Captain Kirk

Tal van Internet of Things-apparaten en andere op internet aangesloten apparatuur zijn kwetsbaar voor aanvallen door verschillende kritieke kwetsbaarheden in een veelgebruikte library. De problemen zijn aanwezig in de tcp/ip-library van softwarebedrijf Treck. Fabrikanten gebruiken deze library om hun apparaten verbinding met internet te laten maken. Volgens onderzoekers van securitybedrijf JSOF wordt de kwetsbare library al twintig jaar gebruikt voor medische apparatuur, industriële toepassingen, elektriciteitsnetwerken, transportsystemen en tal van andere sectoren en apparaten, maar ook voor producten als printers en routers. In totaal vonden de onderzoekers negentien kwetsbaarheden die ze de naam "Ripple20" gaven, waarmee het in het ergste geval mogelijk is om systemen op afstand over te nemen. Ook is het mogelijk om apparaten via een denial of service uit te schakelen of vertrouwelijke informatie te stelen. Twee van de kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst beoordeeld met een 10. Door het versturen van speciaal geprepareerde ipv4- of ipv6-pakketten is het door deze beveiligingslekken mogelijk om op afstand code uit te voeren. JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen. Onder andere producten van Caterpillar, HP, Intel, Rockwell, Sandia National Labs, Schneider Electric en HCL Tech zijn kwetsbaar. In het geval van bijvoorbeeld Cisco, Philips, Broadcom, Marvell, Honeywell en General Electric is nog niet duidelijk of die risico lopen. De onderzoekers merken op dat het al lastig was voor sommige leveranciers om te patchen, maar dat het nog veel lastiger of zelfs onmogelijk voor eindgebruikers kan zijn. Bijvoorbeeld wanneer de library zich op een fysiek gescheiden onderdeel bevindt of wanneer het bedrijf dat het onderdeel leverde niet meer bestaat. Deze gebruikers moeten aanvullende maatregelen nemen, zoals het uitschakelen van IP-tunneling, blokkeren van ongebruikte ICMP-controlberichten en het toepassen van netwerksegmentatie. Daarnaast kan het zijn dat niet alle leveranciers weten dat ze kwetsbare library gebruiken. Dit komt doordat de library ook in andere software is verwerkt, waardoor fabrikanten niet weten dat de kwetsbare code in hun apparatuur aanwezig is. De onderzoekers stellen dat mogelijk miljarden apparaten risico lopen. Tijdens de komende Black Hat USA-conferentie in augustus zullen de onderzoekers meer informatie over de kwetsbaarheden geven. bron: security.nl

Adobe heeft Acrobat DC voorzien van Protected Mode, een sandbox die gebruikers tegen malafide pdf-documenten moet beschermen. De beveiligingsmaatregel, die gebruikers nog wel zelf moeten inschakelen, werd tien jaar geleden al aan Acrobat Reader toegevoegd en maakt misbruik van kwetsbaarheden in de pdf-lezer lastiger. Het pdf-formaat biedt allerlei mogelijkheden, zoals het embedden van bestanden en uitvoeren van scripts. Met Protected Mode worden documenten en applicatiecode in een sandbox geladen. Wanneer de pdf-lezer een bepaalde actie wil uitvoeren die niet in de sandbox is toegestaan, zoals het schrijven naar de tijdelijke folder van de gebruiker of het starten van een bijlage in het pdf-document via een externe applicatie, wordt er gebruikgemaakt van een "broker proces". Dit proces beoordeelt welke acties wel en niet zijn toegestaan, om zo toegang tot gevaarlijke functionaliteiten te voorkomen. Om het systeem van een gebruiker succesvol aan te vallen moet een aanvaller niet alleen een kwetsbaarheid in de pdf-lezer hebben, maar ook uit de sandbox zien te breken. Dit maakt misbruik van de pdf-lezer veel lastiger. De afgelopen jaren zijn er geen aanvallen bekend geworden waarbij er gebruik werd gemaakt van kwetsbaarheden in de pdf-lezers van Adobe. De Protected Mode van Acrobat DC is op het moment alleen beschikbaar voor de Windowsversie en moet door gebruikers zelf worden ingeschakeld. De reden dat de beveiligingsmaatregel niet standaard staat ingeschakeld heeft te maken met mogelijke compatibiliteitsproblemen met bestaande configuraties en policies in de omgevingen van klanten, aldus Adobes Chris Parkerson. De optie is echter eenvoudig in te stellen via: Edit > Preferences > Security (Enhanced) en dan Enable Protected Mode at startup (Preview) te selecteren. Een andere mogelijkheid is het instellen van een registersleutel. Wanneer de beveiligingsmaatregel naar andere platformen komt is nog niet bekend. bron: security.nl

Verschillende dating-apps, onder andere gericht op mensen met soa's en trio's, hebben 845 gigabyte aan gevoelige data gelekt. Het gaat om naaktfoto's en -filmpjes, audioberichten, privéchats, gebruikersnamen, financiële gegevens en persoonlijke details zoals e-mailadressen, geboortedata en echte namen. De data was voor iedereen op internet toegankelijk, zo ontdekten onderzoekers Noam Rotem en Ran Locar van vpnMentor. De dating-apps, met namen als Herpes Dating, BBW Dating en 3somes, zijn allemaal ontwikkeld door een ontwikkelaar met de naam "Cheng Du New Tech Zone". De apps maken gebruik van Amazon S3-buckets voor de opslag van gegevens. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de buckets wel voor iedereen benaderbaar waren. Het ging in totaal om meer dan twintig miljoen bestanden. Hoeveel gebruikers door het datalek zijn getroffen is niet precies duidelijk, maar de onderzoekers schatten dat het in de honderdduizenden loopt. Naast gegevens van gebruikers vonden de onderzoekers ook adminwachtwoorden waarmee de Amazon Web Services-infrastructuur van de apps kon worden gecompromitteerd. De onbeveiligde S3-buckets werden op 24 mei ontdekt. De onderzoekers waarschuwden de ontwikkelaar op 26 mei en een dag later waren alle S3-buckets beveiligd. bron: security.nl

Aanvallers zijn erin geslaagd om op verschillende websites van Intersport en de webshop van modeketen Claire's malware te plaatsen die de creditcardgegevens van klanten stal. Beide bedrijven hebben de code inmiddels verwijderd. In het geval van Intersport ging het om de webshops van Kroatië, Servië, Slovenië, Montenegro en Bosnië en Herzegovina. Antivirusbedrijf ESET laat vandaag weten dat de code die de aanvallers aan de webshops toevoegden creditcardgegevens en andere persoonlijke data onderschepte en terugstuurde. Nadat de virusbestrijder Intersport had ingelicht werd de kwaadaardige code binnen een aantal uren verwijderd. Volgens securitybedrijf Sansec zijn de vijf Intersport-winkels vaker het doelwit geweest. Zo werd er op 30 april al eens code toegevoegd, die vervolgens op 3 mei werd verwijderd. Vervolgens was het op 14 mei weer raak. Naast de aanval op de Intersport-webshops meldt Sansec vandaag dat afgelopen april de webwinkel van modeketen Claire's werd gecompromitteerd en voorzien van malware. Claire's heeft ook verschillende fysieke vestigingen in Nederland. De kwaadaardige code werd tussen 25 en 30 april toegevoegd. De domeinnaam die de aanvallers bij de aanval gebruikten was al op 20 maart geregistreerd. Mogelijk dat de aanvallers vier weken nodig hebben gehad om de webshop te compromitteren, aldus Sansec. Claire's heeft de code inmiddels verwijderd en stelt dat het een onderzoek heeft ingesteld om te kijken van welke klanten de gegevens zijn gecompromitteerd, zodat het die kan waarschuwen. Creditcardbetalingen in de fysieke winkels hebben geen risico gelopen. Verder zijn zowel creditcardmaatschappijen als de autoriteiten gewaarschuwd. Update Intersport laat in een reactie aan Security.NL weten dat de malware die op de websites werd geplaatst geen persoonlijke data en creditcardgegevens heeft gestolen, aangezien betalingen via een ander betaalplatform lopen. bron: security.nl

Graag gedaan.

Snelladers laden met een hogere stroomsterkte of voltage. Als je telefoon geen snel laadtechnologie ondersteund, zal hij het hoge voltage of de stroomsterkte niet aan kunnen. Dan schakelt de oplader over naar het maximale voltage die de telefoon aan kan, waardoor de telefoon op de normale snelheid wordt opgeladen. Het hangt er dus van af of de telefoon snel laadtechnologie heeft. De Samsung A50 zou moeten kunnen snelladen alhoewel op internet ook een hoop meldingen van problemen te vinden. Ik zou gewoon,ondanks dat het trager is, de originele lader blijven gebruiken.

Dank Porrelaar voor je hulp. Bij deze zet ik het topic op slot.

Vorig jaar lanceerden de Amerikaanse burgerrechtenbeweging EFF, antivirusbedrijven en verschillende non-profitorganisaties die zich tegen huiselijk geweld inzetten een coalitie tegen 'stalkerware'. Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer. Een kenmerk van stalkerware is dat het de nodige moeite doet om niet te worden opgemerkt. De software wordt onder andere gebruikt door stalkers, ex-partners en echtgenoten die zich aan huiselijk geweld schuldig maken, aldus de EFF. De Coalition Against Stalkerware wil slachtoffers helpen, bijvoorbeeld door uit te leggen hoe stalkerware precies werkt en te verwijderen is. De coalitie werd afgelopen november aangekondigd. In dezelfde maand voerde het Oostenrijkse testlab AV-Comparatives een test uit hoe goed antivirussoftware voor Android en Windows stalkerware kan detecteren (pdf). De test werd vervolgens zes maanden later opnieuw uitgevoerd, om te kijken of de detectie in de tussentijd was veranderd. Het ging om zowel tien virusscanners voor Android als voor Windows. De detectie door de Androidscanners is sinds november verbeterd. Er zijn echter grote verschillen. Zo detecteerde de virusscanner van Panda vorige maand 35 procent van de twintig stalkerware-apps waarmee de test werd uitgevoerd. Kaspersky en Trend Micro weten daarentegen 95 procent te detecteren. Voor de test op Windows werd er met tien stalkerwareprogramma's getest. Ook op dit platform hebben de virusscanners de detectie sinds vorig jaar november weten te verbeteren. Avira en Microsoft detecteren zeven van de tien stalkerwareprogramma's. Bitdefender, ESET, Kaspersky en Norton weten alle tien de programma's te herkennen. Volgens AV-Comparatives is stalkerware voor Windows in vergelijking met de Androidprogramma's veel geraffineerder als het gaat om zichtbaarheid, toegangsrechten en bestandsdistributie op de harde schijf. "Veel van de geteste Windows-stalkerwareprogramma's weten hun aanwezigheid zeer effectief te verbergen", aldus het testlab. Sommige stalkerware vraagt gebruikers ook om de virusscanner op het toestel van het slachtoffer voor de installatie uit te schakelen. Voorkomen AV-Comparatives geeft ook verschillende tips om stalkerware te voorkomen. Zo moeten gebruikers alert zijn op smartphones die als cadeau worden gegeven. Verder is het belangrijk om een telefoon niet even aan iemand uit te lenen en moet er worden gelet op de prestaties en bijvoorbeeld of de telefoon snel leeg loopt. In het geval er stalkerware wordt aangetroffen moet van alle accounts het wachtwoord worden gewijzigd. bron: security.nl

NAS-fabrikant QNAP heeft opnieuw gewaarschuwd voor de eCh0raix-ransomware die bestanden op kwetsbare NAS-systemen versleutelt. Vorig jaar juli gaf QNAP ook al een waarschuwing voor de ransomware, die gebruikmaakt van bekende kwetsbaarheden om toegang tot ongepatchte NAS-systemen te krijgen. Vervolgens versleutelt de ransomware allerlei bestanden en moeten slachtoffers voor het ontsleutelen betalen. Onlangs is er een nieuwe versie van de eCh0raix-ransomware ontdekt die misbruik maakt van bepaalde kwetsbaarheden in oudere versies van het QTS-besturingssysteem en Photo Station. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Vorige maand publiceerde beveiligingsonderzoeker Henry Huang details over verschillende kwetsbaarheden die hij in de QNAP-software had ontdekt. Via de kwetsbaarheden kan een aanvaller vanaf het internet en zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. QNAP had eind vorig jaar al beveiligingsupdates voor de kwetsbaarheden uitgebracht, die op een schaal van 1 tot en met 10 wat betreft de ernst allemaal met een 9,8 zijn beoordeeld. Sinds de details van Huang online verschenen hebben de ontwikkelaars van de eCh0raix-ransomware die voor een nieuwe versie van hun ransomware gebruikt. QNAP adviseert NAS-gebruikers dan ook om de laatste versies van QTS en Photo Station te installeren. bron: security.nl

Facebook heeft een niet nader genoemd securitybedrijf een zeroday-exploit voor het besturingssysteem Tails laten ontwikkelen om het ip-adres van een gebruiker van de sociale netwerksite te achterhalen, zo meldt Vice Magaine. Deze gebruiker belaagde jarenlang allerlei minderjarige meisjes op het platform en perste ze af, aldus de aanklacht van het Amerikaanse openbaar ministerie. De verdachte maakte gebruik van Tails (The Amnesic Incognito Live System), een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Tails, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt bijna 32.000 keer per dag gestart. Vice Magazine bericht op basis van verschillende bronnen dat de FBI had geprobeerd om echte ip-adres van de verdachte te achterhalen, maar dat dit met de gebruikte tool niet was gelukt. De verdachte ontdekte de poging zelfs, aldus twee anonieme bronnen. Binnen Facebook was er ook aandacht om de gebruiker te achterhalen. Via een systeem dat Facebook had ontwikkeld om gebruikers te detecteren die het op kinderen hadden voorzien, konden verschillende accounts aan de verdachte worden gekoppeld. Aangezien het de FBI niet lukte om de verdachte te ontmaskeren besloot Facebook de opsporingsdienst te helpen. Het bedrijf schakelde een securitybedrijf in dat het een "bedrag van zes cijfers" betaalde voor een zeroday-exploit voor een onbekende kwetsbaarheid in Tails. Het securitybedrijf werkte vervolgens samen met een Facebook-engineer. Een exploit voor een zerodaylek in de videospeler van Tails werd gekoppeld aan een programma om het ip-adres van de verdachte te achterhalen. De tool werd vervolgens via een tussenpersoon met de FBI gedeeld. Dit leidde uiteindelijk tot de aanhouding van de man. Facebook bevestigt aan Vice Magazine dat het met beveiligingsexperts heeft samengewerkt om de FBI te helpen bij het ontmaskeren van de verdachte, maar geeft verder geen specifieke detals. Een woordvoerder spreekt van een unieke zaak omdat de man "zulke geraffineerde methodes" gebruikte om zijn identiteit te verbergen, dat er werd besloten om de opsporingsdienst te helpen. Een woordvoerder van het Tails-team laat weten dat de ontwikkelaars niet van het verhaal over de verdachte afwisten en ook niet weten via welk beveiligingslek hij is ontmaskerd. In het verleden heeft de FBI verschillende keren zeroday-exploits ingezet om gebruik van Tor Browser te ontmaskeren. Of de exploit voor Tails ook tegen andere personen is ingezet, is onbekend. bron: security.nl

De nationale anti-DDoS-coalitie heeft de website NoMoreDDoS.org gelanceerd, waarop het informatie over ddos-aanvallen en activiteiten van de coalitie biedt. Na verschillende grootschalige ddos-aanvallen tegen banken en overheidssites in 2018 werd de coalitie opgericht. Het is een publiek-privaat consortium. Allerlei partijen nemen deel aan de coalitie, zoals de Politie, Belastingdienst, De Nederlandsche Bank, het Nationaal Cyber Security Centrum (NCSC), het Agentschap Telecom, de Universiteit van Twente, de Stichting Internet Domeinregistratie Nederland (SIDN), KPN, Vodafone Ziggo, NL-ix en verschillende andere partijen. Deelnemers aan de coalitie delen met elkaar kennis en operationele gegevens over ddos-aanvallen. "Door kennis, kunde en middelen te bundelen kunnen we gezamenlijk veel effectiever DDoS-aanvallen bestrijden. Het doel is om een systematiek te ontwikkelen waarmee we gezamenlijk DDoS-aanvallen in een vroeg stadium herkennen en dus ook kunnen voorkomen. De nu gelanceerde website toont wat de stand van zaken is, waar we mee bezig zijn en biedt ook technische informatie over onze aanpak", zegt Octavia de Weerdt, directeur van Stichting Nationale Beheersorganisatie Internet Providers (NBIP). Het "DDoS clearinghouse" wordt als één van de belangrijkste projecten van de coalitie gezien. Dit is een systeem waarmee deelnemers de kenmerken van ddos-aanvallen waarmee zij te maken hebben kunnen meten en deze informatie met andere coalitieleden kunnen delen. Het gaat dan bijvoorbeeld om bronadressen die bij de aanval betrokken zijn, pakketgroottes, duur van de aanval en protocoltypen. De informatie wordt vervolgens tot een "DDoS fingerprint" verwerkt en gedeeld met andere leden. Die kunnen de fingerprints gebruiken om hun infrastructuur voor te bereiden mochten zij het volgende doelwit van de aanval zijn, bijvoorbeeld door pakketfilterregels op hun routers in te stellen. Dit voorkomt dat leden deze regels zelf moeten maken, wat een voorsprong biedt bij het bestrijden van de eventuele aanval. Het DDoS clearinghouse is klein opgezet met tien deelnemers. Het plan is echter om het systeem volgend jaar landelijk uit te rollen voor alle serviceproviders binnen de anti-DDoS-coalitie, ongeacht de sector waarbinnen ze opereren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van juni een recordaantal beveiligingslekken gepatcht. Niet eerder kwam het techbedrijf op één dag met updates voor zoveel kwetsbaarheden. Het gaat in totaal om 129 lekken. Het vorige "record" dateert van afgelopen maart, toen er patches voor 115 kwetsbaarheden verschenen. Het is tevens de vierde maand op rij dat Microsoft met updates voor meer dan 110 kwetsbaarheden komt. Iets dat eerder ook niet is voorgekomen. Ondanks het grote aantal verholpen kwetsbaarheden deze maand zijn er slechts elf als kritiek bestempeld. Het gaat onder andere om een beveiligingslek dat zich voordat bij het verwerken van LNK-bestanden. LNK is de extensie die Windows voor snelkoppelingen gebruikt. Het is al het derde LNK-lek dit jaar. Via de kwetsbaarheid kan een aanvaller willekeurige code op het systeem uitvoeren met rechten van de ingelogde gebruiker. Alleen het openen van een usb-stick waarop een kwaadaardig LNK-bestand staat is voldoende om misbruik van de kwetsbaarheid te maken. Het is niet nodig dat de gebruiker het LNK-bestand zelf opent. De beruchte Stuxnetworm maakte misbruik van een dergelijke kwetsbaarheid om zich te verspreiden. Een beveiligingslek in Microsoft Outlook maakt het mogelijk voor aanvallers om automatisch afbeeldingen te laden, waardoor het mogelijk is om het ip-adres van de gebruiker te achterhalen. In theorie zou het mogelijk zijn om deze kwetsbaarheid met een ander beveiligingslek te combineren en zo willekeurige code uit te voeren, zo waarschuwt het Zero Day Initiative. Verder zijn er verschillende kritieke kwetsbaarheden in Internet Explorer en Edge gepatcht. De impact van de overige kwetsbaarheden is door Microsoft lager ingeschakeld. Opvallend is het grote aantal beveiligingslekken waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het gaat in totaal om zeventig kwetsbaarheden die dit mogelijk maken. Negentien hiervan bevinden zich in de Windowskernel en kerneldrivers. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft voor de tweede keer dit jaar een beveiligingsupdate voor een kwetsbaarheid in Flash Player uitgebracht. De afgelopen jaren werden er grote aantallen kwetsbaarheden in Flash Player gevonden, waarvan verschillende bij zeroday- en andere aanvallen werden ingezet. Later dit jaar stopt Adobe de ondersteuning van Flash Player en zullen er geen beveiligingsupdates meer voor de software verschijnen. Browsers zoals Google Chrome, Mozilla Firefox en Microsoft Chromium Edge hebben inmiddels de ondersteuning van Flash in de browsers standaard uitgeschakeld, maar gebruikers kunnen de technologie nog wel zelf inschakelen. Later dit jaar en in januari volgend jaar zal de mogelijkheid om Flash-content af te spelen helemaal in de browsers worden verwijderd. Tot het einde van dit jaar blijven er nog wel beveiligingsupdates voor Flash Player uitkomen. De afgelopen jaren is het aantal verholpen kwetsbaarheden in de software wel afgenomen. In 2015 ging het nog om 329 kwetsbaarheden, gevolgd door 266 in 2016. Dit jaar staat de teller pas op twee. In februari werd één kritieke kwetsbaarheid verholpen waarmee een aanvaller willekeurige code had kunnen uitvoeren. Vanmiddag is het tweede beveiligingslek van dit jaar verholpen. Wederom had een aanvaller hierdoor code kunnen uitvoeren met rechten van de ingelogde gebruiker. Gebruikers krijgen het advies om snel te updaten naar Flash Player 32.0.0.387. Dit kan via de automatische updatefunctie of Adobe.com. Adobe zegt niet bekend te zijn met aanvallen die misbruik van de nu verholpen kwetsbaarheid maken. bron: security.nl

Een kwetsbaarheid in het UPnP-protocol maakt verschillende soorten aanvallen mogelijk, zoals het stelen van gegevens, uitvoeren van scans op interne netwerken en versterken van ddos-aanvallen, en volgens de onderzoeker die het probleem ontdekte lopen miljarden apparaten risico. Het gaat onder andere om Windowscomputers, Xbox-spelcomputers, televisies en routers. Het beveiligingslek wordt CallStranger genoemd en is aanwezig in het UPnP-protocol. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Onderzoeker Yunus Cadirci ontdekte een server-side request forgery (SSRF)-achtige kwetsbaarheid in apparaten die van UPnP gebruikmaken. Het beveiligingslek wordt veroorzaakt doordat een aanvaller de waarde kan bepalen van de Callback-header in de UPnP Subscribe-functie. Via deze functie, die onderdeel van de UPNP-standaard is, kunnen apparaten zich "abonneren" om veranderingen in andere apparaten en services te monitoren, bijvoorbeeld of er media door een apparaat wordt aangeboden. In de Callback-header kan een url worden opgegeven die het UPnP-apparaat vervolgens gebruikt om de eerder genoemde veranderingen in services of apparaten te monitoren. De Subscribe-functionaliteit blijkt echter niet te controleren of de opgegeven url in de Callback-header ook data van een UPnP-apparaat verwacht of niet. "Dus iedereen die toegang tot een UPnP-service heeft met een eventSubURL element voor Subscribtion kan eenvoudig geldig http-verkeer naar elk willekeurig ip-adres/poort genereren", aldus Cadirci. Door het versturen van een speciaal geprepareerde Callback-header naar een apparaat waarvan UPnP beschikbaar is en de subscribe-functie staat ingeschakeld, kan een aanvaller zo op lokale netwerken een poortscan uitvoeren, ddos-aanvallen versterken door een TCP-handshake op te zetten met de url's die in de header staan vermeld en gevoelige data van apparaten stelen. Hoewel de UPnP-functionaliteit van een apparaat niet vanaf het internet toegankelijk hoort te zijn, zijn er toch miljoenen apparaten te vinden waarbij dit het geval is, zo blijkt uit een zoekopdracht via de Shodan-zoekmachine. Organisaties krijgen het advies om beschikbare updates te installeren en anders UPnP uit te schakelen of te beperken. Volgens Cadirci kan het nog lang duren voordat leveranciers voor alle UPnP-apparaten updates hebben uitgebracht. De onderzoeker verwacht echter niet dat thuisgebruikers een direct doelwit van aanvallen zullen zijn, tenzij hun UPnP-apparaten vanaf het internet toegankelijk zijn. Dan zouden die bijvoorbeeld voor ddos-aanvallen zijn te gebruiken. bron: security.nl

IBM stopt met het aanbieden van gezichtsherkenningsproducten en wil dat er in de Verenigde Staten een nationaal debat komt over de inzet van deze technologie door politie, zo heeft het bedrijf in een open brief aan het Amerikaanse Congres laten weten (pdf). In de brief roept het techbedrijf de overheid op om rassengelijkheid te bevorderen en discriminatie tegen te gaan. Volgens IBM-topman Arvind Krishna is het belangrijk dat technologie op verantwoorde wijze wordt ingezet. "Technologie kan transparantie vergroten en gemeenschappen beschermen, maar moet geen discriminatie of rassenongelijkheid bevorderen", aldus Krishna. Als voorbeeld wijst hij onder andere naar kunstmatige intelligentie dat kan worden gebruikt om burgers te beschermen. Leveranciers en de gebruikers van dergelijke systemen hebben wel een verantwoordelijkheid om ervoor te zorgen dat deze systemen niet bevooroordeeld zijn. Met name als ze door politie worden gebruikt, merkt Krishna op. Verder pleit de IBM-topman om technologie in te zetten die voor meer transparantie en verantwoordelijkheid kan zorgen, zoals het gebruik van bodycams door politieagenten en data-analysetechnieken. Een bron laat aan zakenzender CNBC weten dat gezichtsherkenning niet veel omzet voor IBM genereerde. Volgens de zender is de beslissing desondanks nog steeds opmerkelijk voor een bedrijf dat de Amerikaanse overheid als klant heeft. bron: security.nl

De populaire adblocker uBlock Origin blokkeert voortaan ook poortscans die door websites lokaal bij gebruikers worden uitgevoerd. Vorige maand kwam Charlie Belmer, die bij zoekmachine DuckDuckGo aan de privacy en security werkt, met een analyse over een poortscan die eBay op het systeem van bezoekers uitvoert. In tegenstelling tot poortscans die vanaf het internet worden uitgevoerd, wordt de poortscan van eBay vanuit de browser geïnitieerd en scant alleen het lokale ip-adres van de gebruiker. Het bedrijf blijkt informatie te verzamelen over openstaande poorten die onder andere worden gebruikt voor VNC, RDP, TeamViewer, AnyDesk en Ammy Admin. Via deze diensten is het mogelijk om systemen op afstand te besturen. Mogelijk dat eBay op deze manier wil controleren of systemen van gebruikers zijn besmet of onderdeel van een botnet zijn, en zo op frauduleuze manier gebruikt kunnen worden. Uit informatie van Dan Nemec blijkt echter dat de aanwezigheid van een dergelijke open poort er niet voor zorgt dat eBay bijvoorbeeld een "fraudescore" ontvangt. EBay is niet de enige partij die lokaal de poorten van gebruikers scant. Wereldwijd zou het om 30.000 websites gaan, die hiervoor gebruikmaken van LexisNexis' ThreatMetrix. Het bedrijf analyseert naar eigen zeggen dagelijks 150 miljoen transacties voor meer dan 30.000 websites wereldwijd om verdacht gedrag en malware te detecteren. Op de vraag waarom het de poort van gebruikers scant laat eBay tegenover zakenblad Forbes weten dat het dit doet om een veilige omgeving te creëren. Verdere informatie wordt niet gegeven. Gebruikers die niet willen dat websites een lokale poortscan uitvoeren kunnen hiervoor adblocker uBlock Origin installeren. In ieder geval de versie voor Google Chrome blijkt poortscans te blokkeren. UBlock-ontwikkelaar Raymond Hill laat aan Bleeping Computer weten dat hij geen aanpassingen aan de browserextensie heeft doorgevoerd, en dat het waarschijnlijk om aanpassingen aan de filterlijsten gaat waarvan de adblocker gebruikmaakt. Deze filterlijsten worden door andere partijen onderhouden om trackers en andere zaken te blokkeren. Uit reacties op de GitHub-pagina van uBlock Origin blijkt dat inderdaad is voorgesteld om poortscans via de filterlijsten te blokkeren. bron: security.nl

Op internet is exploitcode verschenen voor een kritieke kwetsbaarheid in Windows 10 en Windows Server waarvoor Microsoft in maart een beveiligingsupdate uitbracht. Via het beveiligingslek, dat de naam SMBGhost heeft gekregen, kan een aanvaller zowel op servers als clients code uitvoeren. Om een kwetsbare server over te nemen volstaat het voor een aanvaller om een speciaal geprepareerd pakket naar een SMBv3-server te sturen. Vervolgens zou de aanvaller deze server zo kunnen instellen dat het mogelijk is om ook op alle clients die verbinding maken willekeurige code uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is de kwetsbaarheid beoordeeld met een 10. Op 12 maart publiceerde Microsoft een beveiligingsupdate voor de kwetsbaarheid, die de CVE-code CVE-2020-0796 heeft. Destijds waarschuwde securitybedrijf Tenable al dat een computerworm misbruik van de kwetsbaarheid zou kunnen maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laat nu weten dat er exploitcode online is verschenen die aanvallers via de kwetsbaarheid willekeurige code laat uitvoeren en dat kwetsbare systemen inmiddels met de exploit worden aangevallen. Het CISA baseert zich hierbij op open bronnen. De overheidsinstantie adviseert organisaties om de update zo snel als mogelijk te installeren. In de praktijk blijkt dat organisaties dit niet altijd doen. Zo maakte de WannaCry-ransomware misbruik van een SMB-kwetsbaarheid waarvoor al twee maandenlang een update beschikbaar was. bron: security.nl

Dropbox heeft zowel voor Android- als iOS-gebruikers een besloten testversie van een eigen wachtwoordmanager gelanceerd. De wachtwoordmanager met de naam Dropbox Passwords slaat wachtwoorden van gebruikers op en kan nieuwe wachtwoorden genereren. Via een automatische synchronisatie-optie is het mogelijk om opgeslagen wachtwoorden ook vanaf andere apparaten te benaderen. Voor het opslaan van de wachtwoorden maakt Dropbox naar eigen zeggen gebruik van "Zero-Knowledge encryption", wat inhoudt dat het bedrijf geen toegang tot de opgeslagen wachtwoorden van gebruikers heeft, omdat het niet over de decryptiesleutels beschikt om die te ontsleutelen. Verdere details over de werking van Dropbox Passwords zijn niet gegeven en het bedrijf heeft zelf nog niets over de wachtwoordmanager naar buiten gebracht. Wel laat het weten dat de huidige bètatest alleen op uitnodiging voor sommige Dropbox-klanten beschikbaar is. Gebruikers kunnen de app wel downloaden, maar om die ook te kunnen gebruiken moet er met accounts worden ingelogd die door Dropbox zijn uitgenodigd. bron: security.nl

Drie kwetsbaarheden in de NAS-systemen van QNAP die twee jaar geleden aan de fabrikant werden gemeld zijn eindelijk verholpen. Via de beveiligingslekken zou een aanvaller kwaadaardige code kunnen injecteren of willekeurige commando's op NAS-systemen kunnen uitvoeren. Zo was het mogelijk om via bestandsnamen met kwaadaardige html-tags willekeurige JavaScript uit te voeren en zo bijvoorbeeld de sessioncookies van de gebruiker te stelen. Een andere aanval maakte het mogelijk om via een aangemaakte gebruikersnaam commando's uit te voeren. QTS, het besturingssysteem van de NAS, stond het toe dat er gebruikersnamen met een Bash-syntax werden aangemaakt, waarna het opgegeven Bash-commando werd uitgevoerd. Om deze aanval uit voeren moest een aanvaller wel al over beheerdersrechten beschikken. Als laatste is er een kwetsbaarheid verholpen die het mogelijk maakte om via de "description" van een gebruiker willekeurige JavaScript uit te voeren. Hiervoor moest er een link via het File Station van de NAS worden aangemaakt om bestanden op de NAS met anderen te delen. Wanneer deze andere gebruikers de gedeelde link van de gebruiker met de speciale description zouden bekijken werd de JavaScriptcode uitgevoerd. Ook via deze manier was het mogelijk om bijvoorbeeld sessioncookies te stelen. QNAP omschrijft de impact van de kwetsbaarheden als "high". De NAS-fabrikant werd op 24 mei 2018 door securitybedrijf Independent Security Evaluators (ISE) over de beveiligingslekken geïnformeerd. In januari 2019 publiceerde ISE details over de kwetsbaarheden. Vandaag laat QNAP weten dat de problemen zijn verholpen. Dit is gedaan via nieuwe versies van QTS die in april en mei zijn verschenen. bron: security.nl

Wachtwoorden zijn nog altijd de voornaamste manier om gebruikers mee te authenticeren, het is dan ook belangrijk dat organisaties en gebruikers hier zorgvuldig mee omgaan en maatregelen nemen om misbruik te voorkomen, zoals passphrases en privacyfilters voor laptops. Dat stelt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). ENISA is een Europees expertisecentrum voor cyberveiligheid. Het agentschap helpt de EU en de EU-landen problemen op het gebied van informatiebeveiliging te voorkomen, op te sporen en te verhelpen. Zo publiceert het agentschap geregeld onderzoeken en adviezen en bevordert het de samenwerking tussen de computercrisisteams van de verschillende EU-landen. In een vandaag verschenen advies gaat ENISA in op de manieren waarop wachtwoorden kunnen worden gestolen en wat gebruikers en organisaties kunnen doen om hun wachtwoordveiligheid te verbeteren. Volgens ENISA is het zeer belangrijk dat gebruikers hun wachtwoorden niet hergebruiken. Iets wat nog altijd veel voorkomt, aldus het agentschap. Tevens krijgen gebruikers het advies om voor elke website en dienst een unieke passphrase te gebruiken. Een wachtwoord dat uit meerdere woorden bestaat. Om bij het beheer van al deze wachtwoorden te helpen raadt ENISA het gebruik van een wachtwoordmanager aan. Verder wordt geadviseerd om geen eenvoudig te achterhalen wachtwoordhints te gebruiken en waar mogelijk multifactorauthenticatie in te schakelen. Een ander risico waarvoor het agentschap waarschuwt is schoudersurfen, waarbij wachtwoorden door personen in de omgeving worden afgekeken. Wie zijn laptop in een openbare locatie gebruikt moet dan ook alert zijn. ENISA stelt dat een privacyfilter dat de kijkhoek van het scherm beperkt hierbij handig kan zijn. Afsluitend krijgen gebruikers het advies om hun apparatuur niet onbeheerd op openbare plekken zoals hotels of het openbaar vervoer achter te laten. bron: security.nl

Twee kritieke kwetsbaarheden in de Zoom-client maakten het mogelijk voor aanvallers om willekeurige code op de systemen van gebruikers uit te voeren, zo ontdekten onderzoekers van Cisco. Het versturen van een speciaal geprepareerd chatbericht was voldoende om bestanden op het systeem van gebruikers te plaatsen, wat uiteindelijk tot het uitvoeren van willekeurige code had kunnen leiden. Zoom biedt gebruikers een chatfunctie waarbij gebruikers geanimeerde gif-bestanden kunnen versturen. Hiervoor wordt er gebruikgemaakt van gif-zoekmachine Giphy. Wanneer een gebruiker een chatbericht ontvangt met de Giphy-extensie, wordt er een http-url bezocht en het betreffende gif-bestand geladen dat de gebruiker krijgt te zien. Zoom bleek de locatie van de opgegeven url niet te controleren. Zo was het mogelijk om in het chatbericht dat naar een gebruiker werd gestuurd de url naar een willekeurige server te laten wijzen, in plaats van de Giphy-server. Zoom slaat ontvangen afbeeldingen lokaal in de Zoom-directory op om die in de toekomst weer te kunnen geven. Een tweede probleem was dat opgegeven bestandsnamen niet werden gesanitized en er path traversal mogelijk was. Hierdoor had een aanvaller bestanden buiten de Zoom-directory kunnen plaatsen, in elke willekeurige directory waar de gebruiker schrijfrechten toe had. De ernst van de kwetsbaarheid werd deels beperkt doordat Zoom de bestanden van de extensie .gif voorziet. Volgens de onderzoekers was de inhoud van het bestand echter niet beperkt tot een afbeelding en zou uitvoerbare code of script kunnen bevatten dat bij misbruik van een andere kwetsbaarheid gebruikt zou kunnen worden. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek werd die met een 8,5 beoordeeld. Zoom werd op 16 april geïnformeerd en liet op 27 mei aan Cisco weten dat het probleem op 21 april was gepatcht. De kwetsbaarheid kreeg de CVE-code CVE-2020-6109 toegekend. Tweede kwetsbaarheid Het tweede beveiligingslek (CVE-2020-6110) werd met een score van 8 iets lager ingeschaald dan de eerste kwetsbaarheid. Wederom was het mogelijk om via een speciaal geprepareerd chatbericht en path traversal mogelijk om bestanden op het systeem te plaatsen. In plaats van geanimeerde afbeeldingen ging de Zoom-client nu de fout in bij de optie om broncode te delen. Door het installeren van een extensie is het mogelijk om stukjes broncode met "full syntax highlighting support" met andere Zoom-gebruikers te delen. Gebruikers die de broncode ontvangen hoeven hiervoor geen extensie te installeren. Zodra een Zoom-gebruiker broncode deelt maakt Zoom hier een zip-bestand, dat bij ontvangende gebruikers automatisch wordt uitgepakt en weergegeven. Onderzoekers van Cisco ontdekten dat de Zoom-client de inhoud van het zip-bestand niet controleert voordat het wordt uitgepakt. Hierdoor was het mogelijk voor aanvallers om uitvoerbare bestanden op de computer van gebruikers te plaatsen. Tevens was er wederom het probleem van path traversal, wat het voor een aanvaller mogelijk maakte om de bestanden in het zip-bestand buiten de bedoelde directory te plaatsen, hoewel er wel enige beperkingen waren. Met enige interactie van de gebruiker was het echter mogelijk om bestanden in nagenoeg alle willekeurige directories te krijgen. Zoom werd wederom op 16 april ingelicht en maakte op 27 mei bekend dat de kwetsbaarheid op 30 april was verholpen. Zoom-gebruikers krijgen dan ook het advies om naar de meest recente versie van de software te updaten. bron: security.nl

Aanvallers hebben geprobeerd om via een grootschalige aanval de databasewachtwoorden van 1,3 miljoen WordPress-sites te stelen. Dat stelt securitybedrijf Wordfence op basis van eigen cijfers. De aanvallers maakten misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden. Daarbij hadden de aanvallers het specifiek voorzien op het bestand wp-config.php. Dit bestand bevat gevoelige informatie zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "Authentication Unique Keys and Salts" waarmee het mogelijk is om authenticatiecookies te vervalsen. Met de informatie uit het php-bestand is het mogelijk om volledige controle over de WordPress-site te krijgen. Volgens Wordfence zijn de aanvallen zichtbaar in de serverlogs van aangevallen WordPress-sites. Daarnaast heeft het securitybedrijf de tien ip-adressen genoemd die voor de meeste aanvallen in deze campagne verantwoordelijk zijn. Om welke plug-ins en themes het gaat is niet bekendgemaakt, maar eerder waarschuwde het securitybedrijf voor actieve aanvallen op een kwetsbaarheid in de Duplicator Plugin waarmee wp-config.php kon worden gestolen. Gebruikers van gecompromitteerde websites krijgen het advies om meteen hun databasewachtwoord en authenticatie keys te wijzigen. bron: security.nl

Google is in de Verenigde Staten aangeklaagd voor het tracken van internetgebruikers die van de incognitomode van hun browser gebruikmaken. Volgens de aanklacht volgt en verzamelt Google de surfgeschiedenis van gebruikers, zelfs wanneer die maatregelen nemen om hun privacy te beschermen. Google zou daarnaast Californische wetgeving overtreden die stelt dat bij het lezen of achterhalen van de inhoud van privécommunicatie alle partijen hiervoor toestemming moeten geven. De eisers achter de massaclaim stellen dat Google het gebruik van de incognito-mode adviseert om privé te kunnen browsen, maar dat het techbedrijf op allerlei manieren toch gegevens van gebruikers blijft verzamelen. Het gaat dan bijvoorbeeld om de Google Ad Manager, de "Google Sign-In" knop op websites en andere plug-ins en tools waar sites gebruik van kunnen maken. Met het gebruik van de incognito-mode geven gebruikers echter aan dat ze niet gevolgd willen worden, aldus de eisers. Ook zou Google hiermee de eigen "privacybeloftes" schenden. Ze willen dan ook dat Google verantwoordelijk wordt gehouden voor de schade die het berokkent en dat het bedrijf stopt met het ongeautoriseerd verzamelen van gegevens. Tevens vragen de eisers een schadevergoeding van meer dan 5.000 dollar per deelnemer aan de massaclaim of het drievoudige van de geleden schade. Google laat in een reactie aan The New York Times en persbureau Reuters weten dat het de claims betwist. De incognitomode zorgt er alleen voor dat het surfgedrag van de gebruiker niet in de browser of op zijn computer wordt opgeslagen. Tevens worden gebruikers bij het openen van een nieuwe incognito-tab gewaarschuwd dat websites nog steeds informatie over de online activiteiten kunnen verzamelen. bron: security.nl

Begin dit jaar werd een onbeveiligde Elasticsearch-server ontdekt met 69 miljoen e-mailadressen, alsmede namen, telefoonnummers, adresgegevens geslacht en ip-adressen. De organisatie verantwoordelijk voor het datalek is onbekend en beveiligingsonderzoeker Troy Hunt is nu een zoektocht gestart. Elasticsearch is software die grote hoeveelheden data doorzoekbaar maakt. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. In januari van dit jaar ontdekte onderzoeker Bob Diachenko een onbeveiligde Elasticsearch-server met 110 miljoen records. De server was voor iedereen op internet zonder wachtwoord toegankelijk. Begin maart werd de data door een aanvaller gestolen en verwijderd, aldus Diachenko. In eerste instantie werd gedacht dat de server van een Duits bedrijf was dat zich met "lead generation" bezighoudt, maar dat bleek niet zo te zijn. Nu maanden later is de eigenaar nog altijd onbekend. Hunt, eigenaar van datalekzoekmachine Have I Been Pwned, is een zoektocht gestart. Een soortgelijke zoektocht die twee weken geleden plaatsvond leidde tot de ontdekking van een datalek bij adresboek-app Covve. Hunt hoopt nu met hulp van het publiek ook dit datalek op te lossen. De 69 miljoen e-mailadressen die op de server werden gevonden zijn aan Have I Been Pwned toegevoegd. Daarvan was 93 procent al via een ander datalek bij de zoekmachine bekend. bron: security.nl

Er is een nieuwe versie van Tor Browser verschenen die gebruikers voor de eerste keer de optie biedt om onion-versies van websites automatisch te bezoeken. Websites die over een onion-versie beschikken moeten hiervoor wel een http-header toevoegen waarin deze website wordt aangekondigd. Onion-sites zijn alleen toegankelijk via het Tor-netwerk, dat weer via Tor Browser benaderbaar is. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Dit is de laatste computer in het Tor-netwerk dat de uiteindelijke verbinding naar de gewenste website opzet. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Facebook, nieuwssite ProPublica, e-maildienst ProtonMail en zelfs de CIA hebben een onion-versie van hun website. Deze partijen kunnen de onion-versie nu via een http-header aankondigen. Wanneer de normale versie van de website met Tor Browser wordt bezocht laat de browser een melding zien of de gebruiker voortaan de onion-versie wil bezoeken. De nieuwe feature is aanwezig in Tor Browser 9.5. Deze versie verhelpt daarnaast verschillende kwetsbaarheden in de browser en legt bij beveiligingswaarschuwingen in de adresbalk de nadruk op onbeveiligde verbindingen. Waar een beveiligde verbinding in het verleden via aparte iconen en andere indicatoren werd weergegeven is dit inmiddels voor browsers de standaardsituatie. Wanneer er van deze situatie wordt afgeweken, bijvoorbeeld bij het bezoeken van http-sites, krijgen gebruikers een waarschuwing te zien. De ontwikkelaars van Tor Browser hebben de indicatoren van de browser hierop nu ook aangepast. Updaten naar de nieuwste Tor Browser kan via de updatefunctie en TorProject.org. bron: security.nl