Captain Kirk

Misschien leuk om te delen: in de weinige vrije uurtjes die ik heb zoek ik mijn ontspanning in het zoeken met de metaal detector. Sinds kort heb ik hierover mijn eigen vlogkanaal: Digging for history Gewoon wat korte filmpjes over wat voor leuks en moois ik zo nu en dan uit de grond naar boven mag toveren. Mocht je het leuk vinden, kun je abonnee worden. Hoe meer abonnees, hoe leuker ik dat natuurlijk vind. Laat ik wel zo eerlijk zijn

ASUS heeft klanten gewaarschuwd die het doelwit van de gisteren onthulde aanval via de Live Update-tool waren. Ook heeft de updatesoftware zelf een update ontvangen om toekomstige aanvallen te voorkomen. De Taiwanese computerfabrikant bevestigt in een vandaag verschenen reactie dat aanvallers vorig jaar toegang tot de Live Update-servers hebben gekregen en zo besmette updates onder gebruikers konden verspreiden. Live Update is een programma dat op de meeste ASUS-computers geïnstalleerd staat. Het helpt gebruikers om hun drivers, firmware en ASUS-software up-to-date te houden. Aanvallers wisten toegang tot de certificaten van ASUS te krijgen en gebruikten die om kwaadaardige updates te signeren. Deze updates werden vervolgens via de servers van de computerfabrikant onder gebruikers verspreid. Een zogeheten "supply chain" aanval. Volgens ASUS is "een klein aantal" computers via de aanval besmet geraakt, maar een exact aantal wordt niet genoemd. Symantec liet gisteren weten dat zeker 13.000 klanten de besmette ASUS-update hadden ontvangen. Bij Kaspersky Lab ging het om 57.000 bevestigde gebruikers. De virusbestrijder vermoedt dat wereldwijd mogelijk 1 miljoen ASUS-systemen besmet zijn geraakt, maar het exacte aantal is nog altijd onduidelijk. Zodra een systeem via de kwaadaardige update besmet was geraakt keken de aanvallers naar het MAC-adres van de netwerkkaart. Ze hadden het voorzien op 600 specifieke MAC-adressen. Zodra de geïnstalleerde backdoor één van deze MAC-adressen tegenkwam werd er aanvullende malware gedownload. Het is nog altijd onbekend wat deze malware precies deed. Eén van de MAC-adressen waar de aanvallers het op hadden voorzien was van een Huawei E3772 USB 4G-dongel. Volgens onderzoeker Vitaly Kamluk van Kaspersky Lab lijkt het MAC-adres voor alle eigenaren van een dergelijke dongel hetzelfde te zijn. De aanvallers bleken in sommige gevallen twee MAC-adressen te gebruiken om een slachtoffer te identificeren. Kaspersky Lab heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Ook ASUS heeft een diagnostische tool online gezet. Tevens heeft de computerfabrikant maatregelen genomen om herhaling te voorkomen. Live Update versie 3.6.8 introduceert verschillende beveiligingsmaatregelen om aanvallen via kwaadaardige updates te detecteren en is er end-to-end-encryptie toegevoegd. Tevens is de "server-to-end-user" softwarearchitectuur versterkt. ASUS-klanten van wie het systeem geinfecteerd is krijgen het advies om hun systeem opnieuw te installeren. ASUS lijkt in de vandaag gepubliceerde reactie onderscheid te maken tussen gebruikers die de besmette updates ontvingen en de 600 MAC-adressen die het daadwerkelijke doel waren. Volgens Kaspersky Lab en Symantec hebben in totaal 70.000 van hun klanten de besmette update geïnstalleerd. Andere antivirusbedrijven hebben nog geen cijfers naar buiten gebracht, maar onderzoekers schatten dat het om 500.000 tot 1 miljoen machines gaat. Onderzoeker Kamluk liet gisteren weten dat de aanvallers in november hun aanval via de ASUS-updatesoftware stopten en vervolgens naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om computers met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken. Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen. Wat de virusbestrijder wel zeker weet is dat de besmette updates van ASUS Live Update door 57.000 gebruikers van de eigen antivirussoftware zijn geïnstalleerd. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Antivirusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt. De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er van een domein dat op een officiële ASUS-site leek aanvullende malware gedownload. Om wat voor malware het gaat is onbekend. Deze werkwijze laat zien dat de aanvallers de MAC-adressen van hun beoogde slachtoffers al kenden. De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens onderzoeker Vitaly Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken. ASUS is op 31 januari over de aanval ingelicht. Kamluk vertelt aan Vice Magazine dat een medewerker van het Kaspersky Lab op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. Het anti-virusbedrijf heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Volgende maand zal Kaspersky Lab meer details over de aanval geven. Update Onderzoeker Kamluk laat via Twitter weten dat de huidige updates van ASUS niet besmet zijn. De aanvallers zouden in november 2018 met hun activiteiten zijn gestopt en naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Twee ernstige beveiligingslekken in Firefox, waardoor aanvallers in combinatie met een Windows-lek volledige controle over het onderliggende systeem konden krijgen, zijn door Mozilla binnen 24 uur gepacht nadat het informatie over de kwetsbaarheden had ontvangen. De beveiligingslekken werden tijdens de Pwn2Own-hackwedstrijd in het Canadese Vancouver gedemonstreerd door onderzoekers Richard Zhu, Amat Cama en Niklas Baumstark. De wedstrijd is een initiatief van het Zero Day Initiative (ZDI), dat onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden. Informatie over de beveiligingslekken wordt vervolgens met de betreffende leveranciers gedeeld zodat die updates voor hun gebruikers kunnen ontwikkelen. Cama en Zhu maakten gebruik van een JIT-bug in Firefox en combineerden die met een kwetsbaarheid in de Windows-kernel om uit de sandbox van de browser te breken en het onderliggende systeem volledig over te nemen. Baumstark demonstreerde ook een JIT-bug, in combinatie met een "logic bug" om uit de sandbox te ontsnappen en zo het systeem over te nemen. In beide gevallen was alleen het bezoeken van een kwaadaardige website voldoende om een aanvaller toegang tot het systeem van het slachtoffer te geven. Er was geen verdere interactie vereist. Voor de demonstratie ontvingen Zhu en Cama 50.000 dollar, de kwetsbaarheden van Baumstark werden met 40.000 dollar beloond. Details over de kwetsbaarheden werden vervolgens met Mozilla gedeeld, dat binnen 24 uur een nieuwe Firefox-versie uitrolde. De update naar Firefox 66.0.1 zal op de meeste systemen automatisch plaatsvinden. Naast kwetsbaarheden in Mozillas browser werden er ook beveiligingslekken in Apple Safari en Mozilla Edge gedemonstreerd. Wanneer ervoor deze browsers beveiligingsupdates verschijnen is nog niet bekend. bron: security.nl

De volgende versie van Google Chrome krijgt een maatregel die gebruikers tegen automatische downloads in iframes moet beschermen. Het gaat in dit geval om "drive-by downloads" die zonder interactie van de gebruiker plaatsvinden. Dit moet volgens Google kwaadaardige of verkeerde downloads voorkomen. "Downloads kunnen kwetsbaarheden binnen een systeem introduceren. Hoewel er binnen Chrome en het besturingssysteem beveiligingscontroles plaatsvinden, vinden we dat het blokkeren van downloads in gesandboxte iframes ook binnen de algemene gedachte van de sandbox past", aldus Google. Naast het veiligheidsaspect zorgt het volgens de internetgigant ook voor een betere gebruikerservaring om via een muisklik de download te starten. De automatische downloads in iframes worden in Google Chrome 74 geblokkeerd, maar de beperking kan nog door contentproviders worden omzeild. Vanaf Chrome 76 zal de ondersteuning van dergelijke downloads volledig worden verwijderd. De maatregel is nu te testen in de bètaversie van Chrome 74. bron: security.nl

Een ernstig beveiligingslek in het populaire gameplatform Steam maakte het mogelijk voor aanvallers om op afstand malware te installeren en accounts over te nemen. Alleen het bezoeken van een kwaadaardige website was voldoende geweest. Er was geen verdere interactie van gebruikers nodig. De kwetsbaarheid was aanwezig in de Steam-client. De software beschikt over een serverbrowser waarmee gameservers kunnen worden gevonden. Voor het ophalen van informatie over deze servers communiceert de browser via een specifiek UDP-protocol. Onderzoekers Vinnie Vanhoecke en André Baptista ontdekten dat het mogelijk was om via de serverbrowser een buffer overflow te veroorzaken als die informatie over een kwaadaardige server ophaalde. "Een aanvaller kan willekeurige code op de computer van elke Steamgebruiker uitvoeren die de serverinformatie over onze kwaadaardige server bekijkt", aldus de onderzoekers. Zo zou het bijvoorbeeld mogelijk zijn geweest om malware te installeren, bestanden te stelen of accounts over te nemen. Wat de aanval interessant maakt is dat er nauwelijks interactie van de gebruiker was vereist. Gebruikers konden op verschillende manieren worden aangevallen. Bijvoorbeeld als de serverbrowser van Steam werd gebruikt om serverinformatie op te vragen, maar ook wanneer de gebruiker een kwaadaardige website bezocht die van het Steam-browserprotocol gebruikmaakte. De onderzoekers maakten een video waarbij de exploit op Windows 10 wordt gedemonstreerd. De gebruiker bezoekt een kwaadaardige website die een verborgen iframe bevat en de exploit vervolgens uitvoert. Het is hierbij niet nodig dat Steam op het moment van de aanval al actief is. De aanval werkte ook als Steam al draaide. De onderzoekers waarschuwden Steam-ontwikkelaar Valve op 21 december vorig jaar, waarna er op 19 februari een beveiligingsupdate voor de Steam-client verscheen. Voor hun bugmelding ontvingen de onderzoekers een beloning van 15.000 dollar, aangevuld met een bonus van 3.000 dollar vanwege de kwaliteit van de bugmelding. bron: security.nl

WordPress-sites zijn gisteren aangevallen via een zerodaylek in Social Warfare, een plug-in voor het delen van content op social media. Inmiddels is er een beveiligingsupdate beschikbaar en webmasters en beheerders krijgen het dringende advies om die meteen te installeren. Gisteren maakte een beveiligingsonderzoeker een ongepatchte kwetsbaarheid in Social Warfare bekend. Via het lek kan een aanvaller kwaadaardige JavaScript-code in de "social share" links op de WordPress-site injecteren. Aangezien er op dat moment geen beveiligingsupdate aanwezig was besloot WordPress om de plug-in uit de WordPress.org plug-in repository te verwijderen. Kort na het uitkomen van de informatie over het beveiligingslek werden de eerste websites al aangevallen, zo meldt securitybedrijf Wordfence. Inmiddels is er een patch beschikbaar en webmasters en beheerders krijgen het advies om zo snel als mogelijk te updaten naar Social Warfare 3.5.3. Wanneer dit niet mogelijk is raden de ontwikkelaars aan om de plug-in uit te schakelen totdat de update kan worden doorgevoerd. De plug-in, die meer dan 70.000 actieve installaties heeft, is door WordPress weer in de repository teruggeplaatst. Gisteren werd bekend dat WordPress-sites ook werden aangevallen via een kwetsbaarheid in de Easy WP SMTP-plug-in. bron: security.nl

De zakelijke beveiligingssoftware van Microsoft wordt ook beschikbaar voor Mac-gebruikers, zo heeft de softwaregigant vandaag aangekondigd. Het gaat om het Windows Defender Advanced Threat Protection (ATP) platform dat nu macOS ondersteunt en tevens is hernoemd naar Microsoft Defender ATP. Volgens Microsoft moet het platform "next-gen" antivirusbescherming voor macOS gaan bieden. De softwaregigant maakte twee jaar geleden al bekend dat Windows Defender ATP ook antivirussoftware van derde partijen ging integreren om zo malware op Android-, Linux-, macOS- en iOS-apparaten te kunnen detecteren. "We gaan nu een stap verder door onze eigen oplossing als optie toe te voegen", zegt Microsofts Eric Avena. Via de software kunnen eindgebruikers zelf scans van hun systeem uitvoeren en eventuele dreigingen verwijderen, in quarantaine plaatsen of toestaan. Gebruikers kunnen ook geavanceerde instellingen instellen, zoals het in- of uitschakelen van real-time bescherming, automatische updates, cloudbescherming en het automatisch versturen van bestanden. Beheerders hebben bij sommige van deze opties de mogelijkheid om te voorkomen dat ze door gebruikers worden uitgeschakeld. Eventuele dreigingen of detecties worden voor beheerders zichtbaar via het Microsoft Defender ATP-portal. Microsoft ATP ondersteunt macOS Mojave, High Sierra en Sierra. Op dit moment is het platform alleen als testversie voor Mac-gebruikers beschikbaar. bron: security.nl

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben beveiligingsonderzoekers verschillende zero-days in Apple Safari, VMware Workstation en Oracle VirtualBox gedemonstreerd waarmee het onderliggende besturingssysteem kan worden overgenomen. Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers betaalt voor het demonstreren van onbekende kwetsbaarheden in browsers, virtualisatiesoftware en kantoorsoftware. Tijdens deze editie krijgen onderzoekers voor het eerst de gelegenheid om een auto te hacken. Voor het hacken van een Tesla Model 3 zijn er beloningen van tussen de 35.000 en 300.000 dollar, afhankelijk van verschillende factoren, waaronder de gebruikte exploit. De eerste onderzoeker die de Tesla succesvol weet te hacken krijgt ook een nieuwe Model 3 als beloning. Op de eerste dag hadden onderzoekers het alleen voorzien op Apple Safari en de virtualisatiesoftware van Oracle en VMware. Onderzoekers wisten Safari twee keer succesvol te hacken. Vervolgens werden er twee succesvolle aanvallen tegen Oracle VirtualBox gedemonstreerd en moest VMware Workstation er één keer aan geloven. Via de kwetsbaarheden in de virtualisatiesoftware konden de onderzoekers uit het gevirtualiseerde systeem breken en het onderliggen besturingssysteem overnemen. In totaal ontvingen de onderzoekers 240.000 dollar voor hun kwetsbaarheden. De beveiligingslekken worden nu met de betreffende softwareleveranciers gedeeld, zodat die een beveiligingsupdate kunnen ontwikkelen. Pas na het verschijnen van deze patches zullen de details worden geopenbaar. Voor de tweede dag staan er demonstraties tegen Microsoft Edge en Mozilla Firefox gepland. Op dag drie zullen twee onderzoeksteams proberen om een Tesla Model 3 te hacken. bron: security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben gebruikers gewaarschuwd die van de ingebouwde cryptowallet Electrum gebruik willen maken. Vier jaar geleden voegde Tails de bitcoinportemonnee aan het besturingssysteem toe, maar die zal nu mogelijk verdwijnen. De Electrum-versie die door Tails wordt gebruikt is namelijk kwetsbaar voor phishingaanvallen. Gebruikers kunnen, wanneer ze verbinding met een kwaadaardige server in de Electrum-pool maken, een melding ontvangen waarin een kwaadaardige versie van Electrum wordt aangeboden. Eind december waarschuwden de Electrum-ontwikkelaars dat gebruikers van de wallet op deze manier werden aangevallen. Om de phishingaanval te voorkomen laten betrouwbare Electrum-servers oudere Electrum-versies geen verbinding meer maken. Nieuwere Electrum-versies zijn echter niet beschikbaar voor Debian, de Linux-distributie waarop Tails is gebaseerd. "Gegeven het gebrek aan beheer van Electrum in Debian zijn we nog aan het kijken wat verstandig is om te doen in Tails", aldus de ontwikkelaars, die niet uitsluiten dat Electrum uit het besturingssysteem zal worden verwijderd. bron: security.nl

Onderzoekers hebben in de CUJO-firewall verschillende kwetsbaarheden ontdekt waardoor een aanvaller het apparaat had kunnen overnemen. De CUJO-firewall wist een aantal jaren geleden via een crowfundingcampagne ruim 300.000 dollar op te halen. Het apparaat wordt omschreven als een "smart firewall" die alle op het netwerk aangesloten apparaten kan beschermen en hierbij gebruikmaakt van "kunstmatige intelligentie". Onderzoekers van Cisco vonden in totaal 11 beveiligingslekken in de firewall. Via de kwetsbaarheden was het mogelijk om de safebrowsingfunctie te omzeilen en het apparaat volledig over te nemen. De aanvaller had in dit geval willekeurige code in de context van het rootaccount kunnen uitvoeren of een niet gesigneerde kernel kunnen uploaden en uitvoeren. De aanvallen waren zowel lokaal als op afstand mogelijk. De onderzoekers omschrijven een scenario waarbij een kwaadaardige website twee kwetsbaarheden combineert waardoor het uitvoeren van code in de kernel mogelijk was. De onderzoekers ontdekten verder twee kwetsbaarheden in de bootloader van de CUJO. Deze bootloader moet de bootprocessen tegen ongeautoriseerde aanpassingen beschermen en zo voorkomen dat het apparaat persistent gecompromitteerd wordt. Daarnaast is de eerste 16MB van het eMMC-geheugen van de CUJO-firewall tegen schrijven beveiligd, zodat zelfs de fabrikant de bootloaders niet kan aanpassen. Via de twee beveiligingslekken die de onderzoekers identificeerden was het mogelijk om deze beveiligingsmaatregelen te omzeilen en zo het apparaat persistent te compromitteren. Na te zijn ingelicht door de onderzoekers heeft de fabrikant een firmware-update voor de CUJO-firewall uitgebracht. Deze update wordt automatisch geïnstalleerd. Eigenaren krijgen het advies om te controleren of hun firewall up-to-date is. bron: security.nl

Meer dan tien procent van al het https-verkeer op internet wordt onderschept, zo stelt internetbedrijf Cloudflare aan de hand van eigen onderzoek. Https staat voor een beveiligde verbinding tussen website en bezoeker. In de praktijk zijn er echter tal van partijen die oplossingen bieden om dit verkeer te onderscheppen en vervolgens te inspecteren. Bedrijven gebruiken deze oplossingen om bijvoorbeeld het https-verkeer op het eigen netwerk te controleren. Het gaat dan bijvoorbeeld om proxies tegen datalekkages of antivirusoplossingen die een "man-in-the-middle" uitvoeren om inkomend verkeer op malware te inspecteren. De diensten van Cloudflare zitten tussen een website of webapplicatie en de bezoeker hiervan. Het bedrijf biedt onder andere load balancing en oplossingen tegen ddos-aanvallen. Hierdoor ziet Cloudflare grote hoeveelheden verkeer voorbijkomen. Cloudflare ontwikkelde een opensourcetool genaamd MITMEngine waarmee het kan zien of het verkeer tussen een gebruiker en website wordt onderschept. Het kijkt hiervoor naar verschillende onderdelen, zoals de gebruikte TLS-versie, gebruikte encryptie en andere eigenschappen van de versleutelde verbinding. Aan de hand hiervan stelt Cloudflare dat meer dan 10 procent van al het https-verkeer op internet wordt onderschept, met uitschieters naar 19 procent. Het meeste https-verkeer wordt onderschept via proxies. Het gaat dan met name om "https interceptors" van Blue Coat, een bedrijf dat een aantal jaren geleden door Symantec werd overgenomen. Volgens Cloudflare is het belangrijk om de status van https-interceptors te volgen, om zo inzicht te krijgen wanneer er nieuwe beveiligingsmaatregelen worden uitgerold en het detecteren van problemen met veiligheidsprotocollen. Ook helpt het onderzoek bij het vinden van software die beveiligde verbindingen verzwakt. De cijfers die Cloudflare via de MITMEngine verzamelt zijn via deze pagina beschikbaar. bron: security.nl

Vandaag is er een nieuwe versie van Firefox verschenen die gebruikers via vingerafdruk, gezichtsscan of andere vorm van biometrische authenticatie op websites en webapplicaties laat inloggen. De browser ondersteunt nu Web Authentication voor Windows Hello. Windows Hello is de biometrische inlogfunctie van Windows 10 waarmee gebruikers zich via een scan van hun vinger, iris of gezicht of een securitykey kunnen authenticeren. Web Authentication is een open authenticatiestandaard die manieren biedt om zonder wachtwoord op websites in te loggen. Firefox ondersteunt Web Authentication al sinds versie 60, maar dan alleen in combinatie met een hardware token zoals een usb-beveiligingssleutel. Met de lancering van Firefox 66 voor Windows 10 is dit het eerste platform waarmee Mozilla het Client To Authenticator Protocol 2 (CTAP2) van de FIDO Alliance ondersteunt. De Fast IDentity Online (FIDO) Alliance heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. De eerste versie van CTAP werkt alleen met fysieke beveiligingssleutels en externe apparaten. CTAP2 is de opvolger en kan van nieuwe mogelijkheden in Web Authentication gebruikmaken, zoals biometrische authenticatie en residente sleutels, waarbij de sleutels op het apparaat zelf zijn opgeslagen. Het biometrisch inloggen werkt op dit moment alleen met Firefox 66 op een testversie van Windows 10. Na de uitrol van de April 2019 Update voor Windows 10 werkt het ook met de standaardversies van het besturingssysteem. Mozilla laat weten dat het de ondersteuning van CTAP2/FIDO2 op alle platformen wil gaan aanbieden, waaronder oudere Windowsversies. Voor gebruikers van Firefox ESR staat de ondersteuning van Windows Hello gepland voor Firefox ESR 60.0.7. Deze versie zal halverwege mei verschijnen. bron: security.nl

Onderzoekers hebben ransomware ontdekt die gebruikmaakt van een beveiligingslek in de populaire archiveringssoftware WinRAR om gebruikers te infecteren. Het gaat om een .RAR-bestand dat een foto van een vrouw belooft, zo meldt het 360 Threat Intelligence Center op Twitter. In werkelijkheid maakt het bestand misbruik van een kwetsbaarheid in een DLL-library waarmee WinRAR .ACE-bestanden uitpakt. Via het beveiligingslek is het mogelijk om kwaadaardige code in de Startup-map van Windows te plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd. In dit geval plaatsen de aanvallers het bestand "GoogleUpdate.exe" in de Statup-map. Hierdoor zouden gebruikers kunnen denken dat het om een updatetool van Google gaat. Zodra de ransomware bij een herstart van het systeem worden uitgevoerd zal die allerlei bestanden versleutelen. Om de bestanden te ontsleutelen moeten gebruikers niet alleen een bedrag betalen (175 euro), maar ook een opgegeven Gmail-adres registreren. De decryptiesleutel wordt volgens de ransomware-ontwikkelaar na betaling naar dit adres gestuurd. WinRAR-gebruikers krijgen het dringende advies om naar versie 5.70 of nieuwer te updaten. In de praktijk blijkt dat de meeste gebruikers de archiveringssoftware niet bijwerken. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat liet zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties was op het moment van het onderzoek echter niet up-to-date. bron: security.nl

Google heeft een application programming interface (API) voor het sandboxen van software libraries open source gemaakt. Volgens de internetgigant moet dit de veiligheid van softwareprojecten vergroten. Veel programma's verwerken namelijk code die van buiten afkomstig is en mogelijk onbetrouwbaar is. Het gaat dan bijvoorbeeld om het omzetten van een foto van de gebruiker of het uitvoeren van de gebruiker zijn code. Software libraries kunnen kwetsbaarheden bevatten die bij het verwerken van deze externe code kunnen worden aangevallen. Om de impact van dergelijke beveiligingslekken te beperken maken ontwikkelaars gebruik van sandboxing. Hierdoor heeft de code die de content van de gebruiker verwerkt alleen toegang tot de meest noodzakelijke onderdelen. Mocht een aanvaller erin slagen om binnen de betreffende software willekeurige code uit te voeren dan beschermt een sandbox de rest van het besturingssysteem, aldus Google. Bestaande sandboxoplossingen bieden echter niet genoeg bescherming of zijn lastig te gebruiken, aldus Christian Blichmann van het Google Sandboxing-team. Om ontwikkelaars te helpen heeft Google de Sandboxed API ontwikkeld. Hiermee is het mogelijk om beveiligingsbeleid voor individuele software libraries op te stellen. Het concept zou zowel gebruiksvriendelijk moeten zijn als voldoende bescherming moeten bieden. Op dit moment werkt de Sandboxed API alleen met in C geschreven software libraries, hoewel er mogelijk in de toekomst ondersteuning voor meer programming runtimes zal worden toegevoegd. Daarnaast wordt nu alleen Linux ondersteund, maar Google kijkt of de API ook naar BSD en macOS kan worden gebracht. bron: security.nl

Begin dit jaar is een aanvaller erin geslaagd om bij de reis- en boekingssite Ixigo in te breken en daar de gegevens van meer dan 17,2 miljoen gebruikers te stelen. Het datalek werd vorige maand al bekend en vervolgens door de directeur van het bedrijf ontkend. Nu is duidelijk geworden om hoeveel gebruikers het precies gaat en welke data er is gestolen. Het gaat om authenticatietokens, apparaatgegevens, e-mailadressen, geslacht, namen, met MD5 gehashte wachtwoorden, telefoonnummers, socialmediaprofielen en gebruikersnamen. MD5 is een zwak algoritme voor het hashen van wachtwoorden, waardoor aanvallers de wachtwoorden van gebruikers kunnen achterhalen. De buitgemaakte gegevens werden op internet te koop aangeboden. De gestolen e-mailadressen zijn nu aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in meer dan 7,7 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 17,2 miljoen gestolen e-mailadressen was 23 procent al via een ander datalek bij Have I Been Pwned bekend. bron: security.nl

De Belgische bevolking heeft vorig jaar 648.000 verdachte e-mails doorgestuurd naar het Belgische Centrum voor Cybersecurity. Dankzij de informatie kon de Belgische overheid een kleine 1500 frauduleuze websites laten blokkeren, wat neerkomt op zo'n vier website per dag. Doorgestuurde e-mails worden automatisch gescand door de software van CCB. Het gaat zowel om url's als bijlagen. Informatie uit de e-mails wordt ook gedeeld met het EU Phishing Initiative. De software van het CCB werd begin dit jaar geüpgraded, waardoor de overheidsinstantie naar eigen zeggen nu sneller en efficiënter verdachte links kan detecteren. Twee jaar geleden lanceerde het CCB al een campagne tegen phishing. "Maar blijkbaar is dit allemaal nog niet genoeg om phishing een halt toe te roepen. Daarom hebben we besloten om de campagne in 2019 opnieuw rond phishing te doen", aldus de overheidsinstantie. Vorige week werd echter bekend dat afgelopen jaar een recordaantal Belgen het slachtoffer van fraude met internetbankieren is geworden. Het ging om meer dan 9700 Belgen die via phishing werden opgelicht. bron: security.nl

Microsoft heeft een extensie voor Google Chrome en Mozilla Firefox ontwikkeld die ervoor zorgt dat onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend. Dit moet ervoor zorgen dat een eventuele aanval of malware geen toegang tot het systeem krijgt. Windows Defender Application Guard werd vorig jaar mei aan Windows 10 Professional toegevoegd en was al in Windows 10 Enterprise aanwezig. De technologie werkt alleen met Microsoft Edge. Zodra Edge ziet dat de gebruiker een onbetrouwbare website wil bezoeken wordt er via Microsofts eigen virtualisatiesoftware een container aangemaakt die van het systeem gescheiden is. Om Application Guard naar andere browsers uit te breiden heeft Microsoft nu een aparte extensie voor Chrome en Firefox gemaakt. Beheerders kunnen een lijst van vertrouwde websites opgeven. Als de gebruiker een website bezoekt die niet op deze lijst staat wordt Application Guard actief en zal de site in een geïsoleerde versie van Edge laden. Zodra de gebruiker weer naar een betrouwbare website gaat wordt de standaardbrowser geladen. Microsoft laat weten dat de extensie onder testers van Windows 10 wordt uitgerold en binnenkort voor iedereen beschikbaar zal zijn. bron: security.nl

Spelers van de populaire computergame Counter-Strike 1.6 zijn via verschillende zero-daylekken met malware besmet geraakt, zo meldt anti-virusbedrijf Doctor Web. Dagelijks spelen tienduizenden mensen op internet de door Valve ontwikkelde first-person shooter. Zodra spelers echter verbinding met een kwaadaardige gameserver maken wordt er automatisch malware geïnstalleerd die verschillende bestanden van het spel op het systeem vervangt. Het gaat om de lijst met beschikbare gameservers in de gameclient. Tevens worden op besmette systemen proxy-gameservers opgezet om de malware verder te verspreiden. Volgens de onderzoekers laten deze proxy-gameservers een lagere ping zien, waardoor andere spelers ze bovenaan aan de lijst van beschikbare gameservers zien staan. Zodra een speler deze server selecteert wordt hij naar de echte kwaadaardige server doorgestuurd die vervolgens het systeem infecteert. Op een gegeven moment was 39 procent van alle Counter-Strikeservers op het Steamplatform door de malware aangemaakt. Het doel van de malware-ontwikkelaar is het tegen betaling promoten van andere gameservers. Het verkopen, verhuren en promoten van gameservers levert geld op en deze diensten worden via verschillende websites aangeboden. Serverbeheerders maken van deze diensten gebruik om spelers te vinden die voor hun servers willen betalen. Doctor Web stelt dat het maatregelen heeft genomen om de malware te stoppen en de groei van het botnet tegen te gaan. Zo zijn met behulp van de Russische registrar REG.ru verschillende domeinen geschorst die de malware-ontwikkelaar gebruikte. Het doorsturen van spelers naar een kwaadaardige server vond plaats via deze domeinnamen. Gameontwikkelaar Valve is over de kwetsbaarheden in Counter-Strike 1.6 ingelicht, maar volgens het anti-virusbedrijf is nog onbekend wanneer die worden gepatcht. bron: security.nl

Na een uitgebreide test van anderhalf jaar heeft Mozilla vandaag Send gelanceerd, een gratis dienst om versleuteld bestanden mee te delen. Gebruikers kiezen de bestanden die ze willen uploaden, hoelang de downloadlink beschikbaar moet blijven en het aantal toegestane downloads. Aanvullend kan er als extra beveiligingslaag een wachtwoord worden opgegeven, maar dit is niet verplicht. Zodra de bestanden zijn geüpload verschijnt er een downloadlink die de gebruiker met anderen kan delen. Standaard kunnen gebruikers via Send bestanden van 1GB delen. Gebruikers met een Firefox-account kunnen bestanden tot 2,5GB delen. "We weten dat er verschillende cloudoplossingen bestaan, maar het is onze missie om je meer private en veiligere keuzes te geven. Met Send kun je erop vertrouwen dat je informatie veilig is", aldus Nick Nguyen van Mozilla. Firefox Send, dat van end-to-end-encryptie gebruikmaakt, werkt zowel in Firefox als andere browsers zoals Edge en Chrome. bron: security.nl

Drie Roemeense mannen hebben in de Verenigde Staten bekend dat ze via gecompromitteerde servers op duizenden mensen phishingaanvallen hebben uitgevoerd. De schade die hierdoor werd veroorzaakt zou mogelijk meer dan 21 miljoen dollar bedragen. Het drietal hield zich bezig met "vishing" en "smishing". Bij vishing worden opgenomen boodschappen afgespeeld die van de bank van het slachtoffer afkomstig lijken. In het geval van smishing versturen criminelen sms-berichten die door de bank verstuurd lijken. Volgens het Amerikaanse ministerie van Justitie waren de drie mannen van oktober 2011 tot februari 2014 bezig met hun praktijken. Zo compromitteerden ze servers en installeerden daarop spamsoftware en "interactive voice response" software. Daarmee werden duizenden mensen gebeld en via sms-berichten benaderd, met het doel om persoonlijke en financiële gegevens te ontfutselen. Slachtoffers die werden gebeld kregen een opgenomen boodschap te horen met het verzoek om hun persoonlijke identificeerbare informatie in te voeren. Wanneer slachtoffers een sms-bericht ontvingen werd verzocht een opgegeven telefoonnummer te bellen. Dit nummer werd gehost door een gecompromitteerde voip-server. Slachtoffers die het nummer belden werd gevraagd om hun gegevens in te voeren, die vervolgens op gecompromitteerde servers werden opgeslagen. De gegevens werden vervolgens door de verdachten verkocht en gebruikt. Bij hun aanhouding bleken de verdachten meer dan 42.000 rekeningnummers in bezit te hebben die via de phishingaanvallen waren verkregen. Het ministerie van Justitie denkt dat gebaseerd op alleen deze cijfers de geschatte schade meer dan 21 miljoen dollar bedraagt. Waarop deze schatting is gebaseerd wordt niet duidelijk gemaakt. Het drietal zal in juni en juli worden veroordeeld. bron: security.nl

Windows 10 kan updates die voor problemen zorgen voortaan automatisch verwijderen, zo blijkt uit een document dat Microsoft online heeft geplaatst. Volgens de softwaregigant kunnen beveiligingsupdates en andere updates in sommige gevallen vanwege incompatibiliteit of nieuwe software voor problemen met het opstarten van het systeem zorgen. Windows 10 zal in dit geval eerst verschillende automatische hersteloperaties uitvoeren. Als deze operaties niet succesvol zijn zal het besturingssysteem de problematische updates automatisch verwijderen. Om ervoor te zorgen dat het systeem vervolgens opstart en blijft werken zal Windows 10 er ook voor zorgen dat de problematische updates de komende 30 dagen niet worden geïnstalleerd. Dit moet Microsoft en partners de gelegenheid geven om de problemen te onderzoeken en verhelpen. Na 30 dagen zal Windows weer proberen om de updates te installeren. Gebruikers die vinden dat bepaalde updates ten onrechte zijn verwijderd hebben wel de mogelijkheid om die handmatig te installeren. Als echter blijkt dat het systeem toch niet naar behoren opstart zal Windows de updates weer verwijderen. De aankondiging van Microsoft lijkt te gelden voor alle soorten updates. Dat ook beveiligingsupdates voor opstartproblemen kunnen zorgen werd vorig jaar nog eens duidelijk. Destijds verschenen er nog patches voor de Spectre-aanval die sommige computers lieten vastlopen. Daarop besloot Microsoft om de uitrol tijdelijk te staken. bron: security.nl

Firefox zal gebruikers vanaf volgende week dinsdag 19 maart betere certificaatwaarschuwingen tonen, zo heeft Mozilla bekendgemaakt. Websites die een beveiligde verbinding aanbieden maken hiervoor gebruik van een tls-certificaat. De browser controleert voor het opzetten van de verbinding de geldigheid van het certificaat. Als er een probleem wordt aangetroffen geeft de browser een waarschuwing. Certificaatwaarschuwingen kunnen voor verschillende redenen worden gegeven, zoals de tijd van de computer die niet goed staat ingesteld of een verlopen certificaat. Het kan echter ook gaan om een man-in-the-middle-aanval waarbij een aanvaller via een malafide tls-certificaat gegevens van de gebruiker probeert te stelen. Gebruikers krijgen dan ook het advies om certificaatwaarschuwingen nooit te negeren. Om deze waarschuwingen beter naar gebruikers toe te communiceren heeft Mozilla een aantal nieuwe ontwerpen ontwikkeld en die de afgelopen maanden verder verfijnd. Ook zijn er nieuwe waarschuwingspagina's ontwikkeld, bijvoorbeeld wanneer een certificaatwaarschuwing ontstaat doordat de klok van het systeem niet goed staat ingesteld. "Iets wat vaker gebeurt dan je zou denken", zegt Mozillas Johann Hofmann. De nieuwe waarschuwingen, die tevens uitleggen wat gebruikers kunnen doen om het probleem op te lossen, zijn al in de testversies van Firefox te vinden en zullen volgende week ook in Firefox 66 verschijnen. bron: security.nl

Een beveiligingslek in een plug-in voor op WordPress gebaseerde webwinkels wordt actief aangevallen om kwetsbare webshops over te nemen. De kwetsbaarheid bevindt zich in de plug-in Abandoned Cart Lite for WooCommerce en werd vorige maand in versie 5.2.0 van de plug-in gepatcht. WooCommerce is een populaire plug-in voor het opzetten van een op WordPress gebaseerde webwinkel. Via de Abandoned Cart Lite-plug-in kunnen webshops "verlaten" winkelmandjes volgen en klanten vervolgens een e-mail sturen om de transactie toch af te ronden. Een cross-site scripting-kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript-code uit te voeren als een ingelogde gebruiker met systeembeheerderrechten de lijst van verlaten winkelmandjes bekijkt. Hierdoor is het mogelijk om de webwinkel over te nemen. Om de aanval uit te voeren vult een aanvaller zijn winkelmandje met producten en voert vervolgens contactinformatie in die naar kwaadaardige JavaScript-code wijst. Deze code wordt automatisch uitgevoerd bij het bekijken van het verlaten winkelmandje en zorgt ervoor dat er twee backdoors worden geïnstalleerd. Het script maakt een kwaadaardig beheerdersaccount aan en zoekt naar een gedeactiveerde plug-in die van kwaadaardige code wordt voorzien. Hoewel er een update beschikbaar is worden WordPress-sites nog steeds aangevallen, zo waarschuwt securitybedrijf Wordfence. Beheerders krijgen dan ook het advies om de beveiligingsupdate meteen te installeren mocht dat nog niet zijn gedaan. Abandoned Cart Lite for WooCommerce is door meer dan 20.000 webwinkels geïnstalleerd. bron: security.nl

Aanvallers zijn erin geslaagd om bij verschillende Aziatische gameontwikkelaars in te breken en daar legitieme gesigneerde games en een gamingplatform-app van een backdoor te voorzien. Dat laat anti-virusbedrijf ESET vandaag weten. Het gaat om drie gevallen waarbij dezelfde backdoor werd gebruikt. Het is op dit moment onbekend hoe de aanvallers de gameontwikkelaars wisten te compromitteren en wat hun motieven zijn. In het verleden zijn gameontwikkelaars vaker het doelwit van zogeheten "supply chain" aanvallen geweest. In twee van de gecompromitteerde producten is de backdoor verwijderd, maar in het geval van het spel "Infestation" van de Thaise gameontwikkelaar Electronics Extreme wordt de besmette versie nog steeds aangeboden. Onderzoekers van ESET hebben de ontwikkelaar sinds begin februari meerdere keren op verschillende manieren benaderd, maar zonder succes. De overige ontwikkelaars worden niet door de virusbestrijder genoemd. Wel staan er in de analyse verschillende hashes van gecompromitteerde bestanden. Eén van deze bestanden betreft een bestand van het Garena Platform van de Singaporese gameontwikkelaar Garena Online. Via het platform hebben gebruikers toegang tot games. Op verzoek van één van de getroffen leveranciers zijn verschillende hashes niet vermeld. bron: security.nl