Captain Kirk

Videoconferentiesoftware Zoom is in de Verenigde Staten aangeklaagd voor het delen van data met Facebook. Daarnaast is de Amerikaanse staat New York een onderzoek naar het bedrijf gestart. Onlangs werd bekend dat de iOS-app van Zoom data naar Facebook stuurt. De Zoom-app laat Facebook weten wanneer de gebruiker de app opent, verstuurt informatie over het toestel van de gebruiker, zoals model, tijdszone en stad waarvandaan wordt ingelogd, gebruikte telecomprovider en een uniek advertentie-id waarmee gebruikers gerichte advertenties kunnen krijgen. Zoom bracht een nieuwe iOS-app uit om het delen van data met Facebook te stoppen. Gebruikers moeten deze nieuwe versie wel installeren, anders worden hun gegevens nog steeds naar Facebook gestuurd. Volgens de aanklacht werd in het privacybeleid van zoom niet uitgelegd dat de app code bevatte die data naar Facebook en mogelijk andere derde partijen doorstuurde. "De gedaagde wist of had moeten weten dat de de beveiligingsmaatregelen van de Zoom-app onvoldoende waren om de persoonlijke informatie van deelnemers aan de massaclaim te beschermen en dat het risico van het ongeautoriseerd verstrekken aan Facebook zeer waarschijnlijk was. De gedaagde heeft nagelaten om gezien de aard van de informatie redelijke beveiligingsprocedures en -maatregelen te implementeren om de persoonlijke informatie van de klager en deelnemers aan de massaclaim te beschermen", aldus de aanklacht. Verder stelt de aanklacht dat Zoom geen maatregelen heeft genomen om oudere versies van de app te blokkeren. Tenzij gebruikers hun Zoom-app updaten blijven ze zonder hun toestemming of medeweten informatie naar Facebook sturen. "Zoom had alle iOS-gebruikers kunnen dwingen om naar de nieuwe Zoom-app te updaten, maar Zoom heeft ervoor gekozen dit niet te doen", zo stelt de aanklacht. Tevens geeft Zoom geen garantie dat Facebook de ontvangen informatie heeft verwijderd. De klager eist nu een schadevergoeding, zo melden Bloomberg en Vice Magazine. Onderzoek Naast de aanklacht heeft het privacybeleid van Zoom ook de aandacht van de staat New York. Minister van Justitie Letitia James verstuurde Zoom gisteren een brief waarin ze opheldering vraagt over de maatregelen die Zoom heeft genomen om met het toegenomen aantal gebruikers om te gaan en aanvallers buiten de deur te houden. In de brief uit Letitia ook haar zorgen dat Zoom in het verleden traag op beveiligingslekken reageerde en zijn er zorgen dat het huidige beveiligingsbeleid onvoldoende is om te reageren op zowel de volume als de gevoeligheid van de data die via de dienst wordt verwerkt. De minister wijst ook naar het delen van data met Facebook en vraagt wat voor soort gegevens Zoom verzamelt, alsmede voor welke doeleinden en aan welke partijen Zoom de gegevens van gebruikers verstrekt. Mogelijk dat Zoom de regels voor het beschermen van leerlingengegevens overtreedt. Zo moet het bedrijf laten weten hoe het toestemming voor leerlingen verkrijgt en controleert, alsmede welke partijen gegevens met betrekking tot kinderen ontvangen, zo laat The New York Times weten. bron: security.nl

De FBI heeft een waarschuwing afgegeven waarin het organisaties en onderwijsinstellingen wijst op personen die online vergaderingen verstoren, ook wel "Zoom-bombing" genoemd. Vanwege de coronauitbraak wordt er veel meer gebruik gemaakt van videoconferentiesoftware zoals Zoom. Bij het opzetten van een meeting genereert Zoom een link die met deelnemers kan worden gedeeld. Zonder de juiste voorzorgsmaatregelen kan iedereen die de link kent aan de meeting deelnemen. Op Twitter en andere kanalen zijn allerlei organisaties te vinden die hun Zoom-link delen. Vervolgens zijn er personen die zo toegang tot de meeting krijgen en die vervolgens verstoren. Onder andere verschillende scholen kregen hiermee te maken Vanwege het misbruik kwam Zoom zelf met een uitleg voor organisaties en scholen hoe de meetings zijn te beveiligen, zoals het gebruik van een wachtwoord of het instellen van een "wachtkamer". Ook verschillende universiteiten kwamen met adviezen om Zoom-meetings te beveiligen. Nu laat ook de FBI weten dat bij verschillende scholen de Zoom-meetings zijn verstoord. Onderwijsinstellingen en bedrijven krijgen van de Amerikaanse opsporingsdienst daarom het advies om hun meetings en online lessen niet publiek te maken. Tevens wordt afgeraden om links voor meetings via social media te delen. In plaats daarvan is het verstandiger ze direct aan deelnemers te verstrekken. Ook moet screensharing op "Host Only" worden ingesteld, anders kunnen binnendringers allerlei ongepaste beelden aan andere deelnemers tonen. Afsluitend krijgen slachtoffers van Zoom-bombing het advies dit aan de FBI te melden. bron: security.nl

Microsoft heeft een nieuwe feature voor Chromium Edge aangekondigd die gebruikers waarschuwt als één van hun wachtwoorden bij een website is gestolen. De feature heet Password Monitor en vergelijkt wachtwoorden die in de browser zijn opgeslagen met wachtwoorden die bij websites zijn gestolen. Wanneer Chromium Edge ontdekt dat het wachtwoord van de gebruiker is gestolen krijgt die een waarschuwing te zien. In de waarschuwing staat informatie over de website in kwestie en een link om het betreffende gestolen wachtwoord te wijzigen. Via een dashboard is het mogelijk om een overzicht van alle gestolen wachtwoorden te krijgen en van welke websites gebruikers de waarschuwing hebben genegeerd. Gebruikers moeten de feature straks wel zelf inschakelen. Standaard staat die namelijk uitgeschakeld. Microsoft verwacht dat Password Monitor de komende maanden aan de testversie van Chromium Edge wordt toegevoegd. De nieuwste Edge-versie is op Chromium gebaseerd, de door Google ontwikkelde opensourcebrowser die de basis voor Chrome en andere browsers vormt. De feature zal niet in de oude Edge-versie verschijnen, die standaard met Windows 10 wordt geleverd. Waar Microsoft de informatie over gestolen wachtwoorden vandaan haalt is nu nog niet bekendgemaakt, alsmede hoe de feature technisch werkt. Google Chrome en Mozilla Firefox beschikken al over een dergelijke feature. Mozilla maakt hiervoor gebruik van de datalekzoekmachine Have I Been Pwned. Google liet alleen weten dat de dataset die het gebruikt meer dan 4 miljard gestolen wachtwoorden bevat. Wanneer gebruikers bij Chrome inloggen verstuurt de browser een "anonieme hash-prefix" van de inloggegevens naar Google. Vervolgens wordt in een database naar alle anonieme hash-prefixes gezocht die overeen komen met die van de gebruiker. Vervolgens wordt er lokaal op het systeem van de gebruiker naar de volledige hashes gekeken en welk wachtwoord hierbij hoort. Als laatste krijgt de gebruiker de waarschuwing te zien en het verzoek om zijn wachtwoord te wijzigen. bron: security.nl

Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is. Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software. Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren. De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt. bron: security.nl

Twee zerodaylekken in routers van Draytek zijn zeker al sinds december gebruikt voor het afluisteren van het netwerkverkeer van organisaties en het installeren van backdoors. De netwerkfabrikant heeft inmiddels beveiligingsupdates uitgebracht. Dat meldt securitybedrijf Qihoo 360. Onderzoekers van het bedrijf ontdekten op 4 december de eerste zeroday-aanvallen. Die maakten gebruik van een kwetsbaarheid in de Vigor3900-, Vigor2960- en Vigor300B-routers waardoor ongeautoriseerde gebruikers op afstand commando's op de netwerkapparatuur konden uitvoeren. Op 28 januari werd er een tweede zerodaylek ontdekt dat actief door aanvallers werd gebruikt en ook het op afstand uitvoeren van commando's mogelijk maakte. Aanvallers gebruiken de kwetsbaarheden voor het installeren van scripts waarmee al het e-mail- en ftp-verkeer op poorten 21, 25, 143 en 110 wordt onderschept. Tevens installeren de aanvallers verschillende backdoors en maken ook backdoor-accounts aan. Onderzoekers van Qihoo 360 waarschuwden Draytek op 8 december vorig jaar voor het eerste zerodaylek, maar ontdekten later pas dat het communicatiekanaal niet bleek te werken. Op 25 december verstrekte Qihoo 360 wat details over de aanvallen op Twitter, zonder de naam van Draytek te noemen. Uiteindelijk kwam Draytek op 10 februari met beveiligingsupdates. Daarop hebben de onderzoekers nu de details over de kwetsbaarheden openbaar gemaakt. Organisaties krijgen het advies om de firmware-updates te installeren en te controleren dat hun netwerkapparaten niet zijn gecompromitteerd. Op het moment dat de eerste aanvallen werden ontdekt waren er volgens Qihoo 360 zo'n 100.000 kwetsbare Draytek-routers online. bron: security.nl

Vanaf volgende week zullen er weer updates voor Chrome verschijnen, zo heeft Google aangekondigd. Vorige week liet het techbedrijf nog weten dat het vanwege "aangepaste werkschema's" door het coronavirus tijdelijk geen nieuwe Chrome-versies zou uitbrengen. Google is echter van plan om de updates voor Chrome volgende week te hervatten. Als eerste verschijnt er een nieuwe versie van Chrome 80 die beveiligingsupdates en kritieke bugfixes bevat. Vervolgens zal in de week van 7 april Chrome 81 uitkomen. Vanwege het aangepaste schema besloot Google om Chrome 82 te schrappen. In plaats daarvan zal er verder worden gegaan met Chrome 83, die drie weken eerder dan gepland uitkomt. Dit zou halverwege mei moeten zijn. Informatie over Chrome 84 zal Google op een later moment delen. "We blijven nauwlettend in de gaten houden dat Chrome en Chrome OS stabiel, veilig en betrouwbaar blijven werken", aldus het Chrome-team. Naar aanleiding van Googles beslissing om een pauze in te lassen besloot ook Microsoft om nieuwe versies van Edge Chromium tijdelijk uit te stellen. Of Microsoft nu ook het updateschema hervat is nog onbekend. bron: security.nl

Google Chrome krijgt een optie waardoor standaard de volledige url wordt weergegeven. Op dit moment laat de browser zowel het protocol als het www-subdomein niet in de url zien. Gebruikers konden dit via een aparte optie instellen, maar met de lancering van Chrome 79 verdween deze optie uit de browser. Gebruikers die het protocol en www-subdomein willen zien moeten nu twee keer in de adresbalk klikken of Googles Chrome-extensie "Suspicious Site Reporter" installeren. Tegenstanders van de maatregel noemden het een beveiligingsrisico. Zo zou het voor een aanvaller veel eenvoudiger worden om zich als het hoofddomein voor te doen. Google werkt echter aan een optie zodat de volledige url in de adresbalk weer wordt weergegeven, zo blijkt uit een ticket van de Chromium-bugtracker en een toevoeging aan de Chromium-code. Er is zelfs al een ontwerp gemaakt van hoe de optie eruit komt te zien. Daarnaast is die in een vroege testversie van Chrome 83 te testen. Eerder liet Chrome-manager Adrienne Porter Felt in een interview met Wired weten dat veel eindgebruikers url's niet snappen en dat het daarom niet geschikt is als middel om een website te identificeren. bron: security.nl

Mozilla zal Firefox 76 die voor mei van dit jaar gepland staat voorzien van een optionele https-only mode die websites alleen nog via https laadt. Dat meldt webontwikkelaar Sören Hentzschel en blijkt ook uit een melding op Bugzilla. Wanneer gebruikers in deze mode in de adresbalk een domein invoeren zal Firefox het domein automatisch via https laden. Voert de gebruiker een url in die met http begint, dan verandert Firefox het protocol automatisch naar https. Ook zal de browser alle content op websites die via http wordt aangeboden automatisch via https proberen te laden. De feature werkt alleen als de website en overige content ook via https wordt aangeboden. Inmiddels maken de meeste websites gebruik van https. In het geval een website toch nog alleen via http bereikbaar is of content via http aanbiedt zullen die in de https-only mode niet worden geladen. Alleen websites en content toegankelijk via https zullen in de https-only mode werken. De feature is nu in de meest recente versie van Firefox Nightly te testen en zal in de definitieve versie van Firefox 76 aanwezig zijn, die voor 5 mei gepland staat. bron: security.nl

Aanvallers zijn erin geslaagd om kwaadaardige code aan de website van keukengereifabrikant Tupperware toe te voegen die creditcardgegevens van klanten steelt. De code werd aan de betaalpagina van de Tupperware-webshop toegevoegd en zorgt ervoor dat zodra klanten hun bestelling willen afrekenen er een vals betaalformulier wordt geladen. Zodra slachtoffers hun creditcardgegevens in het valse betaalformulier hebben ingevuld verschijnt er een foutmelding, waarna het legitieme betaalformulier wordt geladen. Slachtoffers vullen vervolgens hun gegevens voor een tweede keer in. Op dat moment zijn de gegevens al naar de criminelen gestuurd, zo meldt antimalwarebedrijf Malwarebytes in een analyse. Onderzoekers van het bedrijf probeerden Tupperware te waarschuwen, maar zonder succes. De keukengereifabrikant werd verschillende keren gebeld, via e-mail, Twitter en LinkedIn benaderd, maar op het moment dat de analyse online verscheen was de website nog steeds gecompromitteerd en hadden de onderzoekers geen reactie gekregen. Hoe de aanvallers toegang tot de Tupperware-site wisten te krijgen is onbekend. bron: security.nl

Onderzoekers hebben een nieuwe aanvalscampagne ontdekt waarbij criminelen weten in te breken op Linksys-routers om die vervolgens naar een "corona-app" te laten wijzen. In werkelijkheid gaat het om malware die wachtwoorden uit de browser en cryptowallet-wachtwoorden steelt. Ook in Nederland zijn er slachtoffers, aldus antivirusbedrijf Bitdefender. Hoe de aanvallers precies op de Linksys-routers weten in te breken is onbekend, maar onderzoekers denken dat dit via bruteforce-aanvallen gebeurt. De aanvallen zouden zijn gericht tegen de beheerdersconsole van de router of het Linksys-cloudaccount. Zodra de aanval succesvol is wijzigen de aanvallers de dns-instellingen van de router. Hierdoor worden bepaalde domeinen naar een locatie van de aanvallers doorgestuurd. Het gaat onder andere om aws.amazon.com, goo.gl, bit.ly, disney.com en doubleclick.net. Zodra slachtoffers een dergelijk domein bezoeken verschijnt er in de browser een melding die van de Wereldgezondheidsorganisatie afkomstig lijkt te zijn. Volgens de melding moeten gebruikers de aangeboden applicatie installeren om de laatste adviezen over het coronavirus te ontvangen. In werkelijkheid gaat het om een malware-downloader die de Oski-infostealer downloadt en op het systeem installeert. Deze malware kan onder andere wachtwoorden uit de browser stelen, alsmede wachtwoorden voor cryptowallets. De meeste slachtoffers van de aanval werden door Bitdefender in de Verenigde Staten waargenomen, gevolgd door Duitsland en Frankrijk. Nederland volgt op de vierde plek. "Door de dns-instellingen van de router te wijzigen denken gebruikers dat ze op een legitieme webpagina zijn beland, alleen dat het van een ander ip-adres wordt geladen", zegt onderzoeker Liviu Arsene. Gebruikers krijgen het advies om standaardwachtwoorden te wijzigen en de laatste firmware-update te installeren. bron: security.nl

De afgelopen weken zijn tientallen organisaties aangevallen via kwetsbaarheden in producten van Citrix, Cisco en Zoho, zo stelt securitybedrijf FireEye. In alle gevallen waren er updates of oplossingen beschikbaar om aanvallen tegen te gaan, maar waren die niet door alle organisaties uitgerold. De aanvallen waren gericht tegen onder andere banken, defensiebedrijven, universiteiten, advocatenkantoren, mediabedrijven, energiesector, farmaceutische bedrijven, telecombedrijven en verschillende andere sectoren over de hele wereld. Volgens FireEye is een groep genaamd APT41 voor de aanvallen verantwoordelijk. Deze groep zou vanuit China opereren en zich met cyberspionage en aanvallen voor persoonlijke financieel gewin bezighouden. De nieuwste campagne van de groep begon op 20 en 21 januari en maakte misbruik van een ernstig beveiligingslek in de Citrix Netscaler/ADC-oplossingen. Citrix had toen al mitigatiemaatregelen beschikbaar gesteld om aanvallen te voorkomen. Op 20 januari verscheen daarnaast een eerste beveiligingsupdate voor bepaalde versies van de kwetsbare producten. Op 21 februari van dit jaar zag FireEye een succesvolle aanval tegen een Cisco RV320-router van een niet nader genoemde telecomorganisatie. Welke exploit de aanvallers gebruikten is onbekend, maar vermoedelijk maakte die misbruik van twee kwetsbaarheden die op 4 april 2019 door Cisco werden gepatcht. Daarnaast heeft FireEye ook aanvallen van APT41 gezien waarbij er een kwetsbaarheid in de Zoho ManageEngine Desktop Central werd gebruikt. Desktop Central is een oplossing om computers en mobiele apparaten mee te beheren. Het beveiligingslek was op 12 december aan ManageEngine gerapporteerd. Het bedrijf kwam op 20 januari met een tijdelijke oplossing. Op 7 maart verscheen er een beveiligingsupdate. Een dag later zag FireEye dat APT41 de kwetsbaarheid bij tien klanten probeerde aan te vallen. Bij vijf organisaties was de aanval succesvol. Organisaties krijgen dan ook het advies om beschikbare patches te installeren en mitigatiemaatregelen door te voeren. bron: security.nl

De nieuwste versie van Safari die Apple gisterenavond uitbracht blokkeert alle third-party cookies. Een maatregel die de privacy en security van gebruikers moet verbeteren, zo stelt John Wilander van Apple. De maatregel voorkomt onder andere dat gebruikers via third-party cookies zijn te volgen. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Apples browser beschikt sinds 2017 over Intelligent Tracking Prevention (ITP) waarmee third-party trackingcookies worden geblokkeerd. Safari maakt hiervoor gebruik van een lijst van bekende trackingdomeinen. Nu is de privacymaatregel uitgebreid naar alle third-party cookies. Safari is na Tor Browser de eerste grote browser die third-party cookies volledig blokkeert, merkt Wilander op in een blogposting over de maatregel. Dit moet niet alleen de privacy ten goede komen, maar gebruikers ook tegen cross-site request forgery (CSRF) beschermen. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Doordat third-party cookies worden geblokkeerd is deze aanval niet meer mogelijk. Verder zorgt het blokkeren van alle third-party cookies ervoor dat een website niet meer kan detecteren op welke websites een gebruikers allemaal is ingelogd. Wilander hoopt dat andere browsers de maatregel ook zullen doorvoeren. Apple zal daarom de bevindingen met het volledig blokkeren van third-party cookies met andere browserontwikkelaars gaan delen. De maatregel is aanwezig in Safari op iOS en iPadOS versie 13.4 en Safari 13.1 voor macOS. bron: security.nl

De FBI heeft het cybercrimeplatform Deer.io uit de lucht gehaald en de vermeende beheerder aangehouden. Deer.io bood een webwinkelplatform aan waarmee cybercriminelen allerlei producten en diensten aan andere cybercriminelen konden aanbieden. De website was sinds 2013 operationeel en claimde meer dan 24.000 "shops" te hebben die bij elkaar voor een omzet van meer dan 17 miljoen dollar verantwoordelijk waren. De shops boden gestolen bedrijfsgegevens en financiële data aan, alsmede persoonlijke identificeerbare informatie en gecompromitteerde accounts. Het ging onder andere om data die via malware was verkregen, zo stelt het Amerikaanse ministerie van Justitie. Via Deer.io konden cybercriminelen eenvoudig een eigen webshop lanceren en hun producten en diensten adverteren. Volgens de aanklacht bood Deer.op webshopeigenaren een gebruiksvriendelijke interface voor de automatische aanschaf en levering van criminele goederen en diensten. Voor iets meer dan 9 euro per maand konden cybercriminelen een webshop op het platform huren. Daarnaast was het via Deer.io ook eenvoudig om naar gestolen inloggegevens of andere diensten te zoeken. In het onderzoek naar het platform kocht de FBI op 4 maart 1100 gecompromitteerde accounts. Een dag later werden er bijna 3700 gecompromitteerde accounts met persoonlijke informatie aangeschaft. Het ging onder andere om namen, geboortedata en social-securitynummers van Amerikaanse burgers. Het platform zou door een 28-jarige Rus zijn beheerd. Hij werd op 7 maart door de FBI in New York City aangehouden en is aangeklaagd voor het zonder toestemming aanbieden van "access devices", waarop een gevangenisstraf van maximaal 10 jaar en een boete van 250.000 dollar staat. bron: security.nl

Door een fout kunnen verschillende SAS SSD-schijven van Hewlett Packard Enterprise (HPE) na 40.000 uur onherstelbaar defect raken waardoor alle data op de schijf verloren gaat. Om dit te voorkomen is een kritieke firmware-update uitgebracht. Afgelopen november had HPE met een soortgelijk probleem te maken. Toen konden schijven na 32.768 uur onherstelbaar defect raken. Het nieuwe probleem, dat los van het eerdere probleem staat, doet zich na 40.000 uur voor. HPE adviseert om de firmware-update meteen te installeren. Wanneer dit niet wordt gedaan zal er na 40.000 uur dataverlies ontstaan. Nadat het probleem zich voordoet is zowel de SSD als data niet meer te herstellen. Wanneer de SSD-schijven op hetzelfde moment zijn gebruikt zullen ze waarschijnlijk ook gelijktijdig stukgaan waarschuwt het bedrijf, wat gevolgen kan hebben als ze in een RAID-setup zijn gebruikt. HPE verwacht, gezien de levertijd van de eerste van deze schijven, dat dit op zijn vroegst in oktober van dit jaar is. Daarnaast meldt het bedrijf dat het probleem niet alleen bij HPE speelt, maar ook bij andere fabrikanten en klanten die deze SSD-schijven van de betreffende leverancier hebben aangeschaft. Via deze pagina legt HPE uit hoe de SSD-uptime kan worden bekeken. bron: security.nl

De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is. Deze library is in alle Windows-versies sinds Vista aanwezig. Verdere details over de aanvallen werden niet gegeven. Nu meldt Microsoft in een update van de security advisory dat Windows 7-systemen het doelwit waren. Via de twee beveiligingslekken kan een aanvaller in het ergste geval volledige controle over systemen krijgen. Hiervoor moet het slachtoffer wel eerst een speciaal geprepareerd document openen of dit document in het Windows-voorbeeldvenster (preview pane) bekijken. Volgens Microsoft is de dreiging voor systemen die op Windows 10 draaien klein, vanwege beveiligingsmaatregelen die al sinds de eerste versie in 2015 aanwezig zijn. Het techbedrijf is ook niet bekend met aanvallen tegen Windows 10-systemen en stelt dat de mogelijkheid om op afstand code uit te voeren op deze Windowsversie verwaarloosbaar is en aanvallers de kwetsbaarheden niet kunnen gebruiken om hun rechten op het systeem te verhogen. Wanneer de beveiligingsupdate voor de twee kwetsbaarheden zal verschijnen is nog altijd onbekend. Microsoft heeft wel verschillende tijdelijke oplossingen genoemd die gebruikers beschermen, maar raadt beheerders van Windows 10-systemen af om die door te voeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen. bron: security.nl

Met de lancering van Firefox 77 in juni van dit jaar zal de browser het onveilige ftp-protocol niet langer meer standaard ondersteunen. Gebruikers kunnen ftp-support nog wel zelf inschakelen, maar begin volgend jaar zal ook dit niet meer mogelijk zijn. Zeven maanden geleden deed een Mozilla-ontwikkelaar al het verzoek om ftp-support uit de browser te verwijderen, omdat ftp een onveilig protocol is. Het protocol maakt geen gebruik van versleuteling, waardoor inloggegevens als platte tekst naar de ftp-server worden verstuurd. Vorig jaar maakte ook Google bekend dat het de ondersteuning van ftp in Chrome ging stoppen. De ondersteuning wordt stopgezet in Chrome 81 en met de lancering van Chrome 82 wordt alle ftp-gerelateerde code verwijderd. Mozilla-ontwikkelaar Michal Novotny laat aan ZDNet weten dat er nu ook een planning voor Firefox is. Met de lancering van Firefox 77 op 2 juni van dit jaar wordt de ondersteuning standaard gestopt. Gebruikers kunnen het via de instellingen van de about:config pagina nog wel inschakelen. Begin 2021 wordt echter alle code uit de browser verwijderd die met het ftp-protocol verband houdt. "We doen dit voor beveiligingsredenen. Ftp is een onveilig protocol en er is geen reden om het boven https te gebruiken voor het downloaden van bestanden. Een deel van de ftp-code is ook oud, onveilig en lastig te onderhouden en in het verleden hebben we er tal van kwetsbaarheden in gevonden", aldus Novotny. bron: security.nl

Google heeft vanwege de uitbraak van het coronavirus besloten om tijdelijk geen nieuwe versies van Chrome en Chrome OS uit te brengen. Beveiligingsupdates zullen nog wel verschijnen. "Vanwege aangepaste werkschema's pauzeren we op dit moment nieuwe Chrome- en Chrome OS-versies. Ons belangrijkste doel is ervoor te zorgen dat ze stabiel, veilig en betrouwbaar blijven werken voor iedereen die ervan afhankelijk is", aldus het ontwikkelteam. Beveiligingsgerelateerde updates krijgen prioriteit en zullen nog wel worden aangeboden. Zo heeft Google kort na deze aankondiging Chrome 80.0.3987.149 uitgerold. Het gaat om een desktopversie van de browser die dertien kwetsbaarheden verhelpt. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De kwetsbaarheden bevonden zich in WebGL, de audio- en mediafunctionaliteit van de browser, de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript en de controle van extensies. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Phishingmails die van de Wereldgezondheidsorganisatie afkomstig lijken, malafide apps en andere scams die inspelen op de berichtgeving over het coronavirus zullen met prioriteit worden bestreden, zo heeft de Amerikaanse minister van Justitie William Barr bekendgemaakt (pdf). De afgelopen dagen waarschuwen allerlei instanties, waaronder de politie, voor phishingmails over het coronavirus. Ook apps die zich voordoen als coronatracker maar in werkelijkheid malware zijn en telefoons vergrendelen zijn inmiddels opgedoken. "De pandemie is al gevaarlijk genoeg zonder dat kwaadwillenden van openbare paniek proberen te profiteren en dit soort gedag kan niet worden getolereerd", stelt Barr in een brief. De justitieminister stelt vervolgens dat alle procureur-generaals het opsporen, onderzoeken en vervolgen van alle criminele activiteiten rond de huidige pandemie prioriteit moeten geven. Een oproep waar ook gehoor aan wordt gegeven. "Het is een absolute prioriteit voor mij en mijn team om crimineel gedrag rond de pandemie te onderzoeken en vervolgen. Burgers moeten alert blijven. Scammers en fraudeurs laten een gelegenheid om te scammen en frauderen nooit verloren gaan", aldus Mike Stuart, procureur-generaal van de Amerikaanse staat West Virginia. bron: security.nl

Twee zerodaylekken in de antivirussoftware van Trend Micro zijn actief aangevallen voordat er een beveiligingsupdate beschikbaar was. Dat heeft de virusbestrijder zelf in een bulletin bekendgemaakt. Het is niet voor het eerst dat de virusscanner van Trend Micro het doelwit van zeroday-aanvallen is. Afgelopen maandag kwam het antivirusbedrijf met beveiligingsupdates voor Trend Micro Apex One en OfficeScan die in totaal vijf kwetsbaarheden verhelpen. Twee van deze beveiligingslekken zijn aangevallen voordat de update werd uitgerold. Een aanvaller kon hierdoor willekeurige code op kwetsbare installaties uitvoeren. Verdere details over deze aanvallen zijn niet gegeven. Vorig jaar waarschuwde Trend Micro ook al voor zeroday-aanvallen op de antivirussoftware. Deze kwetsbaarheden zouden mogelijk zijn gebruikt bij een aanval op Mitsubishi Electric. Naast de twee zerodaylekken zijn ook drie andere kwetsbaarheden verholpen. De ernst van deze drie beveiligingslekken zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via deze kwetsbaarheden kon een aanvaller zonder inloggegevens willekeurige code met systeemrechten op de server uitvoeren. De Japanse overheid adviseert organisaties die van Trend Micro gebruikmaken om de updates zo snel als mogelijk te installeren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere Adobe Acrobat en Reader, Coldfusion en Photoshop verhelpen waardoor een aanvaller in het ergste geval systemen volledig had kunnen overnemen. In het geval van Adobe Acrobat en Reader zijn er dertien kwetsbaarheden gepatcht. Alleen het openen van een kwaadaardig pdf-bestand of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest voor een aanvaller om willekeurige code uit te voeren met rechten van de ingelogde gebruiker, informatie van het systeem te stelen of rechten te verhogen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2020.006.20042, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30166, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30518 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen dertig dagen. Photoshop De updates voor Adobe Photoshop CC 2019 en Photoshop 2020 verhelpen in totaal 22 beveiligingslekken die het uitvoeren van willekeurige code of het stelen van informatie mogelijk maakten. In dit geval zou een Photoshop-gebruiker een speciaal geprepareerde afbeelding moeten openen. Aangezien Photoshop in het verleden geen doelwit van aanvallers is geweest adviseert Adobe om de update te installeren als het uitkomt. ColdFusion Een andere belangrijke update is voor ColdFusion 2016 en 2018 verschenen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. De twee nu verholpen kwetsbaarheden maakten het mogelijk om willekeurige bestanden uit de ColdFusion-installatiedirectory te lezen en bestanden in de webroot- of subdirectory uit te voeren. Dit maakt het uitvoeren van willekeurige code in de context van de ColdFusion-service mogelijk, waardoor een aanvaller toegang tot websites en webservers kan krijgen. Organisaties krijgen het advies om Update 14 voor ColdFusion 2016 en Update 8 voor ColdFusion 2018 snel te installeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. bron: security.nl

Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows. Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app. De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen. Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben. Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen. De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers. Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers. bron: security.nl

Op 11 februari kwam Microsoft met een kritieke beveiligingsupdate voor Exchange, maar een maand later blijkt dat een groot aantal servers nog altijd ongepatcht is. En dat kan een serieus probleem voor organisaties zijn, aangezien servers via de kwetsbaarheid volledig zijn over te nemen. De enige vereiste voor een aanvaller is dat hij toegang tot het e-mailaccount van een gebruiker op de server heeft. Vervolgens is het mogelijk om willekeurige code met systeemrechten uit te voeren. Zo kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Een week geleden werd beken dat aanvallers actief misbruik van de kwetsbaarheid maken. Securitybedrijf Kenna Security besloot te onderzoeken hoe snel organisaties de Exchange-update uitrollen en de resultaten zijn niet bemoedigend, zegt onderzoeker Jonathan Cran. Hij bekeek de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd. Daarnaast maakte Cran gebruik van een dataset van Outlook Web Access (OWA)-servers, verzameld via zoekmachine BinaryEdge. Het ging in totaal om 220.000 publiek toegankelijke OWA-servers. Daarvan bleek 74 procent zeker kwetsbaar te zijn. Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht. "Laat alles vallen en patch deze kwetsbaarheid meteen. Op dit moment vormt dit lek een groter risico dan de meeste andere kwetsbaarheden in de bedrijfsomgeving", aldus de onderzoeker. bron: security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, bevindt zich in grote financiële problemen nu Cisco zich als sponsor heeft teruggetrokken. De stichting verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. De stichting kan dankzij allerlei sponsoren bestaan. Eind februari liet Cisco weten dat het stopte als grootste financiële sponsor in de Verenigde Staten. Daardoor raakte de Shadowserver Foundation meteen vier van de zeven gedoneerde ontwikkelaars/systembeheerders in de Verenigde Staten kwijt. De overige drie gedoneerde medewerkers zullen er op 26 mei mee stoppen. Tevens moet Shadowserver de complete Amerikaanse datacenterinfrastructuur voor 26 mei naar een nieuwe locatie verhuizen. Het gaat om 104 serverracks, 1340 servers en zo'n 12 petabytes aan opslag. "Als een kleine non-profitorganisatie heeft Shadowserver niet de financiële reserves om op deze onverwachte gebeurtenissen en van buiten opgelegde tijdschema's te reageren", zo laat de stichting weten. Zonder directe hulp zal Shadowserver dan ook moeten stoppen met het aanbieden van de belangrijkste diensten, waaronder de gratis netwerkrapporten met informatie over besmette systemen. "Dit betekent het einde van onze mogelijkheid om nationale CERTs en providers te waarschuwen over besmette slachtoffers binnen hun netwerken, en het tijdig voorkomen van te misbruiken, verkeerd geconfigureerde of gecompromitteerde apparaten wereldwijd. Shadowserver is de enige dagelijkse gratis dienst voor het internet op deze schaal", gaat de stichting verder. Er wordt dan ook met spoed naar nieuwe geldschieters gezocht. Belangrijk om hierbij te vermelden is dat het hier alleen om de Amerikaanse afdeling van Shadowserver gaat. De Europese tak wordt via de Europese entiteit van de stichting gefinancierd. "Maar zij zullen op de lange termijn waarschijnlijk ook de gevolgen van de sluiting van ons Amerikaans datacenter voelen", besluit de organisatie. bron: security.nl

Hoewel om een buitengewone situatie gaat is ook bij de bestrijding van het coronavirus de AVG van kracht, zo heeft het Europees Comité voor gegevensbescherming (EDPB) bekendgemaakt. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Op dit moment zijn zowel publieke als private organisaties bezig met de bestrijding van het coronavirus en kunnen daarbij persoonsgegevens verwerken. "Databeschermingsmaatregelen zoals de AVG zijn geen belemmering voor maatregelen die in de strijd tegen het coronavirus worden genomen. Ik wil echter onderstrepen dat zelfs in deze buitengewone tijden de dataverwerker de bescherming van persoonlijke data van de personen in kwestie moet beschermen. Er moet dan ook rekening worden gehouden met een aantal zaken om de rechtmatige verwerking van persoonlijke gegevens te garanderen", zegt EDPB-voorzitter Andrea Jelinek. In het geval van de huidige uitbraak biedt de AVG juridische grondslagen om persoonlijke data te verwerken, zonder de noodzaak om toestemming van de persoon in kwestie te krijgen. "Dit geldt bijvoorbeeld wanneer het verwerken van persoonlijke data noodzakelijk is in het openbaar belang wat betreft de volksgezondheid, om vitale belangen te beschermen of andere juridische verplichtingen", aldus Jelinek. Wanneer er elektronische communicatiegegevens worden verwerkt, zoals mobiele locatiegegevens, gelden er extra regels. Zo kunnen locatiegegevens alleen worden gebruikt wanneer ze zijn geanonimiseerd, of met toestemming van de betrokkenen. "Autoriteiten zouden zich eerst moeten richten op het verwerken van locatiegegevens op anonieme wijze. Dit kan helpen bij het genereren van overzichten met het aantal mobiele apparaten op een bepaalde locatie", gaat de EDPB-voorzitter verder. Wanneer het niet mogelijk is om geanonimiseerde data te verwerken kunnen lidstaten in het belang van nationale en openbare veiligheid noodwetgeving doorvoeren. "Deze noodwetgeving is mogelijk onder de voorwaarde dat het een noodzakelijke, gepaste en proportionele maatregel binnen een democratische samenleving is. Wanneer dergelijke maatregelen worden geïntroduceerd zijn lidstaten verplicht om voldoende beschermingsmaatregelen toe te voegen, zoals de mogelijkheid voor individuen om naar de rechter te stappen", besluit Jelinek. bron: security.nl

De partij achter de Brave-browser heeft bij de Ierse privacytoezichthouder een officiële klacht tegen Google Ierland ingediend voor het overtreden van de AVG (pdf). Google zou namelijk het beginsel van doelbinding, zoals beschreven in de privacywetgeving overtreden, stelt Johnny Ryan van Brave. "Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel", zo laat de Autoriteit Persoonsgegevens over doelbinding weten (pdf). Ryan vroeg Google zes maanden lang wat het bedrijf met zijn gegevens doet. Google zou hier echter geen antwoord op hebben gegeven. Daarnaast heeft Brave een document gepubliceerd waarin het claimt dat Google op allerlei vlakken het principe van doelbinding overtreedt en data van gebruikers voor allerlei andere doeleinden gebruikt dan wordt aangegeven (pdf). Daarbij baseert Brave zich op documenten van Google zelf. "Het onderzoek laat zien dat Google persoonlijke data via integraties met websites, apps en besturingssystemen verzamelt voor honderden slecht gedefinieerde verwerkingsdoeleinden", aldus Ryan. "Googles doelen zijn zo vaag omschreven dat ze geen betekenis of limiet hebben. Het resultaat is een intern vrij gebruik van data die het AVG-principe van doelbinding overtreedt." Brave wil dat de Ierse toezichthouder tegen Google optreedt. Dit zou verschillende gevolgen voor het techbedrijf kunnen hebben. Zo zou Google niet langer automatisch via de eigen producten data over gebruikers mogen verzamelen, zou het niet meerdere toestemmingsverzoeken voor verschillende verwerkingsdoeleinden kunnen bundelen en zouden Google-gebruikers hun eerder gegeven toestemming kunnen intrekken. Naast het indienen van de klacht heeft Brave Europese toezichthouders hier ook op gewezen. bron: security.nl