Captain Kirk

WordPress krijgt een automatische updatefunctie voor plug-ins en themes die gebruikers hebben geïnstalleerd, wat het aantal aanvallen op WordPress-sites moet terugdringen. Dat heeft de softwareontwikkelaar via de eigen website bekendgemaakt. Volgens marktvorser W3Techs wordt WordPress door 36 procent van alle websites op internet gebruikt. Bij websites met een bekend contentmanagementsysteem (CMS) is dit zelfs 63 procent. In het verleden werden WordPress-sites geregeld gecompromitteerd omdat beheerders beschikbare beveiligingsupdates voor het platform niet hadden geïnstalleerd. Om deze gebruikers te beschermen kwam WordPress eind 2013 met een automatische updatefunctie voor alleen het CMS. WordPress biedt gebruikers ook honderden themes en plug-ins voor het aanpassen van websites, die door externe partijen zijn ontwikkeld. De afgelopen jaren hebben aanvallers op grote schaal gebruikgemaakt van kwetsbaarheden in plug-ins en themes om WordPress-sites te compromitteren en van kwaadaardige code te voorzien. Deze code probeerde bezoekers weer met malware te infecteren of stuurde ze door naar spamsites. In tegenstelling tot de WordPress-updates moeten gebruikers updates voor hun theme of plug-in handmatig installeren. Iets wat niet alle beheerders doen, waardoor websites kwetsbaar zijn voor aanvallen. Daar gaat nu verandering in komen. De versie van WordPress 5.4 die in augustus verschijnt zal namelijk over een automatische updatefunctie voor plug-ins en themes beschikken. Beheerders moeten zelf aangeven welke themes en plug-ins ze automatisch willen laten updaten. Daarnaast zal het CMS ook een e-mail versturen wanneer er updates zijn doorgevoerd. De automatische updatefunctie is nu als losse WordPressplug-in te testen, maar zal straks onderdeel van WordPress zelf worden. Via de plug-in hoopt het WordPress-team feedback over de werking te ontvangen. De updatefunctie moet het aantal gecompromitteerde WordPress-sites gaan terugdringen, hoewel het niet alle aanvallen zal stopen. Het vereist namelijk dat beheerders zelf aangeven dat ze hiervan gebruik willen maken. Daarnaast zijn er de afgelopen maanden meerdere zerodaylekken in plug-ins ontdekt die werden aangevallen voordat er een update beschikbaar was. In sommige gevallen worden kwetsbare themes en plug-ins niet meer onderhouden door de ontwikkelaar, waardoor websites ondanks een automatische updatefunctie kwetsbaar blijven, tenzij beheerders ze verwijderen. Beheerders krijgen dan ook het advies om gebruikte plug-ins en themes nauwlettend in de gaten te houden. Hieronder een voorbeeld van hoe de updatefunctie er mogelijk gaat uitzien. bron: security.nl

Beste Ldv, Dit is een bekende manier om toegang te krijgen op je computer. Ze bellen je op en melden dat je een probleem hebt. Volgens willen ze je best helpen en koet je "even" een tooltje op je computer downloaden zodat ze mee kunnen kijken. Volgens nemen ze alles over en mag je vaak je beurs trekken om bepaalde, door de beller veroorzaakte, problemen op te lossen. Zolang je je systeem up-to-date houdt, regelmatig scant op virussen en een backup bij houdt, hoef je je geen zorgen te maken. De vrienden uit vaak India zullen je waarschijnlijk nog wel vaker bellen. Doe ze maar de groeten van mij

Google heeft een gratis opensourcetool gelanceerd om Linux-systemen tegen usb-injectieaanvallen te beschermen. Het gaat dan specifiek om aanvallen waarbij er bijvoorbeeld een usb-stick op een systeem wordt aangesloten die zich als toetsenbord voordoet en toetsaanslagen op het systeem injecteert. Een aanvaller zou zo kunnen proberen om toegang tot systemen te krijgen of vertrouwelijke data stelen. De "USB Keystroke Injection Protection" van Google moet dergelijke aanvallen voorkomen. De tool kijkt hoe toetsaanslagen worden ingevoerd om te bepalen of het om een aanval gaat of een persoon die bijvoorbeeld inlogt. Bij een injectieaanval worden toetsaanslagen namelijk veel sneller ingevoerd dan een mens zou kunnen. Gebruikers kunnen een gewenste invoerwaarde opgeven die met hun typesnelheid overeenkomt, of dit laten monitoren door de tool. De tool is zelf in twee modes te draaien, namelijk Hardening en Monitor. Standaard staat de Hardening-mode ingeschakeld, die alle als verdacht geclassificeerde usb-apparaten blokkeert. De Monitoring-mode blokkeert deze apparaten niet, maar slaat informatie over het apparaat op in een logbestand. "Toetsaanslaginjectieaanvallen zijn lastig te detecteren en te voorkomen, aangezien ze via usb plaatsvinden, de meestgebruikte aansluiting voor computerapparatuur, en een Human Interface Device-driver vereisen, die op de meeste besturingssystemen met muis- toetsenbordinvoer aanwezig is", zegt Sebastian Neuner van Google. "De tool maakt het lastiger voor aanvallers terwijl de gebruiker niet hoeft te beslissen of een apparaat kwaadaardig of goedaardig is, behalve bij het verfijnen van de heuristieke waarden." De tool draait als een daemon en is via GitHub verkrijgbaar. bron: security.nl

Een fout in Tor Browser zorgt ervoor dat JavaScript op het hoogste beveiligingsniveau kan worden uitgevoerd, terwijl dit eigenlijk niet zou moeten kunnen. Het Tor Project, dat de browser onderhoudt, werkt aan een oplossing. In afwachting van een fix kunnen gebruikers JavaScript zelf uitschakelen. Tor Browser biedt gebruikers verschillende beveiligingsniveaus, namelijk standard, safer en safest. Op het veiligste niveau staat JavaScript standaard op alle websites uitgeschakeld. Veel browseraanvallen maken gebruik van JavaScript en door het uitschakelen hiervan wordt het aanvalsoppervlak voor gebruikers verkleind. In het verleden zijn JavaScript-exploits tegen gebruikers van Tor Browser ingezet. Onder andere de FBI gebruikte JavaScript om gebruikers van de browser te ontmaskeren. Bij de lancering van de nieuwste Tor Browser, versie 9.0.6, meldt het Tor Project dat er een bug in de browser zit die het uitvoeren van JavaScript op het hoogste beveiligingsniveau mogelijk maakt. Er wordt aan een oplossing gewerkt. Gebruikers die niet willen dat JavaScript kan worden uitgevoerd kunnen dit volledig in de browser uitschakelen via onderstaande instructies. bron: security.nl

Microsoft heeft buiten de vaste patchcyclus om een noodpatch voor Windows uitgebracht die een ernstig beveiligingslek in SMBv3 verhelpt waardoor aanvallers zowel servers als clients kunnen overnemen. Het lek werd dinsdag onbedoeld geopenbaard. Op dat moment was er nog geen patch beschikbaar. Wel kwam Microsoft met een tijdelijke oplossing. Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een kwetsbare SMBv3-server kan een aanvaller willekeurige code op de server uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om kwetsbare SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren. Als tijdelijke oplossing raadde Microsoft aan om SMBv3-compressie uit te schakelen. Vandaag meldt de softwaregigant dat gebruikers die de beveiligingsupdates van dinsdag 10 maart hebben geïnstalleerd update KB4551762 voor Windows 10 en Windows Server versies 1903 en 1909 moeten installeren om de SMBv3-kwetsbaarheid te verhelpen. Het probleem is niet aanwezig bij oudere versies van Windows die SMBv3.1.1 compressie niet ondersteunen. De update wordt via de automatische updatefunctie van Windows geïnstalleerd. Securitybedrijf Kryptos Logic liet eerder vandaag weten dat het 48.000 kwetsbare systemen had gevonden die via internet toegankelijk zijn. bron: security.nl

De ontwikkelaars van ProtonMail en ProtonVPN zullen de komende weken een alternatieve routering uitrollen zodat gebruikers van de diensten gebruik kunnen blijven maken ook als overheden die censureren. De afgelopen maanden werd ProtonMail in onder andere Rusland geblokkeerd. Een nieuwe alternatieve routeringsfeature moet dergelijke blokkades omzeilen, zodat de Proton-servers toegankelijk blijven. De nieuwe feature zal automatisch detecteren wanneer er censuur plaatsvindt en vervolgens een alternatieve route naar de Proton-servers opzetten. Deze methode zal niet altijd succesvol zijn, maar kan helpen om bepaalde blokkades te omzeilen. "Dit is een actief onderzoeksgebied voor ons team, dus in de loop van de tijd zullen onze anticensuurmogelijkheden met de release van nieuwe versies beter worden", stelt Proton. Bij een alternatieve routering wordt er gebruikgemaakt van de infrastructuur en netwerken van derde partijen waar Proton geen controle over heeft. Het gaat onder andere om Google, dat volgens Proton geen goed verleden heeft als het om privacy gaat. "Deze derde partijen kunnen niet je data zien, maar wel je ip-adres en dat je verbinding probeert te maken met Proton", aldus het techbedrijf. Daarnaast wordt er van aangepaste TLS-encryptie gebruikgemaakt om de alternatieve routering te laten werken. Proton merkt op dat er met public key pinning wordt gewerkt en dit problematisch kan zijn wanneer een Proton-server wordt gecompromitteerd. De alternatieve routeringsfunctie is dan ook optioneel en gebruikers kunnen die in de app uitschakelen. Afsluitend laat Proton weten dat de komende tijd meer anticensuurmaatregelen zullen worden aangekondigd. bron: security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die meerdere kwetsbaarheden verhelpt, alsmede problemen met verschillende wifi-chipsets van Realtek. Tails 4.4 bevat nieuwe versies van Tor Browser, Thunderbird en de Linux-kernel. De update van de Linux-kernel moet voor betere hardware-ondersteuning zorgen. Daarnaast zijn er specifieke problemen met de ondersteuning van de Realtek RTL8822BE en RTL8822CE wifi-chipsets verholpen. Aangezien Tails 4.4 veel kwetsbaarheden verhelpt krijgen gebruikers het dringende advies om zo snel als mogelijk naar de nieuwste versie te upgraden. Dit kan via de automatische upgradefunctie of tails.boum.org. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. bron: security.nl

Google heeft de desktopversie van Chrome van een gastmodus voorzien waarbij alle opgeslagen informatie na het sluiten van de browser wordt verwijderd. Volgens Google is de gastmodus ideaal om andermans computer te gebruiken of iemand toegang tot de eigen computer te geven. Ook bij het gebruik van een openbare computer, bijvoorbeeld van een bibliotheek of café, zou de maatregel handig zijn, zo laat het techbedrijf weten. De gastmodus van Chrome is zowel via een enterprise policy of command-line switch in te stellen, zodat de browser altijd in deze modus wordt gestart. Google merkt op dat ondanks het gebruik van de gastmodus anderen wel het surfgedrag kunnen zien, zoals de internetprovider, de beheerder van het netwerk en zoekmachines. Beveiligingsexperts waarschuwen geregeld om openbare computers niet voor vertrouwelijke of persoonlijke zaken te gebruiken. Een aantal jaren geleden werden e-mails van het Amerikaanse anti-dopingagentschap USADA gestolen, vermoedelijk nadat een medewerker op een openbare computer had ingelogd. bron: security.nl

De afgelopen jaren hebben cybercriminelen op grote schaal afpersingsmails verstuurd en nu wordt er van deze berichten gebruikgemaakt om malware te verspreiden. De afpersingsmails stelden vaak dat er compromitterende foto's van het slachtoffer waren gemaakt en hij of zij een bedrag moest betalen om te voorkomen dat de afbeeldingen naar contacten werden gestuurd. Nu is er een spamcampagne ontdekt waarbij criminelen claimen dat een dergelijk afpersingsslachtoffer niet heeft betaald en daarom compromitterende foto's, in dit geval naaktfoto's van zijn vriendin, naar zijn contacten zijn gestuurd. De ontvanger van het bericht zou één van deze contacten zijn. Als bijlage is een doc-bestand met kwaadaardige macro's meegestuurd. Wanneer de ontvanger het doc-bestand opent en macro's inschakelt wordt de Racoon-malware geïnstalleerd. Deze malware steelt wachtwoorden, creditcardgegevens, cookies en surfgeschiedenis uit browsers. Daarnaast steelt Racoon cryptowallets, inloggegevens voor ftp-servers en e-mailwachtwoorden. "Deze nieuwe kijk op afpersingsmails is zeer opmerkelijk. Het laat het slachtoffer geloven dat iemand die ze kennen is aangevallen en dat dit niets met hen te maken heeft. Als mensen zich niet als slachtoffer identificeren kunnen ze zich veel onvoorzichtiger gedragen, met name als ze nieuwsgierig zijn wie het oorspronkelijke slachtoffer was", stelt IBM in een analyse. bron: security.nl

Antivirusbedrijf Avast heeft vanwege een ernstig beveiligingslek besloten om een onderdeel van de antivirussoftware uit te schakelen. Volgens de virusbestrijder is dit nodig om de meer dan vierhonderd miljoen gebruikers tegen misbruik van de kwetsbaarheid te beschermen. Het beveiligingslek werd ontdekt door beveiligingsonderzoekers Tavis Ormandy en Natalie Silvanovich van Google. De kwetsbaarheid bevond zich in de JavaScript-interpreter van de virusscanner. Dit onderdeel van de antivirussoftware controleert verdachte JavaScript-bestanden. Het beveiligingslek maakte het volgens Avast in theorie mogelijk voor aanvallers om op afstand code uit te voeren. Ormandy waarschuwde Avast op 4 maart voor het beveiligingslek. Op 9 maart publiceerde de onderzoeker een tool waarmee het eenvoudiger werd om de JavaScript-interpreter te onderzoeken. Eventueel gevonden kwetsbaarheden zouden door een worm zijn te misbruiken, waarschuwde Ormandy. Vandaag meldt Avast dat het kwetsbare onderdeel bij gebruikers is uitgeschakeld. De virusbestrijder benadrukt dat dit geen gevolgen voor de functionaliteit van de antivirussoftware heeft, aangezien die over meerdere beveiligingslagen beschikt. Volgens Ormandy heeft Avast de juiste beslissing genomen, aangezien er een zeer groot oppervlakte was om gebruikers aan te vallen. bron: security.nl

TLS-certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, zijn straks nog maar één jaar geldig in plaats van de 2 jaar en 3 maanden zoals nu het geval is. Dat stelt Google. Het techbedrijf lijkt daarmee vooruit te lopen op afspraken van het CA/Browser (CA/B) Forum. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Google stelde vorig jaar voor dat browsers vanaf maart dit jaar alleen nog maar TLS-certificaten van maximaal 13 maanden zouden moeten accepteren. Afgelopen september besloot het CA/Browser Forum over het inkorten van de levensduur te stemmen. Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen. Vorige maand werd bekend dat Apple niet gaat wachten totdat het CA/Browser Forum de kortere levensduur omarmt. Het techbedrijf zal eenzijdig de nieuwe termijn gaan handhaven. Safari zal certificaten met een levensduur van meer dan 398 dagen niet meer vertrouwen, waardoor gebruikers bij het bezoek van websites met een dergelijk certificaat een waarschuwing te zien krijgen. Nu meldt Google dat de levensduur van certificaten in de "nabije toekomst" naar één jaar wordt teruggebracht. Dit heeft als gevolg dat certificaten vaker zullen moeten worden vervangen. Daarom gaat Google automatisch beheer van TLS-certificaten voor gebruikers van Google-diensten inschakelen. "Ons doel is eenvoudig: we willen dat TLS out of the box werkt, ongeachte welke Google-dienst je gebruikt", zegt Siddharth Bhai van Google. Hiervoor maakt Google gebruik van een interne Automatic Certificate Management Environment (ACME), genaamd Google Trust Services. Hierdoor hoeven gebruikers zich geen zorgen meer te maken over verlopen certificaten, omdat certificaten voor klanten automatisch worden verlengd, merkt Bhai op. Daarnaast krijgen alle Blogger-blogs, Google Sites en Google My Business-sites nu standaard https voor hun eigen domeinen. bron: security.nl

De Rowhammer-aanval, die vijf jaar geleden werd onthuld, blijkt in aangepaste vorm ook tegen DDR4- geheugen te werken, waarvan eerst nog werd aangenomen dat het hier tegen bestand was. Dat hebben onderzoekers van de Vrije Universiteit (VU) Amsterdam aangetoond in een nieuw onderzoek. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk voor een aanvaller op een systeem om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De eerste Rowhammer-aanval werd tegen DDR3-geheugen gedemonstreerd. Om dergelijke aanvallen te voorkomen namen geheugenfabrikanten allerlei maatregelen in DDR4-geheugen, dat door moderne systemen en telefoons wordt gebruikt. Die maatregelen blijken tegen de originele Rowhammer-aanval te werken, maar zijn kwetsbaar voor nieuwe varianten. Onderzoekers van de VU besloten de beveiligingsmaatregelen die fabrikanten aan hun geheugen toevoegden te onderzoeken. Daardoor kregen de onderzoekers niet alleen inzicht in de werking van de maatregelen, maar ook hoe die zijn te omzeilen. "Via nieuwe hammering-patronen is het eenvoudig om tal van nieuwe bit flips te veroorzaken. Wederom laten deze resultaten het gevaar zien van een gebrek aan transparantie en security-by-obscurity. Dit is met name problematisch omdat in tegenstelling tot softwarekwetsbaarheden, deze hardware bit flips niet na de productie zijn te verhelpen", aldus de onderzoekers. Om de aanval uit te voeren moet een aanvaller wel in staat zijn om kwaadaardige code op de aangevallen machine uit te voeren. "Het is belangrijk om te onthouden dat Rowhammer of afgeleide aanvallen, zoals de nieuwe TRR-techniek, vereisen dat een aanvaller lokaal kwaadaardige code op het aangevallen systeem kan uitvoeren. Daarom adviseert Oracle klanten om goede security practices op te volgen, zoals het toepassen van verminderde rechten en het up-to-date houden van besturingssysteemsoftware en firmware", aldus Oracle in een analyse van de aanval. De onderzoekers ontwikkelden een tool genaamd TRRespass waarmee kan worden gekeken of geheugenmodules voor de nieuwe aanval kwetsbaar zijn. Deze tool is open source en via GitHub verkrijgbaar. Daarnaast zullen de onderzoekers een Android-app uitbrengen. Het geheugen in verschillende telefoons, waaronder de Google Pixel 3 en Samsung Galaxy S10, is namelijk ook kwetsbaar voor de nieuwe Rowhammer-aanval. bron: security.nl

Microsoft waarschuwt organisaties voor een kritiek beveiligingslek in SMBv3 waardoor een aanvaller op afstand code op de SMB-server of SMB-client kan uitvoeren en een beveiligingsupdate is nog niet beschikbaar. "Microsoft is bekend met een remote code execution-kwetsbaarheid in de manier waarop het Microsoft Server Message Block 3.1.1 (SMBv3) protocol bepaalde verzoeken verwerkt", aldus een advisory van Microsoft. Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een SMBv3-server kan een aanvaller willekeurige code op de server kunnen uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren. Volgens sommige berichten zou een worm zich via het lek kunnen verspreiden, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De organisatie wijst naar een blogpost van Cisco over de maandelijkse patchdinsdag van Microsoft waarin details over het beveiligingslek stonden vermeld. Inmiddels is de blogpost aangepast en de verwijzing naar de kwetsbaarheid verwijderd. Een aantal uren na de publicatie verscheen de advisory van Microsoft online. Het CERT/CC stelt dat op dit moment geen praktische oplossing voorhanden is. Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen. Tevens wordt aangeraden om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het WAN te blokkeren. Ook moeten SMB-verbindingen van het internet geen verbinding met het bedrijfsnetwerk kunnen maken. Microsoft adviseert organisaties om beveiligingsupdates voor de kwetsbaarheid meteen te installeren zodra die beschikbaar komen. Wanneer dit is, is nog onbekend. bron: security.nl

Tijdens de patchdinsdag van maart heeft Microsoft 115 kwetsbaarheden in Windows, Office en andere programma's gepatcht, waaronder een LNK-lek waardoor aanvallers kwetsbare systemen zouden kunnen overnemen. Van de 115 beveiligingslekken zijn er 26 als kritiek aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller willekeurige code op het systeem uitvoeren, met nauwelijks enige interactie van gebruikers. In het geval van het LNK-lek volstaat het openen van een usb-stick of remote share waarop een kwaadaardig LNK-bestand staat. Het is niet nodig om het bestand zelf te openen. LNK is de extensie die Windows voor snelkoppelingen gebruikt. De kwetsbaarheid bevond zich in de manier waarop Windows LNK-bestanden verwerkt. Een aanvaller zou het slachtoffer een usb-stick of remote share met een snelkoppeling en malware kunnen aanbieden. Zodra de usb-stick of remote share in Windowsverkenner of andere applicatie wordt geopend, zorgt het beveiligingslek ervoor dat Windows de snelkoppeling automatisch uitvoert en de malware waarnaar wordt verwezen. Vorige maand kwam Microsoft ook al met een beveiligingsupdate voor een soortgelijke LNK-kwetsbaarheid en eerder kon de beruchte Stuxnetworm zich via een dergelijk lek verspreiden. Verder zijn er meerdere ernstige kwetsbaarheden in Edge, Internet Explorer, Microsoft Office en Dynamics Business Central verholpen. Via twee beveiligingslekken in Windows Defender kon een aanvaller die al toegang tot een systeem had zijn rechten via de ingebouwde virusscanner verhogen. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd. bron: security.nl

Microsoft en partners in 35 landen hebben tijdens een gecoördineerde actie het Necurs-botnet ontregeld. Volgens Microsoft heeft het botnet meer dan negen miljoen computers besmet en is het één van de grootste spambotnets op internet. Dagelijks zou het botnet miljoenen spamberichten versturen. Tijdens een periode van 58 dagen zagen onderzoekers dat één met Necurs besmette computer 3,8 miljoen spamberichten verstuurde. De criminelen achter Necurs zouden toegang tot besmette computers aan andere criminelen verhuren of verkopen. Verder zou Necurs ook betrokken zijn bij het verspreiden van banking Trojans, ransomware en cryptominers. Op 5 maart verstrekte een Amerikaanse rechter een bevel waardoor Microsoft de Amerikaanse infrastructuur die Necurs gebruikt voor het infecteren van computers kon overnemen. Necurs maakt gebruik van een algoritme voor het genereren van domeinen die worden gebruikt om met besmette computers te communiceren. Microsoft analyseerde dit algoritme en kon zo meer dan zes miljoen unieke domeinnamen voorspellen die in de komende 25 maanden zouden worden gegenereerd. Deze domeinen werden aan verschillende registries wereldwijd doorgegeven zodat die de domeinen kunnen blokkeren waardoor ze niet door Necurs zijn te gebruiken. "Door bestaande websites over te nemen en de mogelijkheid om nieuwe te registreren hebben we het botnet ernstig ontregeld", aldus Tom Burt van Microsoft. Het techbedrijf zal nu met allerlei internetproviders gaan samenwerken om met Necurs besmette computers op te schonen. bron: security.nl

Vandaag is er een nieuwe versie van Firefox verschenen die meerdere kwetsbaarheden verhelpt, support van TLS 1.0 en 1.1 uitschakelt, de privacy van videogesprekken verbetert en Facebookgebruikers op de Container-extensie wijst. Firefox 74 bevat meerdere nieuwe features en aanpassingen. Daarnaast zijn er twaalf kwetsbaarheden verholpen die als "high" zijn bestempeld. Via dergelijke kwetsbaarheden kan een kwaadaardige website gevoelige data van andere geopende websites stelen of data of code in die websites injecteren, waarbij alleen het bezoeken van de kwaadaardige website voldoende was geweest. Mozilla merkt op dat met genoeg moeite het misschien mogelijk was geweest om via de beveiligingslekken willekeurige code op systemen uit te voeren. Firefox biedt nu ook meer privacy bij telefoon- en videogesprekken via het web. Hiervoor maakt de browser gebruik van mDNS ICE (Multicast DNS Interactive Connectivity Establishment) dat door WebRTC (Real-Time Communicatie) te gebruiken is. De browser voorziet in bepaalde WebRTC-scenario's het ip-adres van de computer van een willekeurig ID. Facebook Container Daarnaast staat in de release notes van Firefox 74 apart Facebook Container vermeld. Facebook Container is een browserextensie die het Facebookprofiel isoleert van de rest van de activiteiten die de gebruiker op het web uitvoert. Hiervoor wordt er van een aparte container gebruikgemaakt. Dit moet het lastiger voor Facebook maken om gebruikers via third-party cookies op andere websites te volgen. Als gebruikers bijvoorbeeld een link op Facebook.com openen die naar een andere website wijst zal die buiten de container worden geladen. De extensie bestaat al enige tijd, maar wordt niet alleennu apart in de release notes genoemd, maar ook op de pagina die de nieuwe Firefoxversie aankondigt. Tevens is de ondersteuning van TLS 1.0 en 1.1 uitgeschakeld. Websites die voor het opzetten van een beveiligde verbinding van deze encryptieprotocollen gebruikmaken zorgen nu voor een foutmelding in de browser. Volgens cijfers van internetbedrijf Netcraft gaat het om 850.000 websites. Updaten naar Firefox 74 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Verschillende populaire adblock- en vpn-apps hebben in het geheim gegevens van miljoenen mensen verzameld, zo claimt BuzzFeed News op basis van eigen onderzoek. Het gaat om Free and Unlimited VPN, Luna VPN, Mobile Data, en Adblock Focus die in de Google Play Store zijn en waren te vinden. Van Adblock Focus was ook een iOS-versie in de Apple App Store beschikbaar, terwijl Luna VPN daar nog steeds is te downloaden. Zodra de apps geïnstalleerd zijn krijgen gebruikers de vraag om een rootcertificaat te installeren. Vanwege het beveiligingsrisico voor gebruikers beperken Apple en Google rootcertificaatrechten. De apps omzeilen deze beperkingen door gebruikers via een externe website een certificaat te laten installeren. Met het certificaat is het mogelijk om verkeer van en naar de telefoon te inspecteren. De apps blijken van het analyticsbedrijf Sensor Tower te zijn. Gebruikers wordt echter niet verteld dat hun data naar dit bedrijf gaat. Het bedrijf laat BuzzFeed News weten dat het alleen geanonimiseerde gebruiks- en analyticsdata verzamelt, die vervolgens in de eigen producten wordt verwerkt. Het inlichtingenplatform van Sensor Tower wordt door ontwikkelaars, durfinvesteerders, uitgevers en andere partijen gebruikt om de populariteit, gebruikstrends en omzet van apps te volgen. Wegens het overtreden van de regels waren eerder meerdere Sensor Tower-apps al uit de App Store verwijderd. Na te zijn ingelicht door BuzzFeed News verwijderde Apple ook Adblock Focus. Luna VPN is echter nog steeds te downloaden. Google heeft Mobile Data uit de Play Store verwijderd. Wat betreft de andere apps zeggen beide techbedrijven dat ze die nog aan het onderzoeken zijn. bron: security.nl

Een recordaantal van ruim 12.000 Belgen is vorig jaar opgelicht via phishing, waarbij criminelen toegang tot bankrekeningen wisten te krijgen en miljoenen euro's konden stelen. Het ging in totaal om 12.400 slachtoffers, wat neerkomt op 34 slachtoffers per dag. In 2018 wisten criminelen via phishing nog 9700 slachtoffers te maken, zo meldt Febelfin, de overkoepelende organisatie van Belgische banken vandaag. Ondanks de sterke toename van het aantal slachtoffers kende het schadebedrag een lichte daling. Slachtoffers werden vorig jaar voor 7,5 miljoen euro bestolen, wat neerkomt op gemiddeld zo'n 600 euro per slachtoffer. Een jaar eerder ging het nog om een bedrag van 8 miljoen euro, waarbij slachtoffers gemiddeld 820 euro verloren. "Dat heeft wellicht te maken met verbeterde fraudedetectiesystemen bij de banken en mogelijk een hogere alertheid bij consumenten als het over grotere bedragen gaat, maar de strijd is zeker nog niet gestreden", stelt Febelfin. "Het aantal fraudegevallen en de ontvreemde bedragen blijven onaanvaardbaar hoog, terwijl het in principe mogelijk is om phishing te vermijden." bron: security.nl

Certificaatautoriteit Let's Encrypt heeft besloten om 1 miljoen tls-certificaten die het oorspronkelijk wilde intrekken omdat erbij de controle iets was misgegaan toch niet in te trekken. Afgelopen dinsdag maakte Let's Encrypt bekend dat de software die bij de uitgifte van tls-certificaten werd gebruikt een fout bevatte. Certificaten van Let's Encrypt zijn negentig dagen geldig en worden bij de meeste gebruikers automatisch vernieuwd als de huidige certificaten minder dan dertig dagen geldig zijn. Gebruikers die over meerdere certificaten beschikken kunnen die op hetzelfde moment laten vernieuwen. Tijdens dit proces voert Let's Encrypt verschillende controles uit, waaronder de controle van Certification Authority Authorization (CAA) records. In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven. Bij de controle van deze CAA-records ging de software van Let's Encrypt in de fout. Wanneer een gebruiker bijvoorbeeld tien certificaten wilde laten vernieuwen, zorgde de bug ervoor dat het CAA-record van één domein tien keer werd gecontroleerd en van de andere negen certificaten niet. Aangezien er geen fouten bij het uitgifteproces mogen worden gemaakt moeten alle certificaten die gedurende de aanwezigheid van de bug zijn uitgegeven worden ingetrokken. De bug werd vermoedelijk op 25 juli 2019 geïntroduceerd. Volgens Let's Encrypt zouden er meer dan drie miljoen certificaten moeten worden ingetrokken, waarbij 5 maart als deadline was gegeven. Sinds de aankondiging van Let's Encrypt zijn in minder dan 48 uur meer dan 1,7 miljoen getroffen certificaten vervangen. De certificaatautoriteit verwacht dat meer dan één miljoen certificaten echter niet op tijd zullen worden vervangen door hun eigenaren. "In het belang van de gezondheid van het internet hebben we besloten dat het beter is om deze certificaten niet na het verstrijken van de deadline in te trekken", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG), de partij achter Let's Encrypt. Aas merkt op dat Let's Encrypt-certificaten slechts negentig dagen geldig zijn en de certificaten in kwestie dan ook snel zullen verdwijnen. De meer dan 1,7 miljoen certificaten die inmiddels zijn vervangen zullen vandaag worden ingetrokken. Daarnaast gaat het om 445 certificaten waarvan de eigenaren in de CAA-records hadden vermeld dat Let's Encrypt voor die domeinen geen certificaten mocht uitgeven. bron: security.nl

Al jarenlang maken criminelen gebruik van zogenaamde browser- en Flash Player-updates om malware te verspreiden, maar nu worden ook nep-certificaatwaarschuwingen ingezet. Dat laat antivirusbedrijf Kaspersky weten. De zogenaamde certificaatwaarschuwing verschijnt op gecompromitteerde websites waar de aanvallers kwaadaardige code aan hebben toegevoegd. Deze code toont een waarschuwing aan bezoekers dat een beveiligingscertificaat is verouderd en er een aangeboden certificaat moet worden geïnstalleerd om de pagina te laden. In werkelijkheid gaat het om een Trojan-downloader genaamd Buerak en een backdoor genaamd Mokes, die allerlei informatie van systemen steelt. Volgens Kaspersky is de nep-certificaatwaarschuwing op allerlei websites verschenen, waaronder die van een dierentuin en een leverancier van auto-onderdelen. bron: security.nl

Om de privacy van gebruikers verder te beschermen gaat Mozilla in Firefox 75 het gebruik van first-party trackers aanpakken. Dat heeft de browserontwikkelaar bekendgemaakt. Firefox beschikt al enige tijd over trackingbescherming, gebaseerd op een lijst van bekende trackers. Het gaat dan om domeinen waarvan bekend is dat ze worden gebruikt om internetgebruikers over het web te volgen. Aangezien het alleen om bekende domeinen gaat worden niet alle trackers geblokkeerd. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website zijn van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Safari en Firefox besloten daarop om via een lijst van bekende trackingdomeinen third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken. Eind vorig jaar kwam de browserextensie UBlock Origin al met een update om first-party trackers bij Firefoxgebruikers te blokkeren. Nu is Mozilla van plan om dergelijke functionaliteit standaard aan Firefox toe te voegen. De browser zal websites controleren die trackingcookies plaatsen. Wanneer de gebruiker binnen dertig dagen geen interactie met deze website heeft gehad, zullen de cookies en andere sitegegevens automatisch worden verwijderd. De feature is nu aanwezig in een vroege testversie van Firefox 75. De definitieve versie van Firefox 75 staat gepland voor 7 april. bron: security.nl

Fortune 500-bedrijf Emcor, dat wereldwijd systemen voor de vitale infrastructuur levert, is vorige maand getroffen door de Ryuk-ransomware. Dat heeft het bedrijf bij de presentatie van de kwartaal- en jaarcijfers bekendgemaakt (pdf1, pdf2). De infectie werd ontdekt op zaterdag 15 februari. Na ontdekking van de aanval besloot Emcor, dat vorig jaar een geschatte omzet van 9 miljard dollar had en meer dan 33.000 medewerkers telt, bepaalde it-systemen uit te schakelen. Dit moest verdere verspreiding van de ransomware voorkomen. Twee weken later waren sommige systemen nog steeds offline. Volgens het bedrijf zijn er geen aanwijzingen dat de aanvallers klant- of personeelsgegevens hebben gestolen. Hoeveel de aanval het bedrijf heeft gekost is nog onduidelijk. Emcor meldt dat het de kosten in de prognose voor 2020 heeft meegenomen. Verdere details over de aanval zijn niet gegeven. Onlangs liet de FBI nog weten dat Ryuk de meest succesvolle ransomware van de afgelopen jaren is geweest. De Amerikaanse opsporingsdienst baseert zich op de bitcoinwallets waar slachtoffers het losgeld voor het ontsleutelen van bestanden naar toe moesten overmaken. Van 1 oktober 2013 tot 7 november 2019 ging het om een bedrag van meer dan 144 miljoen dollar die door slachtoffers van allerlei ransomware werd betaald. 61 miljoen dollar van dat bedrag was afkomstig van Ryuk-slachtoffers. De Ryuk-ransomware verschilt van veel andere ransomware doordat aanvallers de malware handmatig installeren. De aanvallers proberen ook zoveel mogelijk systemen binnen een getroffen organisatie te infecteren en aanwezige back-ups te verwijderen. Vervolgens worden hoge bedragen gevraagd voor het ontsleutelen van getroffen systemen. Ryuk wordt onder andere geïnstalleerd via de Emotet- en Trickbot-malware die via kwaadaardige Microsoft Office-macro's worden verspreid. De Britse beveiligingsonderzoeker Kevin Beaumont laat op Twitter weten dat ook de internationale juridische dienstverlener Epiq door de Ryuk-ransomware is getroffen. bron: security.nl

De Google Authenticator-app die voor tweefactorauthenticatie (2FA) wordt gebruikt staat het toe dat er screenshots van OTP-codes worden gemaakt. Het probleem is al sinds 2014 bekend en het is onwaarschijnlijk dat Google met een oplossing zal komen. De Authenticator-app is namelijk al sinds 27 september 2017 niet meer bijgewerkt. Onlangs werd bekend dat de Cerberus-malware voor Android in staat is om OTP-codes van Google Authenticator te stelen. Een probleem dat in 2017 al door securitybedrijf Nightwatch Cybersecurity aan Google was gerapporteerd. Het bedrijf waarschuwde dat als het toestel van de gebruiker met een kwaadaardige app besmet raakt, die app gegenereerde OTP-codes kan vastleggen. Daarmee wordt de tweefactorauthenticatie gebroken, aldus Nightwatch Cybersecurity. Dergelijke activiteiten van kwaadaardige apps zijn via een bepaalde optie te voorkomen, maar daar maakt Google Authenticator geen gebruik van. Op 10 mei 2017 rapporteerde Nightwatch Cybersecurity het probleem bij Google. Een oplossing werd echter nooit doorgevoerd. Nu onlangs bekend werd dat de Cerberus-malware van deze omissie gebruikmaakt besloot het securitybedrijf de details van de bugmelding te openbaren. "Het is prima om de ontwikkeling van software te staken. Het is oké om te bepalen dat je beperkte middelen ergens anders beter zijn te gebruiken. Het is niet oké om een open beveiligingsstandaard te promoten, mensen te overtuigen om je propriëtaire app te gebruiken en die dan te verlaten", zegt Terence Eden, hoofd open technologie van NHSX, een speciale techafdeling van de Britse gezondheidszorg NHS. bron: security.nl

Kwaadaardige code die vorige week op de website van de Amerikaanse zorgverzekeraar Blue Shield of California verscheen kwam daar via een gecompromitteerde Chrome-extensie. Dat heeft de verzekeraar, die meer dan vier miljoen mensen bedient, aan it-journalist Brian Krebs laten weten. Een medewerker die de website van Blue Shield of California onderhield maakte gebruik van de Chrome-extensie Page Ruler. Deze extensie maakt het mogelijk om elementen van een website te meten en is door meer dan 400.000 Chrome-gebruikers geïnstalleerd. De extensie werd een aantal jaren geleden door de originele ontwikkelaar aan een andere partij verkocht. Sindsdien zijn er meerdere meldingen verschenen dat de extensie kwaadaardige code verspreidt. Desondanks is die nog steeds in de Chrome Web Store te vinden. De aangepaste extensie kijkt of de gebruiker bijvoorbeeld van WordPress of Joomla gebruikmaakt voor het bewerken van een website. Vervolgens wordt er kwaadaardige JavaScript-code aan de pagina toegevoegd die in bepaalde gevallen advertenties in de browser van bezoekers laadt. Zo kon het gebeuren dat vorige week verschillende antivirusprogramma's een waarschuwing gaven op de website van Blue Shield dat die kwaadaardige code bevatte. De code is inmiddels van de website verwijderd. Gebruikers krijgen het advies om de extensie te verwijderen. bron: security.nl

Certificaatautoriteit Let's Encrypt gaat morgen vanwege een fout bij het uitgeven van TLS-certificaten meer dan 3 miljoen certificaten intrekken. Dat heeft de organisatie bekendgemaakt. De software van Let's Encrypt bevatte een fout bij het controleren van Certification Authority Authorization (CAA) records. In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven. De software van Let's Encrypt controleert eventueel aanwezige CAA-records en kan die in sommige gevallen net voor de uitgifte van het certificaat voor een tweede keer controleren. Een bug zorgde ervoor dat als de software meerdere domeinen moest controleren, één domein meerdere keren werd gecontroleerd en de andere domeinen niet. De bug werd op 29 februari van dit jaar ontdekt. Twee minuten na de ontdekking werd de uitgifte van certificaten gestopt. Twee uur later was er een oplossing uitgerold en konden er weer certificaten worden uitgegeven. Uit voorlopig onderzoek blijkt dat de bug vermoedelijk op 25 juli 2019 is geïntroduceerd. Als gevolg worden morgen 3 miljoen certificaten ingetrokken, waarvan ongeveer 1 miljoen dubbele van andere getroffen certificaten, die dezelfde set domeinnamen beslaan. Vanwege de manier waarop de bug zich kon voordoen zijn voornamelijk certificaten getroffen die vaak opnieuw werden uitgegeven, wat verklaart waarom zoveel getroffen certificaten dubbele zijn. Gedupeerde gebruikers van wie Let's Encrypt een e-mailadres heeft zijn door de certificaatautoriteit ingelicht. bron: security.nl