.nl

Om gebruikers tegen man-in-the-middle-aanvallen te beschermen gaat Google vanaf juni alle inlogpogingen blokkeren die afkomstig zijn van zogeheten "embedded browser frameworks". Dit zijn frameworks waarmee een browser-engine aan een applicatie kan worden toegevoegd. Een bekend voorbeeld is het Steam-gamingplatform, dat een aangepaste versie van het Chromium Embedded Framework (CEF) gebruikt. Op deze manier biedt Steam aan gebruikers de mogelijkheid om vanuit de applicatie te browsen. Als gebruikers via dergelijke browsers op hun Google-account inloggen is het volgens de internetgigant lastig om man-in-the-middle-aanvallen te detecteren. "Omdat we op deze platformen een legitieme inlogpoging niet van een man-in-the-middle-aanval kunnen onderscheiden, zullen we vanaf juni logins van embedded browser frameworks blokkeren", zegt Jonathan Skelker van Google. Applicaties die van dergelijke frameworks gebruikmaken wordt aangeraden om browsergebaseerde OAuth-authenticatie toe te passen. Zo kunnen gebruikers de volledige url zien van de pagina waar ze inloggen. bron: security.nl

Onderzoekers hebben malware ontdekt die Google Chrome bij slachtoffers installeert, mochten ze de browser nog niet gebruiken, om zo allerlei manipulatieve acties op YouTube uit te voeren. De malware wordt Scranos genoemd en wordt verspreidt via illegale software of besmette legitieme programma's. Eenmaal actief op een systeem kan Scranos allerlei activiteiten uitvoeren, waaronder het stelen van wachtwoorden, cookies en surfgeschiedenis uit browsers, het versturen van phishingberichten naar Facebookvrienden van het slachtoffer, het installeren van Chrome-/Opera-extensies voor het injecteren van JavaScript-adware en het plegen van verschillende frauduleuze handelingen op YouTube. Scranos kan bijvoorbeeld een adwarebestand installeren dat YouTube-pagina's manipuleert, aldus onderzoekers van antivirusbedrijf Bitdefender. Hiervoor maakt de malware gebruik van de debugging-mode van Google Chrome. Wanneer het slachtoffer niet over Chrome beschikt wordt de browser eerst geïnstalleerd. Vervolgens verbergt de malware het Chrome-venster en laadt bijvoorbeeld YouTube-pagina's, abonneert slachtoffers op een YouTube-videokanaal en klikt op YouTube-advertenties. Eén YouTube-kanaal wist op deze manier 3100 nieuwe abonnees op één dag te krijgen. De meeste infecties zijn in India, Roemenië, Brazilië, Frankrijk, Italië en Indonesië waargenomen. "Ondanks de geraffineerdheid lijkt dat deze aanval nog in ontwikkeling is, waarbij veel onderdelen zich nog aan het begin van de ontwikkeling bevinden", zo laten de onderzoekers weten (pdf). Zo testen de aanvallers onder bestaande slachtoffers nieuwe onderdelen en voeren verbeteringen aan oude onderdelen door. bron: security.nl

Antivirusbedrijf Avast heeft een nieuwe versie van de eigen browser uitgebracht die onder andere over webcambeveiliging, anti-fingerprinting en een "Hack Check" beschikt. De Avast Secure Browser is een op Chromium-gebaseerde browser die zich richt op security en privacy. Zo wordt standaard de adblocker Adblock meegeleverd en zijn andere privacymaatregelen aanwezig. Ook beschikt de browser over een "Bank Mode" die moet voorkomen dat de invoer van gebruikers, zoals wachtwoorden of creditcardnummers, door cybercriminelen kunnen worden gezien. De nieuwste versie van de browser heeft de naam "Aspen" gekregen en bevat drie nieuwe features. De eerste feature zorgt voor een generieke browser-fingerprint. Browsers versturen bij het bezoeken van een website allerlei informatie, zoals scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. Bij veel internetgebruikers is deze informatie uniek, waardoor ze overal op het web te volgen zijn. De Avast-browser genereert nu generieke browser-informatie, wat het lastiger voor bedrijven moet maken om gebruikers aan de hand van hun fingerprint te volgen. De Webcam Guard-optie laat gebruikers instellen welke websites toegang tot de webcam krijgen en voor hoelang. Via de "Hack Check" worden gebruikers gewaarschuwd als hun gegevens in bekende datalekken voorkomen, vergelijkbaar met de zoekmachine Have I Been Pwned. Gebruikers van de browser worden automatisch naar de nieuwste versie geüpdatet. bron: security.nl

Securitybedrijf FireEye heeft een opensourcetool gelanceerd waarmee verdachte Flash-bestanden zijn te analyseren. Hoewel Adobe volgend jaar de ondersteuning van Flash stopzet maken aanvallers er nog steeds gebruik van. Daarnaast is het waarschijnlijk dat de technologie ook na het stopzetten van de support nog lange tijd binnen organisaties aanwezig zal zijn. Sinds 2005 zijn er meer dan duizend beveiligingslekken in Adobe Flash Player ontdekt die via kwaadaardige Flash-bestanden zijn te misbruiken. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid zijn bijna 900 van de beveiligingslekken in Flash Player met een 9 of hoger beoordeeld. Hierdoor kunnen aanvallers in het ergste geval volledige controle over systemen krijgen. "Een algemene misvatting is dat Flash al iets van het verleden is. Het verleden leert ons dat legacy technologieën lange tijd blijven rondhangen. Als organisaties Flash niet op tijd uitfaseren kan de beveiligingsdreiging door een gebrek aan beveiligingsupdates na de einddatum van Flash toenemen", aldus Carlos Garcia Prado van FireEye. Om verdachte Flash-bestanden op efficiënte wijze te analyseren ontwikkelde het securitybedrijf Flashmingo, een framework dat de analyse van SWF-bestanden automatiseert. Het is binnen verschillende analyseworkflows als losse applicatie te integreren of als library te gebruiken. Prado merkt op dat Flash waarschijnlijk nog lange tijd als infectievector zal worden gebruikt. Via Flashmingo kunnen onderzoekers snel verdachte Flash-bestanden doorlichten, zonder veel tijd aan omgevingen en bestandsformaten kwijt te zijn. Flashmingo is te vinden op GitHub. bron: security.nl

Meerdere adblockers maken gebruik van filterlijsten voor het blokkeren van advertenties, maar auteurs van deze lijsten kunnen door een kwetsbaarheid in bepaalde gevallen kwaadaardige code uitvoeren op de websites die gebruikers bezoeken. Daarvoor waarschuwt beveiligingsonderzoeker Armin Sebastian. Het probleem wordt veroorzaakt door de rewrite-filteroptie. Sommige adblockers maken hiervan gebruik om trackingdata te verwijderen en advertenties te blokkeren. In bepaalde gevallen is het mogelijk voor filterlijsten die de rewrite-optie toepassen om kwaadaardige scripts op bezochte websites uit te voeren. Adblock Plus, AdBlock en uBlock zijn kwetsbaar, aldus Sebastian. De ontwikkelaars van Adblock Plus achten het onwaarschijnlijk dat filterlijstauteurs misbruik van de kwetsbaarheid zullen maken. Alle auteurs worden namelijk gecontroleerd, alsmede de filterlijsten zelf, zo stelt Laura Dornheim van Eyeo, het bedrijf achter de adblocker. Tevens zouden er nog geen aanwijzingen zijn dat er misbruik van de mogelijkheid is gemaakt. "Toch zijn er nog steeds websites waar deze optie is te gebruiken om kwaadaardige software uit te voeren en we weten dat het onze verantwoordelijkheid is om onze gebruikers tegen dergelijke aanvallen te beschermen. We werken aan een oplossing voor het probleem", merkt Dornheim op. De kwetsbare adblockers hebben bij elkaar meer dan 100 miljoen gebruikers. Die kunnen wachten op een update, of overstappen op de adblocker uBlock Origin, die niet kwetsbaar is, aldus Sebastian. bron: security.nl

Het videoplatform ViewLift, waar verschillende sportnetwerken en andere uitgevers gebruik van maken, heeft eind vorig jaar miljoenen records van gebruikers gelekt. De gegevens waren via een onbeveiligde Elasticsearch-database zonder wachtwoord voor iedereen op internet toegankelijk. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. De onbeveiligde database was in november en december afgelopen jaar online te vinden. ViewLift is een videoplatform voor uitgevers waarmee ze hun content kunnen verspreiden en verzilveren. Hiervoor ontwikkelt ViewLift applicaties die de vormgeving van de betreffende uitgever krijgen. Gebruikers kunnen de apps installeren en zo de content van de betreffende uitgever bekijken. Arena Football, Lacrosse Sports Network, Snagfilms en Monumental Sports Network zijn enkele van de klanten van ViewLift. Beveiligingsonderzoeker Bob Diachenko ontdekte de database van Viewlift, die meer dan 5 miljoen records bevatte. De meeste records bestonden uit registratiegegevens van gebruikers, waaronder land, e-mailadres, naam, links naar socialmediaprofielfoto's en ip-adressen. Diachenko waarschuwde Viewlift, maar ondanks herhaaldelijke pogingen kwam er geen reactie van het bedrijf, aldus de onderzoeker. Een aantal weken later was de database echter offline gehaald. bron: security.nl

Honderden WordPress-sites zijn kwetsbaar door een lek in een plug-in genaamd CodeArt - Google MP3 Player, waardoor aanvallers informatie kunnen achterhalen om sites volledig mee over te nemen. CodeArt is een plug-in om muziek aan een blog toe te voegen en wordt al jaren niet meer ondersteund. Via het beveiligingslek is het mogelijk om het bestand wp-config.php uit te lezen, dat gevoelige informatie bevat zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "secret keys" waarmee het mogelijk is om authenticatiecookies te vervalsen. Alleen al toegang tot de WordPress-database is voldoende om de website over te nemen. Wanneer het wachtwoord van de database hetzelfde is als dat van de beheerder, kan de site ook via de front-end worden gecompromitteerd, zegt onderzoeker Troy Mursch van Bad Packets Report. Al 4 jaar geleden stelden gebruikers dat de plug-in een kwetsbaarheid bevat die aanvallers gebruikten om configuratiebestanden uit te lezen. Daarop stelde de ontwikkelaar mogelijk het beveiligingslek te zullen dichten. Volgens de WordPress repository verscheen de laatste update voor CodeArt echter zes jaar geleden. De plug-in is inmiddels ook niet meer via de WordPress-site te downloaden. Mursch ontdekte dat nog bijna duizend WordPress-sites de plug-in gebruiken. Zo'n 400 zijn daarvan kwetsbaar voor aanvallen. De onderzoeker merkt op dat aanvallers actief naar kwetsbare websites zoeken. Webmasters en beheerders krijgen dan ook het advies de plug-in direct te verwijderen. bron: security.nl

De Taiwanese computerfabrikant Asus gaat verschillende certificaten waarmee het software signeert intrekken wat gevolgen voor gebruikers kan hebben. Een aanleiding voor de maatregel wordt niet gegeven, maar het lijkt verband te houden met de inbraak bij Asus waar aanvallers toegang kregen tot updateservers en certificaten van het bedrijf, en vervolgens malafide gesigneerde updates naar gebruikers verstuurden. Asus laat weten dat het een nieuwe gelaagde certificaatstructuur gaat invoeren, die de beveiligingsinfrastructuur van het bestaande software-ecosysteem upgradet. Vanwege de upgrade zullen verschillende certificaten waarmee Asus op dit moment software signeert, zodat gebruikers kunnen zien dat die niet is aangepast en van de computerfabrikant afkomstig is, worden ingetrokken. Deze intrekking kan bij meerdere Asus-tools voor een Windows-dialoogvenster zorgen of voorkomen dat de software normaal werkt als gebruikers die willen installeren of starten. De computerfabrikant beschrijft vier scenario's waar gebruikers mee te maken kunnen krijgen. Verschillende Asus-programma's, waaronder Aura, AI Suite III en GPU Tweak II, kunnen stoppen met werken als de certificaten zijn ingetrokken. Gebruikers moeten in dit geval een nieuwe versie installeren. Een ander probleem doet zich voor als gebruikers via een Asus-cd die met systemen en moederborden wordt meegeleverd drivers en andere software willen installeren. Gebruikers kunnen een waarschuwing te zien krijgen waardoor ze de installatie niet kunnen uitvoeren. Verder kunnen gebruikers met bepaalde Asus-moederborden bij de eerste keer dat ze hun systeem starten tegen problemen aanlopen. Het gaat dan om moederborden met de Armoury Crate of Q-installer. Na de eerste keer booten kunnen deze gebruikers een waarschuwing te zien krijgen waardoor ze Asus Armoury Crate niet kunnen installeren en starten. Via deze software kunnen gebruikers de hardware van hun systeem configureren, zoals de snelheid van de fans, processor en geheugen. Deze groep gebruikers moet de BIOS van hun systeem updaten. bron: security.nl

Aanvallers hebben maandenlang toegang tot de e-mails van niet-zakelijke Outlook.com-, Hotmail- en MSN-gebruikers gekregen, waaronder de inhoud van berichten. Dit weekend stuurde Microsoft een e-mail naar een onbekend aantal gebruikers dat de inloggegevens van een Microsoft-supportmedewerker waren gecompromitteerd, waardoor aanvallers toegang tot informatie van het e-mailaccount hadden gekregen. Het ging onder andere om e-mailadres, foldernamen, onderwerpen van e-mails en de namen van andere e-mailadressen waarmee werd gecommuniceerd. Microsoft meldde in eerste instantie dat er geen toegang was verkregen tot de inhoud van e-mails of bijlagen. Verder stelde de softwaregigant dat de aanvallers de accounts tussen 1 januari en 28 maart van dit jaar hebben benaderd. Een bron laat aan Vice Magazine weten dat de aanvallers wel degelijk toegang tot de inhoud van e-mailberichten hebben gekregen, wat nu ook door Microsoft is bevestigd. Het gecompromitteerde account was van een supportmedewerker met hogere rechten, waardoor die toegang tot meer materiaal had dan normale medewerkers, aldus de bron. Zakelijke accounts konden echter niet via het account worden benaderd. Microsoft verklaart dat bij 6 procent van de getroffen gebruikers ook e-mailcontent is ingezien. Het is echter onbekend hoeveel Outlook.com-gebruikers slachtoffer zijn geworden. Na ontdekking van de aanval werden de gecompromitteerde inloggegevens uitgeschakeld. Hoe de aanvallers toegang tot deze gegevens konden krijgen laat Microsoft niet weten. Aanvallers zouden de toegang tot de e-mailaccounts onder andere hebben gebruikt om het activeringsslot van gestolen iPhones te verwijderen. Via het activeringsslot moet worden voorkomen dat dieven een gestolen iPhone kunnen resetten en doorverkopen, aldus de bron. Tevens stelde de bron dat de aanvallers tenminste zes maanden toegang tot Outlook.com-accounts hadden, maar Microsoft ontkent dit. bron: security.nl

Wanneer je wilt dat er weer verbinding is met het hoofdpunt, help het wel eens om de Poweline even uit te zetten en dan je modem te resetten. Hierna met de apparaten verbinding maken en wanneer deze hersteld is, de Powerline weer aansluiten.

Antivirusbedrijf Avast heeft besloten de ondersteuning van Windows XP-gebruikers verder af te bouwen. Sinds begin dit jaar ontvangen gebruikers van de antivirussoftware op Windows XP en Vista geen nieuwe beveiligingsfeatures. Wel ontvangen deze gebruikers nog gewoon virusdefinities. Nu maakt de virusbestrijder bekend dat XP-gebruikers van de betaalde opschoontool Cleanup Premium vanaf vandaag geen updates meer ontvangen. Het programma, dat 50 euro per jaar kost, helpt gebruikers bij het opschonen van het register en verwijderen van achtergebleven bestanden. Ook bevat de software een automatische updatetool waarmee andere programma's op het systeem worden geüpdatet. Volgens Avast is het aantal Windows XP-gebruikers sterk afgenomen. Zo wordt het nog door 1,6 procent van de Avast-klanten gebruikt. Het antivirusbedrijf claimt 435 miljoen gebruikers, wat inhoudt dat zo'n 7 miljoen klanten met XP werken. "We richten ons op het ontwikkelen van nieuwe en coole features in plaats van het ondersteunen van een stervend platform", zegt Sandro Villinger van Avast. Cleanup Premium blijft wel gewoon bij klanten werken, maar die wordt dringend aangeraden om naar Windows 7 of 10 te upgraden. Windows XP wordt sinds 2014 niet meer door Microsoft ondersteund. bron: security.nl

De afgelopen weken zijn bij verschillende aanvallen ACE-bestanden verstuurd die misbruik maken van een kwetsbaarheid in een oude library voor het ACE-compressieformaat, maar de huidige exploit werkt op het moment alleen tegen kwetsbare versies van WinRAR. Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken. Dat laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. Eind februari onthulden onderzoekers van Check Point dat ze een beveiligingslek in WinRAR hadden ontdekt. De kwetsbaarheid bevond zich in de DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden. Wanneer er met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand wordt geopend is het voor een aanvaller mogelijk om code in de Startup-map van Windows te plaatsen. Deze code wordt vervolgens bij een herstart van het systeem uitgevoerd en kan bijvoorbeeld aanvullende malware installeren. De library die WinRAR gebruikte, UNACEV2.DLL, wordt ook door andere programma's gebruikt, zoals Total Commander. Hoewel deze programma's dezelfde kwetsbare library gebruiken, werken de nu rondgaande exploits alleen tegen WinRAR, aldus Beek. Gisteren waarschuwde Microsoft nog dat het vorige maand gerichte aanvallen tegen organisaties in de satelliet- en communicatie-industrie heeft waargenomen waarbij het WinRAR-lek werd gebruikt. Gebruikers werden verleid om een ACE-bestand te openen dat zogenaamd afbeeldingen leek te bevatten. In werkelijkheid wordt er een bestand genaamd "dropbox.exe" in de Startup-map geplaatst. Microsoft merkt op dat de huidige aanvallen alleen code in de Startup-map plaatsen, maar het ook mogelijk is om het bestand in een bekende SMB-map achter te laten. Wat verder opvalt aan de aanval die Microsoft beschrijft is dat die wordt gecombineerd met verschillende Word-documenten, die onder andere een melding tonen dat de gebruiker zijn systeem moet herstarten. Op deze manier wordt de code in de Startup-map uitgevoerd. Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken. WinRAR behoort tot de populairste software voor de desktop, maar kent geen automatische updatefunctie. Gebruikers moeten de nieuwste versies waarin de kwetsbare ACE-library is verwijderd dan ook zelf downloaden en installeren. Uit onderzoek dat in januari verscheen bleek dat 71 procent van de WinRAR-installaties op het moment van het onderzoek niet up-to-date was. bron: security.nl

WordPress-sites worden op dit moment actief aangevallen via een zerodaylek in de Yuzo Related Posts-plug-in waardoor aanvallers in het ergste geval de website volledig kunnen overnemen. Via de plug-in kunnen WordPress-sites onder artikelen gerelateerde artikelen tonen. Volgens de ontwikkelaar van de plug-in kunnen websites op deze manier hun bezoekers langer vasthouden. Meer dan 60.000 WordPress-sites hebben de plug-in geïnstalleerd. Onlangs maakte een beveiligingsonderzoeker een kwetsbaarheid in de plug-in bekend, zonder dat de ontwikkelaar was gewaarschuwd en er een beveiligingsupdate beschikbaar was. Inmiddels wordt het beveiligingslek actief door criminelen aangevallen. Via de stored cross-site scripting (XSS) kwetsbaarheid kan een ongeauthenticeerde aanvaller kwaadaardige content, zoals een JavaScript-payload, in de plug-in-instellingen injecteren. Deze payload wordt vervolgens aan de HTML-templates toegevoegd en uitgevoerd in de browser van bezoekers. Via de kwetsbaarheid is het mogelijk om de website te defacen, bezoekers naar andere websites door te sturen of het WordPress-beheerdersaccount over te nemen, aldus securitybedrijven Wordfence en Sucuri. Bij de nu waargenomen aanvallen worden bezoekers doorgestuurd naar scamsites die claimen dat er malware op de computer is gedetecteerd en het opgegeven telefoonnummer moet worden gebeld om het probleem te verhelpen. "Net zoals een paar weken geleden hebben de onverantwoorde acties van een beveiligingsonderzoeker ervoor gezorgd dat een zerodaylek in een plug-in actief wordt aangevallen", aldus onderzoeker Dan Moen van Wordfence. Op het WordPress-forum klagen verschillende mensen dat hun website via de plug-in is gehackt en de ontwikkelaar adviseert alle webmasters om Yuzo direct van hun website te verwijderen. Binnenkort zou er een gepatchte versie moeten verschijnen. WordPress heeft de plug-in inmiddels uit de WordPress-repository verwijderd. bron: security.nl

Gmail is de eerste grote e-mailprovider die de SMTP MTA Strict Transport Security (MTA-STS) standaard ondersteunt, zo heeft Google bekendgemaakt. Dit moet gebruikers tegen man-in-the-middle-aanvallen beschermen, aldus de internetgigant. Voor het versturen en ontvangen van e-mail maakt Gmail gebruik van het Simple Mail Transfer Protocol (SMTP). Het protocol biedt volgens Google alleen "opportunistische encryptie" en veel SMTP-servers doen niets tegen aanvallen waarbij e-mail onderweg wordt onderschept. "SMTP is daarom kwetsbaar voor man-in-the-middle-aanvallen", zegt Nicolas Kardas van Google Cloud. MTA-STS maakt gebruik van encryptie en authenticatie om dergelijke aanvallen te voorkomen. Via een MTA-STS-beleid voor een domein kan externe mailservers die e-mails naar het domein willen sturen worden verzocht om alleen berichten te versturen wanneer de SMTP-verbinding is geauthenticeerd met een geldig publiek certificaat en versleuteld met TLS 1.2 of hoger. Dit kan worden gecombineerd met TLS reporting, waarbij het domein rapportages van externe mailservers kan opvragen met informatie over het succes of mislukkingen van e-mails die volgens het MTA-STS-beleid naar het domein zijn gestuurd. Gmail ondersteunt MTA-STS en TLS reporting voor domeinen die dergelijk beleid hebben ingesteld. Google hoopt dat andere mailproviders zullen volgen, om zo e-mailcommunicatie veiliger te maken. Het instellen van MTA-STS en TLS reporting voor inkomende e-mail moet worden gedaan via DNS-records en serverinstellingen, zoals Google op deze pagina uitlegt. bron: security.nl

Om gebruikers tegen onveilige downloads te beschermen is Google van plan om bepaalde downloads op https-sites die via http plaatsvinden te blokkeren. Het gaat dan specifiek om downloads van uitvoerbare bestanden eindigend op .exe, .dmg en .crx en archiefbestanden zoals .zip, .gzip, .rar, .tar en .bzip. Dat heeft Google-engineer Emily Stark op de webappsec-mailinglist aangekondigd. Volgens Stark wil Google het aantal onveilige downloads terugdringen, met name die risicovol zijn zoals uitvoerbare bestanden. "We willen de juiste balans vinden tussen compatibiliteit/gebruikersverstoring en veiligheidsverbeteringen", merkt Stark op. Daarom richt Google zich eerst op risicovolle downloads die vanuit een https-context worden gestart. In dit geval gaat het om http-downloads die vanaf een https-site worden gestart. Stark wil dergelijke downloads als mixed content beschouwen en binnen de browser blokkeren. Google zal later cijfers over de mogelijke impact van de maatregel delen, maar stelt nu al dat het haalbaar is om bepaalde risicovolle bestandstypes gebaseerd op de content-type header of mime-type te blokkeren. De focus ligt daarbij op desktopgebruikers, aangezien Androidgebruikers al via Safe Browsing zijn beschermd. Wanneer de maatregel aan Chrome wordt toegevoegd is nog niet bekend. bron: security.nl

De oude browserplug-in Shockwave Player is nog op honderden miljoenen computers geïnstalleerd, maar nieuwe beveiligingslekken zullen niet meer worden verholpen. Adobe is namelijk de ondersteuning gestopt. Gisteren verscheen de laatste patch die in totaal zeven kwetsbaarheden verhelpt. Alle zeven kwetsbaarheden zijn als ernstig beoordeeld, wat inhoudt dat alleen het bezoeken van een kwaadaardige website met een kwetsbare versie voldoende is om aanvallers volledige controle over het systeem te geven. Shockwave is een multimediaplatform dat in de browser draait en wordt gebruikt voor interactieve applicaties en spelletjes. Volgens Adobe is Shockwave Player op meer dan 450 miljoen desktops wereldwijd geïnstalleerd. Vanaf 9 april wordt de software niet meer ondersteund en ook niet meer via de website van Adobe aangeboden. Aanleiding om met Shockwave te stoppen is het teruglopende gebruik en de beschikbaarheid van nieuwe technologieën zoals HTML5 en Web GL. Bedrijven met zakelijke licenties voor Adobe Shockwave zullen tot het einde van hun huidige contract ondersteuning blijven ontvangen. Onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers laat zien dat Adobe Shockwave Player op 96 procent van de computers niet up-to-date is. Dit wordt mede veroorzaakt door het feit dat gebruikers de software handmatig moeten updaten. bron: security.nl

Onderzoekers hebben een tweede slachtoffer van Triton ontdekt, malware die industriële systemen in de vitale sector infecteert. Het eerste slachtoffer van Triton was een petrochemische fabriek in Saudi-Arabië. Via de malware wisten aanvallers bij deze fabriek toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten vorig jaar weten. Nu meldt securitybedrijf FireEye dat het een tweede infectie door de Triton-malware binnen de vitale infrastructuur heeft ontdekt. Om wat voor installatie het gaat en in welk land is niet bekendgemaakt. Ook is onduidelijk hoe de aanvallers toegang tot de systemen van de installatie hebben gekregen en of de aanval succesvol was. Wel waren de aanvallers bijna een jaar in het netwerk van de installatie actief voordat er toegang tot het SIS-werkstation werd verkregen. De aanvallers gebruikten verschillende technieken om hun sporen te verbergen, waaronder het hernoemen van bestanden naar Microsoft-updatebestanden, het gebruik van standaardtools zoals RDP en het verwijderen van aanvalstools, logs en bestanden. Nadat de aanvallers toegang tot het SIS-werkstation hadden verkregen probeerden ze de Triton-malware te installeren. Om detectie te voorkomen waren ze vooral buiten de werktijden actief, wanneer er minder personeel op de locatie aanwezig was om op eventuele aanpassingen van de controller te reageren. FireEye geeft organisaties verschillende beveiligingstips om verdachte activiteiten op het netwerk te detecteren, zoals het monitoren op registersleutels die naar exe-bestanden wijzen, bepaalde dns-lookups, uitgaande verbindingen waarbij het protocol en de poort niet overeenkomen, inkomende RDP-verbindingen, verdachte bestanden in bepaalde directories en afwijkingen in vpn-logins. Tevens heeft FireEye verschillende indicators of compromise gepubliceerd waarmee organisaties de tools van de aanvallers kunnen detecteren. bron: security.nl

Onderzoekers hebben nieuwe spionagemalware ontdekt die in staat is om documenten die worden geprint te stelen, alsmede cd-images en data van usb-sticks. Ook maakt de malware opnamen van voip-gesprekken, verzamelt back-uplijsten van Apple-apparaten en steelt cookies van IE, Netscape Navigator, FireFox en RealNetworks, aldus antivirusbedrijf Kaspersky Lab. Tevens worden er toetsaanslagen opgeslagen. De malware, waarvan de eerste versie van augustus 2013 dateert en de laatste van april 2018, kan bovendien eerder bekeken bestanden van een usb-stick stelen zodra de stick opnieuw wordt aangesloten. Opmerkelijk is dat de malware bij slechts één slachtoffer is aangetroffen, een diplomatieke entiteit in Centraal-Azië. De onderzoekers vermoeden dan ook dat er meer nog onontdekte slachtoffers zijn. Hoe de malware precies wordt verspreid is nog onbekend, zo meldt Threatpost. bron: security.nl

Tijdens de patchdinsdag van april heeft Microsoft 74 beveiligingslekken in de eigen software gepatcht, waaronder twee kwetsbaarheden in de Windows-kernel die werden aangevallen voordat er een beveiligingsupdate beschikbaar was. Via de beveiligingslekken kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en volledige controle over het systeem krijgen. Een aanvaller die malware op een systeem kan uitvoeren zou de kwetsbaarheden kunnen gebruiken om code met hogere rechten uit te voeren. De aangevallen beveiligingslekken werden ontdekt door het Alibaba Cloud Intelligence Security Team en Kaspersky Lab. Aangezien het via de kwetsbaarheden niet mogelijk is om een systeem direct te compromitteren hebben ze het stempel "Belangrijk" gekregen. Van de 74 kwetsbaarheden zijn er 13 door Microsoft als ernstig beoordeeld. Via dergelijke lekken kan een aanvaller het systeem wel direct overnemen. Het gaat onder andere om een kwetsbaarheid in de Windows Graphics Device Interface (GDI). Door Windows een kwaadaardig EMF-bestand te laten verwerken kan een aanvaller willekeurige code uitvoeren. Onder andere Windows zelf en Microsoft Office maken gebruik van het GDI-onderdeel. Tevens zijn meerdere ernstige lekken in Microsoft Edge verholpen waardoor een aanvaller het systeem had kunnen overnemen. Overige beveiligingsupdates zijn verschenen voor Internet Explorer, Microsoft Office, ChakraCore, ASP.NET Microsoft Exchange Server, Team Foundation Server, Azure DevOps Server, Open Enclave SDK en Windows Admin Center. Op de meeste systemen zullen de patches automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft aan twee testversies van Firefox de optie toegevoegd waarmee gebruikers cryptominers en fingerprinters kunnen blokkeren. Fingerprinters zijn scripts die op veel pagina's actief zijn en informatie over de systeemconfiguratie van bezoekers verzamelen. Aan de hand hiervan wordt een digitale vingerafdruk gemaakt waarmee gebruikers vervolgens over het web te volgen zijn. "Ook als je je cookies verwijdert", aldus Mozilla. De browserontwikkelaar merkt op dat fingerprinters in strijd met het antitrackingbeleid van Firefox zijn. Cryptominers gebruiken de rekenkracht van de systemen van bezoekers om cryptovaluta te delven. "Deze scripts vertragen je computer, belasten de accu en zorgen voor een hogere energierekening", zegt Mozillas Arthur Edelstein. In Firefox Nightly 68 en Firefox Beta 67, twee testversies van de browser, kunnen gebruikers er nu voor kiezen om cryptominers en fingerprinters te blokkeren. Firefox maakt hiervoor gebruik van een lijst met domeinen waarvan bekend is dat ze dergelijke scripts aanbieden. De lijst is mede opgesteld in samenwerking met Disconnect, dat een gelijknamige antitrackingplug-in biedt. Gebruikers moeten de optie wel zelf inschakelen. bron: security.nl

Onderzoekers van securitybedrijf Chronicle Security, onderdeel van Alphabet, hebben een nieuwe versie van de berucht Flame-malware ontdekt, zo hebben ze in een blogposting laten weten. Flame is modulaire malware die in 2012 werd ontdekt en was gebruikt voor cyberspionage in het Midden-Oosten. Het werd "de meeste complexe malware ooit gevonden" genoemd. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld. Flame viel onder andere op omdat het Windows Update gebruikte om systemen in een netwerk te infecteren. Eenmaal actief op het netwerk van het slachtoffer nam Flame een man-in-the-middle positie in. Zodra de nog niet besmette computers met Windows Update verbinding probeerden te maken, maakten ze verbinding met de al met Flame besmette machine. Die stuurde vervolgens malafide Windows-updates naar de computers. Het ging hier in werkelijkheid om malware die van een legitiem Microsoft-certificaat was voorzien. Daardoor dacht Windows dat het om legitieme updates van Microsoft zelf ging en installeerde de malware via Windows Update. Rond 2012 ontdekten onderzoekers tal van malware-exemplaren, zoals Stuxnet, Gauss, Duqu en Regin waarmee landen andere landen bespioneerden. De tooling die de onderzoekers destijds gebruikten was zeer beperkt. Tegenwoordig maken antivirusbedrijven gebruik van Yara-rules, de "retrohunt" optie van VirusTotal en andere tooling waardoor verbanden tussen exemplaren en andere malware veel sneller duidelijk worden. Onderzoekers van Chronicle Security besloten daarom aan de hand van gelekte slides van de Canadese geheime dienst te kijken wat onderzoekers destijds over het hoofd hebben gezien. Op deze slides werd onder andere de term "GOSSIPGIRL" gebruikt. Volgens de onderzoekers van Chronicle Security gaat het hier om een "Supra Threat Actor", een samenwerkingsverband tussen verschillende spionagegroepen die voor meerdere zeer geavanceerde spionagemalware verantwoordelijk zijn. De gelekte slides van de Canadese geheime dienst en moderne tooling wezen de onderzoekers naar een verband tussen GOSSIPGIRL en de Flame-malware, alsmede Stuxnet en Duqu. De grootste ontdekking had betrekking op Duqu. In mei 2012 verstuurden de makers van Flame een "SUICIDE" module naar besmette systemen om zo alle actieve infecties op te schonen en de resterende command & control-infrastructuur te vernietigen. Daardoor werd gedacht dat dit het einde van Flame was, maar volgens Chronicle Security heeft Flame zijn eigen einde in scene gezet en gingen de ontwikkelaars met een nieuwe versie aan de slag. Zo maakt Flame 2.0 gebruik van AES-256 om de eigen secondaire scripts en payloads te versleutelen (pdf). Die worden na de initiële infectie op het systeem geplaatst. Onderzoekers zijn er nog niet in geslaagd deze encryptie te kraken, waardoor de inhoud van de scripts en payloads onbekend is. Wel denken de onderzoekers dat Flame 2.0 van 2014 tot 2016 is ingezet. Hoe de nieuwe Flame-versie werd verspreid is onbekend. De analyse laat zien dat de makers maatregelen hadden genomen om analyse door onderzoekers te bemoeilijken. Met de publicatie van de voorlopige onderzoeksresultaten hoopt Chronicle Security dat meer onderzoekers aan het onderzoek mee zullen doen. bron: security.nl

De Europese databeschermingsautoriteit (EDPS) is een onderzoek gestart naar het gebruik van Microsoft-software door EU-instellingen en of dit aan de databeschermingswetgeving voldoet. De EDPS wijst daarbij naar een eerder onderzoek dat de Haagse Privacy Company in opdracht van het ministerie van Justitie en Veiligheid uitvoerde. Het onderzoek richtte zich op gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan. Uit het onderzoek bleek dat diagnostische gegevens van en over de gebruiker worden verzameld en opgeslagen in een database in de Verenigde Staten, op een manier die hoge risico's meebrengt voor de privacy van de gebruiker. "De EU-instellingen rekenen op Microsoft-diensten en -producten om hun dagelijkse activiteiten uit te voeren. Het gaat dan ook om het verwerken van grote hoeveelheden persoonlijke data", aldus de EDPS. Gezien de aard, omvang, context en doel van deze verwerking is het volgens de toezichthouder belangrijk dat er waarborgen en maatregelen zijn getroffen om aan de databeschermingsregels te voldoen. De EDPS onderzoekt daarom of Microsoft-producten en -diensten die door EU-instellingen worden gebruikt, en of de contractovereenkomsten tussen Microsoft en EU-instellingen, volledig conform de databeschermingsregels zijn. De nieuwe databeschermingsregels voor EU-instellingen werden op 11 december vorig jaar van kracht en introduceren nieuwe regels voor outsourcing. Zo stellen de regels dat opdrachtnemers nu direct verantwoordelijk zijn om compliant te zijn. Als er echter van derde partijen gebruik wordt gemaakt voor het leveren van diensten, blijven de EU-instellingen aansprakelijk voor de dataverwerking die in hun naam plaatsvindt. De instellingen zijn echter ook verplicht dat gesloten contracten met deze opdrachtaannemers aan de nieuwe databeschermingsregels voldoen en risico's vermijden. "Met dit in het achterhoofd onderzoekt de EDPS nu de contractuele overeenkomsten tussen de EU-instellingen en Microsoft", zegt vice-EDPS Wojciech Wiewiorowski. bron: security.nl

Mozilla lanceert deze zomer een verzameling van aanbevolen Firefox-extensies waarvan de veiligheid door de browserontwikkelaar is gecontroleerd. Op deze manier wil Mozilla gebruikers tegen malafide extensies beschermen. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. Het "Recommended Extensions" programma moet gebruikers de zekerheid geven dat ze een veilige, goedwerkende extensie installeren. Ook moet het om een extensie gaan die een groot publiek aanspreekt. De code van Firefox-extensies wordt al gecontroleerd voordat Mozilla ze op addons.mozilla.org toestaat. Extensies die straks het label "Recommended" krijgen, wat via een speciale badge zichtbaar zal zijn, worden eerst door het Mozilla-personeel gecontroleerd. Ook nieuwe versies van de extensie ondergaan eerst een "security review" voordat ze gepubliceerd mogen worden. Op deze manier moeten gebruikers de zekerheid krijgen dat de extensie gedurende de gehele levensduur te vertrouwen is. Naast de vier selectiecriteria: werking, gebruikerservaring, publiek en veiligheid, stelt Mozilla ook eisen aan de ontwikkelaars. Die moeten de extensie actief onderhouden en bereid zijn om verbeteringen door te voeren. De aanbevolen extensies zullen later deze zomer beschikbaar zijn en onder andere worden aangeraden in de "Get Add-ons" pagina van de Firefox Add-ons Manager en op addons.mozilla.org. bron: security.nl