Captain Kirk

In februari waren gebruikers van Internet Explorer en Edge elke dag het doelwit van gemiddeld 300.000 phishingaanvallen en dat aantal zal met het aangebroken belastingseizoen alleen maar toenemen, zo stelt Microsoft. De phishingaanvallen zijn niet alleen gericht tegen Amerikaanse gebruikers, ook in Brazilië, Canada en India zijn soortgelijke aanvallen waargenomen. De aanvallers proberen gegevens van gebruikers te stelen waarmee onder andere belastingfraude kan worden gepleegd. Aanleiding voor Microsoft om verschillende beveiligingstips te geven. Gebruikers wordt aangeraden om alert te zijn op verdachte e-mails, linkjes te controleren en niet zomaar meegestuurde bijlagen te openen. Verder adviseert Microsoft om niet alleen op wachtwoorden te vertrouwen, maar multifactorauthenticatie toe te passen en software up-to-date te houden. "We verwachten dat belastingscams de komende maanden zullen toenemen nu wereldwijd de deadlines voor belastingaangifte naderen", zegt Microsofts Holly Stewart. Zo zag de softwaregigant de afgelopen weken al meerdere kwaadaardige documenten voorbij komen die van de Amerikaanse belastingdienst IRS afkomstig leken en gebruikers vroegen om macro's in te schakelen. Zodra gebruikers de macro's inschakelen wordt het systeem met malware besmet. bron: security.nl

Wereldwijd zijn 2 miljoen webservers kwetsbaar door een nieuw Apache-lek dat een lokale gebruiker de mogelijkheid biedt om root te worden. Het probleem speelt met name bij shared webhostingomgevingen waar meerdere websites op dezelfde Apache-webserver draaien. Ook als Apache-servers niet door meerdere gebruikers worden gedeeld kan de kwetsbaarheid in combinatie met andere beveiligingslekken door een aanvaller worden gebruikt om code met rootrechten uit te voeren. Op 1 april verscheen er een beveiligingsupdate van de Apache Foundation om de kwetsbaarheid te verhelpen. Securitybedrijf Rapid7 besloot een online scan uit te voeren en ontdekte zo'n 2 miljoen verschillende Apache-webservers die kwetsbaar zijn. Ongeveer de helft hiervan werd bij grote cloudhostingproviders aangetroffen, waaronder Amazon, Digital Ocean en OVH. Het grootste deel van de getroffen systemen, zo'n 770.000 servers, staat in de Verenigde Staten, gevolgd door Duitsland (224.000) en Frankrijk (111.000). Ook in Nederland vond Rapid7 tienduizenden kwetsbare systemen. "Hoewel dit geen kwetsbaarheid is om op afstand code uit te voeren, is het een springplank voor aanvallers om acties uit te voeren die de meeste hostingproviders juist proberen te voorkomen. Organisaties moeten de Apache-update zo snel als mogelijk toepassen", aldus Bob Rudis van Rapid7. Organisaties die van een shared webhostingomgeving gebruikmaken krijgen het advies om hun hostingprovider te vragen om de patch zo snel als mogelijk uit te rollen of naar een andere provider of platform over te stappen. bron: security.nl

Microsoft heeft vorig jaar 2 miljoen dollar uitgekeerd aan beveiligingsonderzoekers voor het inzenden van bugmeldingen. Sinds enige jaren hanteert de softwaregigant verschillende beloningsprogramma's die onderzoekers belonen voor het melden van beveiligingsproblemen. Begin dit jaar besloot Microsoft de beloningen van verschillende programma's te verhogen. Konden onderzoekers via deze "bug bounty" programma's eerst nog maximaal 15.000 dollar verdienen, nu is dat bedrag naar 50.000 dollar verhoogd. Tevens heeft Microsoft nieuw beleid doorgevoerd voor kwetsbaarheden die intern al bekend waren. Onderzoekers die beveiligingslekken in de software en diensten van Microsoft vinden die al bij het bedrijf bekend zijn ontvingen altijd 10 procent van de beloning. Volgens Microsoft is het een "waardevol inzicht" om te kunnen zien welke problemen externe onderzoekers kunnen vinden. Om dergelijke bugmeldingen beter te belonen is nu besloten dat onderzoekers die als eerste een kwetsbaarheid melden waar Microsoft al van weet, de volledige beloning ontvangen. In februari maakte Google bekend dat het vorig jaar 3,4 miljoen dollar aan beloningen heeft uitgekeerd voor het melden van bugs in Android, Chrome en andere producten. Van de 3,4 miljoen dollar die vorig jaar werd uitgekeerd ging 1,7 miljoen dollar naar onderzoekers die beveiligingslekken in Android en Chrome rapporteerden. bron: security.nl

Onderzoekers hebben op een cloudserver van Amazon miljoenen privégegevens van Facebookgebruikers ontdekt die voor iedereen op internet toegankelijk waren. De gegevens waren via twee derde partijen verzameld en in een Amazon S3-bucket opgeslagen. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De buckets van het Mexicaanse Cultura Colectiva, een contentplatform, en de Facebook-app "At the Pool" waren voor iedereen op internet toegankelijk. Alleen het kennen van de url was voldoende. In het geval van Cultura Colectiva ging het om een dataset van 146 gigabyte met 540 miljoen records, waaronder reacties, likes, gebruikersnamen, Facebook-ID's en meer. De back-up van At the Pool bevatte informatie over 22.000 gebruikers, waaronder hun plaintext wachtwoorden voor de app, namen, e-mailadressen, Facebook-ID en andere gegevens. At the Pool stopte in 2014 en het achterliggende bedrijf bestaat niet meer. De back-up met gebruikersgegevens bleek echter nog rond te zwerven. "De datasets verschillen in wanneer ze voor het laatst zijn bijgewerkt, de datapunten die ze bevatten en het aantal unieke individuen. Wat ze verbindt is dat ze beide data over Facebookgebruikers bevatten, hun interesses, relaties en interacties beschrijven, die voor third party-ontwikkelaars toegankelijk waren", aldus securitybedrijf UpGuard dat de datasets ontdekte. Datalek Cultura Collectiva werd op 10 januari via e-mail ingelicht door UpGuard, gevolgd door een tweede e-mail op 14 januari. UpGuard heeft nog altijd geen enkele reactie van het contentplatform ontvangen. Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht. Drie weken later op 21 februari was de data nog steeds niet beveiligd en stapte UpGuard opnieuw naar Amazon, dat liet weten naar de zaak te zullen kijken. Pas nadat Facebook was ingelicht werd de dataset op 3 april beveiligd. De dataset van At the Pool was al tijdens het onderzoek offline gehaald. bron: security.nl

Google-onderzoeker Ian Beer heeft een exploit gepubliceerd voor een beveiligingslek in iOS 12.0 en macOS 10.14.2, alsmede details over de kwetsbaarheid. Het beveiligingslek werd op 22 januari dit jaar door Apple gepatcht via iOS 12.1.3 en macOS Mojave 10.14.3 en updates voor Sierra en High Sierra. De kwetsbaarheid bevindt zich in de XNU-kernel van iOS en macOS en maakt het mogelijk voor een kwaadaardige applicatie om het geheugen dat tussen processen wordt gedeeld aan te passen. Dit kan weer leiden tot een kernel heap overflow waarmee het mogelijk is een "jump-oriented payload" uit te voeren en zo hogere rechten te krijgen. Daarbij slaagde Beer erin om een door Apple geïmplementeerde beveiligingsmaatregel te omzeilen. Het gaat om een hardwarematige beveiligingsmaatregel genaamd Pointer Authentication Codes (PAC) die onverwachte aanpassingen van pointers in het geheugen moet voorkomen. De Google-onderzoeker merkt op dat deze maatregel weinig bescherming biedt tegen een aanvaller die lokaal code kan uitvoeren, zoals met een kwaadaardige app mogelijk zou zijn. De exploit die Beer ontwikkelde is speciaal gemaakt voor een iPhone XS met iOS 12.0. bron: security.nl

De Canadese politie heeft vorige week een inval gedaan bij de ontwikkelaar van de Orcus "remote administration tool" (RAT), hoewel meerdere beveiligingsonderzoekers het als een remote access trojan beschouwen. Bij de inval zijn verschillende harde schijven met informatie over gebruikers in beslag genomen, waaronder gebruikersnamen, echte namen, transactiegegevens en andere data. Dat heeft de ontwikkelaar via een bericht op Pastebin bekendgemaakt en is door it-journalist Brian Krebs bevestigd, die een kopie van het huiszoekingsbevel ontving. Vorige week meldde de Canadese toezichthouder CRTC dat er, als onderdeel van een internationaal onderzoek naar remote access trojans, een huiszoeking in Toronto had plaatsgevonden. Verdere details over de zaak werden in het persbericht niet gegeven. Orcus werd aangeboden als een remote administration tool om systemen op afstand te kunnen beheren. Het biedt echter allerlei features die eerder bij malware worden aangetroffen en niet voor een beheertool nodig zijn. Zo kan Orcus het lampje van de webcam uitschakelen, zodat slachtoffers niet zien dat ze worden bekeken. Verder kan de tool een blue screen of death (BSOD) veroorzaken als wordt geprobeerd het proces uit te schakelen en is het in staat om cookies en wachtwoorden te stelen. Tevens zijn er plug-ins waarmee het mogelijk is om systemen waarop Orcus is geïnstalleerd te gebruiken voor ddos-aanvallen. In het verleden is de tool onder andere gebruikt bij aanvallen tegen bitcoinbezitters. Orcus werd via een publieke website voor enkele tientjes verkocht door een partij die zich "Orcus Technologies" noemde. Begin dit jaar besloot de ontwikkelaar de stekker uit het project te trekken en maakte een licentievrije versie van het programma beschikbaar, alsmede softwareontwikkelingstools en documentatie, zo laat securitybedrijf Morphisec weten. In de aankondiging over de inval meldt de ontwikkelaar dat de licentiedatabase niet in handen van de autoriteiten is gekomen. Wel waarschuwt hij gebruikers dat het programma niet langer als veilig beschouwd moet worden en het gebruik per direct moet worden gestopt. bron: security.nl

Beveiligingsonderzoeker Bob Diachenko heeft een database gevonden die door spammers werd gebruikt voor het versturen van spam, maar door een fout voor iedereen op internet toegankelijk was. Het ging om een 5GB grote Elasticsearch-database met meer dan 11 miljoen records, waaronder gecompromitteerde e-mailaccounts en wachtwoorden die in plaintext waren opgeslagen. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. Volgens Diachenko hadden de spammers het voorzien op Britse internetgebruikers. Ze maakten gebruik van gelekte wachtwoorden om de e-mailaccounts van slachtoffers te benaderen en daarvandaan de spamberichten te versturen. De spammers keken echter naar eerdere berichten die via het gehackte e-mailaccount waren verstuurd om gepersonaliseerde spamberichten op te stellen. Deze e-mails hadden onder andere het onderwerp van de eerder verzonden e-mails, waardoor het leek alsof ze van een echt persoon afkomstig waren. De spamberichten wezen naar nagemaakte BBC- en CNN-sites waarop zogenaamde gezondheidsmiddelen en bitcoinscams werden geadverteerd, zo meldt TechCrunch. De database is inmiddels door de hostingprovider uit de lucht gehaald. Diachenko deelde de e-mailadressen met onderzoeker Troy Hunt, eigenaar van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 3 miljoen e-mailadressen in de database was 45 procent al via een ander datalek bij Have I Been Pwned bekend. bron: security.nl

Elke maand vragen websites miljoenen keren aan Firefoxgebruikers toestemming om push notificaties te versturen, maar minder dan 3 procent van deze verzoeken wordt geaccepteerd. Aanleiding voor Mozilla om maatregelen te testen die gebruikers tegen deze "permissiespam" moeten beschermen. Via push notificaties kan een website berichten naar gebruikers sturen, ook als ze de site hebben verlaten. Websites moeten dan ook toestemming hebben voordat ze hier gebruik van kunnen maken. Gebruikers van een testversie van Firefox kregen van 25 december vorig jaar tot 24 januari 18 miljoen van deze verzoeken te verwerken. Minder dan 3 procent werd echter geaccepteerd. Wanneer een website toegang tot de microfoon of camera vraagt wordt dit door zo'n 85 procent van de gebruikers toegestaan. Experiment Mozilla voegde vorig jaar een instelling aan Firefox toe waarmee gebruikers geen meldingen meer zien van websites die push notificaties willen versturen. Een groot deel van de Firefoxgebruikers blijkt niet met deze instelling bekend te zijn. Via twee experimenten wil Mozilla daarom kijken of "permissiespam" op andere manieren kan worden gestopt. De eerste manier is het vereisen van een extra muisklik voordat het permissieverzoek wordt getoond, die daarna kan worden goedgekeurd of afgekeurd. Daarnaast gaat Mozilla informatie verzamelen om te zien wanneer gebruikers op permissieverzoeken reageren. Dit kan helpen bij het opstellen van een heuristische detectie. Bepaalde permissieverzoeken worden dan automatisch geblokkeerd, gebaseerd op het gedrag van gebruikers. "Webontwikkelaars moeten ervan uitgaan dat Firefox en andere browsers in de toekomst kunnen beslissen om de permissieverzoeken van websites op basis van automatisch bepaalde heuristiek te weigeren", zegt Johann Hofmann van Mozilla. Gebruikers zouden dan wel de gelegenheid krijgen om deze beslissing retroactief terug te draaien. bron: security.nl

Cloudflare heeft vandaag een eigen gratis mobiele vpn-dienst aangekondigd genaamd Warp, die volgens het internetbedrijf niet ten koste van de snelheid gaat. Warp is gebouwd rond een UDP-gebaseerd protocol dat voor mobiel internet is geoptimaliseerd. Hierdoor zou Warp de internetprestaties zelfs verbeteren. De vpn-dienst vormt daarnaast geen belasting op het batterijverbruik. Warp maakt gebruik van het WireGuard-protocol dat volgens Cloudflare veel efficiënter is dan oude legacy vpn-protocollen. Net als andere vpn-diensten biedt Warp een versleutelde verbinding naar de servers van Cloudflare. Ook respecteert de vpn-dienst end-to-end-encryptie en hoeven gebruikers geen rootcertificaat te installeren. Volgens Cloudflare zijn er veel schimmige vpn-providers die stellen dat ze de gegevens van hun gebruikers beschermen, maar in werkelijkheid voor gerichte advertenties doorverkopen. "Dat is niet het businessmodel van Cloudflare en zal het ook nooit worden", aldus het bedrijf. Cloudflare zegt dat het geen loggegevens opslaat die gebruikers kunnen identificeren. Verder worden browsegegevens niet verkocht of gebruikt voor gerichte advertenties. Tevens hoeven gebruikers geen persoonlijke informatie te verstrekken om van de vpn-dienst gebruik te kunnen maken. Cloudflare merkt op dat het "geregeld" externe auditors inhuurt om deze beloftes te laten controleren. Warp is nog niet beschikbaar, maar gebruikers kunnen zich alvast aanmelden via de 1.1.1.1-app die het internetbedrijf vorig jaar lanceerde. Deze gebruikers worden de komende weken uitgenodigd om de vpn-dienst te proberen. Eind juli zou Warp voor iedereen op de wachtlijst beschikbaar moeten zijn. De basisversie van Warp is gratis te gebruiken via de 1.1.1.1-app. Daarnaast is er een betaalde versie in ontwikkeling genaamd Warp+ die nog veel sneller zou moeten zijn. bron: security.nl

Antispamorganisatie Spamhaus heeft 47.000 computers ontdekt die met de Emotet-malware besmet zijn. Emotet bestaat al sinds 2014 en was oorspronkelijk malware voor het stelen van bankgegevens. Inmiddels is het een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. Zodra de gebruiker het document opent en macro's inschakelt wordt Emotet geïnstalleerd. Wanneer de malware actief is probeert die ook andere machines in het lokale netwerk te infecteren. Vanwege de wormachtige manier waarop Emotet zich binnen netwerken kan verspreiden, kan het verwijderen van de malware hoge kosten met zich meebrengen. De afgelopen twee maanden hebben onderzoekers van Spamhaus zo'n 47.000 systemen in kaart gebracht die met Emotet besmet zijn geraakt. De infectie vond plaats via links die naar kwaadaardige documenten wezen. Deze documenten worden op gecompromitteerde websites gehost. De onderzoekers telden 6000 verschillende url's die als infectievector dienden. "Dit maakt Emotet de meest actief verspreidde malware van het moment", stelt Spamhaus. Vorige week waarschuwde antivirusbedrijf Trend Micro nog voor een nieuwe campagne waarbij er via Emotet ransomware op computers werd geïnstalleerd. bron: security.nl

Cybercriminelen proberen internetgebruikers op allerlei manieren op advertenties, pop-ups en links te laten klikken. Onderzoekers hebben echter een manier gevonden waarbij dit op een zeer geraffineerde wijze gebeurt. De scam begint met gecompromitteerde sites die bezoekers naar malafide sites doorsturen. Het gaat bijvoorbeeld om WordPress-sites die via kwetsbare plug-ins zijn gekaapt. Vervolgens wordt er kwaadaardige code aan de website toegevoegd die ervoor zorgt dat bezoekers automatisch naar een andere website worden doorgestuurd. Het kan dan gaan om websites met malvertising, advertentiefraude en helpdeskfraude. Het doorgestuurde verkeer kan fraudeurs duizenden dollars aan advertentie-inkomsten per maand opleveren, aldus antimalwarebedrijf Malwarebytes. Om ervoor te zorgen dat doorgestuurde gebruikers ook op de advertenties klikken maken de fraudeurs gebruik van een sluwe truc. Zodra gebruikers worden doorgestuurd naar een malafide website verschijnt er een pop-up. Wanneer de gebruiker deze pop-up via de X-knop wil sluiten zorgt CSS-code ervoor dat de pop-up wordt verplaatst en de gebruiker onbedoeld op de advertentie klikt. "De oplichters maken gebruik van CSS-code die de muiscursor monitort en reageert wanneer die over de X wordt bewogen. De timing is belangrijk om de click een paar milliseconden later op te vangen wanneer de advertentie in focus komt. Deze trucs worden geïmplementeerd om advertentie-inkomsten te maximaliseren, aangezien de inkomsten van advertentieclicks veel hoger is", aldus onderzoeker Jerome Segura. Volgens Segura laten dergelijke aanvallen zien dat webmasters kwetsbaarheden in hun website en gebruikte plug-ins snel moeten patchen. In het geval van ernstige kwetsbaarheden kunnen die na het bekend worden al binnen enkele uren worden aangevallen. De overgenomen websites zijn vervolgens op allerlei manieren door criminelen te verzilveren. bron: security.nl

De aanvallers achter de aanval met besmette ASUS-updates hebben het MAC-adres van hun doelwitten mogelijk via wifi-netwerken verzameld. Dat stelt het Finse anti-virusbedrijf F-Secure in een analyse. Veel details over de aanval zijn nog altijd onbekend en ook ASUS heeft nauwelijks informatie gegeven. Wel is nu duidelijk dat een zeer kleine groep slachtoffers het doelwit van de allereerste aanval was. Bij de aanval hadden aanvallers controle over de updateservers van ASUS en de certificaten die de Taiwanese computerfabrikant gebruikt voor het signeren van de eigen software. De aanvallers gebruikten de certificaten voor het signeren van besmette updates die via de officiële ASUS-updateservers en Live Update-tool werden verspreid onder gebruikers. De update bevatte een backdoor die geprogrammeerd was om aanvullende malware te downloaden. Deze malware werd alleen gedownload op computers met een specifiek MAC-adres, het adres dat fabrikanten aan netwerkadapters toekennen. Wanneer de systemen van ASUS werden overgenomen is nog onduidelijk. Wel stellen onderzoekers dat de besmette updates vanaf juni tot en met november vorig jaar via de Live Update-tool zijn verspreid. Bij de eerste aanval in juni hadden de aanvallers het op slechts achttien apparaten voorzien, aldus F-Secure. In totaal werden meer dan tweehonderd besmette updates onder ASUS-gebruikers uitgerold en bij elke update nam het aantal apparaten toe waar de aanvallers het op hadden voorzien. Zo was de lijst van MAC-adressen die met aanvullende malware werd geïnfecteerd eind juli al de tweehonderd gepasseerd. Dit groeide naar bijna 300 in augustus. In totaal werden er iets meer dan 600 verschillende MAC-adressen op de lijst geplaatst waar de backdoor gebruik van maakte. Dit geeft aan dat de aanvallers de MAC-adressen van hun slachtoffers kenden. Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen. Dat zou goed mogelijk zijn, want volgens ASUS hebben alleen laptops de besmette updates ontvangen. Daarnaast zou een "zeer kleine en specifieke gebruikersgroep" het uiteindelijke doelwit zijn geweest, aldus de fabrikant. Mogelijk zijn wereldwijd tussen de 500.000 en 1 miljoen apparaten via de kwaadaardige updates besmet geraakt. Daarvan hebben 600 MAC-adressen de aanvullende malware gedownload, maar wat deze malware precies is en doet is nog altijd onbekend. De lijst van aangevallen MAC-adressen is inmiddels openbaar. bron: security.nl

Eerder deze week werd bekend dat aanvallers vorig jaar bij de Taiwanese computerfabrikant ASUS hebben ingebroken om via de officiële ASUS-updatetool en ASUS-servers besmette updates onder tienduizenden, mogelijk zelfs honderdduizenden, klanten te verspreiden. De besmette updates installeerden een backdoor, die in een beperkt aantal gevallen aanvullende malware installeerde. Deze tweede fase van de aanval werd alleen bij zo'n 600 specifieke MAC-adressen uitgevoerd. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. De aanvallers maakten gebruik van een hardcoded lijst met MAC-adressen, wat inhoudt dat ze de MAC-adressen van hun doelwitten kenden. In totaal identificeerde antivirusbedrijf Kaspersky Lab iets meer dan 600 unieke MAC-adressen waar de aanvallers het op hadden voorzien. De virusbestrijder ontwikkelde een tool die ASUS-gebruikers op hun systeem kunnen draaien. De tool kijkt naar het MAC-adres van de gebruiker en vergelijkt dat met de lijst van 600 aangevallen MAC-adressen. De lijst zelf is niet openbaar gemaakt. Onderzoekers van securitybedrijf Skylight besloten de tool van Kaspersky Lab te reverse engineeren. Daaruit bleek dat de tool van gesalte hashes gebruikmaakte. Nadat de onderzoekers het exacte hashingalgoritme hadden ontdekt besloten ze via brute force de lijst met gehashte MAC-adressen te achterhalen. Hiervoor werd er uiteindelijk een beroep gedaan op de rekenkracht van Amazon. Het gebruikte Amazon-cloudsysteem beschikte over acht Nvidia V100 Tesla-videokaarten met 16GB geheugen. De onderzoekers besloten niet alle mogelijke MAC-adressen te proberen, maar gebruikten een verzameling met 1300 prefixes. De prefixes zijn gebaseerd op de fabrikanten wiens MAC-adressen het doelwit waren. Binnen een uur hadden de onderzoekers 583 van de 619 MAC-adressen achterhaald. Waarschijnlijk zijn de niet achterhaalde MAC-adressen van andere netwerkfabrikanten. De volledige lijst met MAC-adressen is via deze pagina te downloaden. ASUS Een dag na het nieuws over de aanval kwam ASUS met een reactie. De computerfabrikant liet weten dat het een update voor de ASUS Live Update-tool had uitgebracht die verschillende beveiligingsverbeteringen bevatte. Verdere details werden niet gegeven. Daardoor is het totale aantal systemen dat de besmette updates ontving nog altijd onbekend. Ook is onduidelijk hoe de aanvallers bij ASUS binnen wisten te dringen en hoe lang ze controle over de systemen van de computerfabrikant hadden. bron: security.nl

Een ontwikkelaar van Google heeft een ongepatcht beveiligingslek in de SR20 "smart home" router van fabrikant TP-Link onthuld omdat de fabrikant niet binnen 90 dagen met een patch kwam. Matthew Garrett is security-developer bij Google, maar heeft details over de kwetsbaarheid op eigen titel gepubliceerd. De SR20 is een Zigbee/Z-Wave hub en router, met een touchscreen voor configuratie en bediening. De router moet de rol van Internet of Things-hub vervullen, waarbij het allerlei smart home-oplossingen verbindt. Garrett gebruikte Ghidra, de gratis reverse engineering tool van de NSA, om het TP-Link device debugprotocol te analyseren. Dit debugprotocol draait op de meeste TP-Link-apparaten. Versie 2 van het protocol werkt alleen met het beheerderswachtwoord van de router. Versie 1 van het protocol vereist echter geen authenticatie. In het geval van de SR20 blijken bepaalde commando's van versie 1 nog steeds toegankelijk te zijn. Een aanvaller op het lokale netwerk kan hier gebruik van maken om op de router code met rootrechten uit te voeren. Garrett waarschuwde TP-Link in december via een speciaal webformulier. Na de bugmelding te hebben verzonden verscheen er een melding dat er binnen drie werkdagen contact op zou worden genomen. Enkele weken later had de Google-ontwikkelaar nog steeds geen reactie gekregen, waarop hij een tweet naar TP-Link verstuurde, maar ook deze vraag bleef onbeantwoord. Daarop heeft Garrett nu de details van de kwetsbaarheid openbaar gemaakt. De ontwikkelaar adviseert TP-Link om het "security feedback" formulier te lezen en geen debugprotocollen in productiefirmware te draaien. bron: security.nl

VMware heeft meerdere kwetsbaarheden verholpen waardoor een gebruiker in een virtueel gastsysteem het hostsysteem kon overnemen. Twee van de beveiligingslekken waren aanwezig in de virtuale usb-controller en werden vorige week tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers Amat Cama en Richard Zhu demonstreerden een aanval tegen VMware Workstation waarbij ze vanuit een gastsysteem code op het hostsysteem konden uitvoeren. De kwetsbaarheden waren niet alleen aanwezig in VMware Workstation Pro en Player, maar ook in VMware vSphere ESXi en VMware Fusion Pro en Fusion. De beveiligingsupdate die VMware uitbracht verhelpt niet alleen de kwetsbaarheden van Cama en Zhu, maar ook van andere onderzoekers waardoor het mogelijk was om vanuit het gastsysteem code op het hostsysteem uit te voeren. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren. Naast een aanval op de virtualisatiesoftware van VMware werd er tijdens Pwn2Own ook een soortgelijke aanval tegen Oracle VirtualBox gedemonstreerd. Ook hierbij wisten Cama en Zhu het onderliggende systeem over te nemen. Voor deze aanval is nog geen beveiligingsupdate verschenen. Oracle hanteert een patchcyclus waarbij updates elk kwartaal verschijnen. De volgende patchronde staat gepland voor 16 april 2019. bron: security.nl

IoT-zoekmachine Shodan heeft een nieuwe dienst gelanceerd waarbij organisaties de apparaten en systemen die ze aan het internet hebben blootgesteld kunnen monitoren en worden gewaarschuwd als er iets onverwachts opduikt. Shodan-oprichter John Matherly vergelijkt het met het instellen van een Google Alert voor een bepaald woord of woorden, alleen dan voor apparaten op het internet. Via Shodan Monitor kunnen bedrijven zowel hun ip-adressen en ip-reeksen laten monitoren, als opgegeven apparaten en andere systemen. Zodra de monitoringsdienst iets onverwachts vindt krijgt de organisatie meteen een waarschuwing. De afgelopen jaren hebben onderzoekers via Shodan tal van databases, installaties en systemen gevonden die onbedoeld voor heel het internet toegankelijk waren. De "network alerts" van Shodan Monitor moeten dit voorkomen. De monitoringsdienst is gratis te gebruiken voor betalende gebruikers van de zoekmachine. bron: security.nl

Beveiligingsupdates die Cisco eind januari voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers uitbracht zijn onvolledig, waardoor duizenden routers nog steeds kwetsbaar voor aanvallen zijn, zo heeft de netwerkgigant bevestigd. Nieuwe updates zijn nog niet beschikbaar. De updates van Cisco moesten verschillende beveiligingslekken verhelpen. Via één van de kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando's met rootrechten uit te voeren. Een aantal dagen na het uitkomen van de updates zochten aanvallers actief naar kwetsbare routers. De beveiligingsupdates zijn echter "onvolledig", aldus Cisco. De oorspronkelijke kwetsbaarheden werden gevonden door onderzoekers van RedTeam Pentesting. Nadat Cisco de oorspronkelijke beveiligingsupdates had uitgebracht ontdekten de onderzoekers dat het probleem onvoldoende door het bedrijf was verholpen. De oplossing die Cisco had toegepast was het blacklisten van de "curl" user agent in de firmware. Curl is een commandlinetool die door online scanners wordt gebruikt. Mogelijk dacht Cisco op deze manier dat kwetsbare routers niet gevonden zouden worden. RedTeam Pentesting waarschuwde Cisco op 8 februari dat de patches onvolledig waren, gevolgd door een volledig beschrijving van het probleem op 15 februari. De onderzoekers lieten weten dat ze de nieuwe informatie over de lekken op 27 maart openbaar zouden maken. Op 25 maart werd Cisco gevraagd wanneer de nieuwe beveiligingsupdates zouden verschijnen. De netwerkgigant vroeg de onderzoekers echter om het openbaar maken van de kwetsbaarheden uit te stellen. Dit weigerden de onderzoekers, waarop gisteren de informatie online verscheen. Cisco heeft de oorspronkelijke beveiligingsbulletins nu bijgewerkt en bevestigt dat de eerste updates onvolledig waren. Wanneer er nieuwe updates zullen verschijnen wordt niet vermeld. Onderzoeker Troy Mursch van Bad Packets Report laat via Twitter weten dat nog bijna 9.000 Cisco RV-routers op internet hun configuratiebestand lekken, waaronder de wachtwoordhashes. bron: security.nl

Het Tor Project heeft een nieuwe website gelanceerd gericht op nieuwe gebruikers. De organisatie is verantwoordelijk voor het Tor-netwerk en Tor Browser, de software die dagelijks door miljoenen mensen wordt gebruikt om hun privacy en identiteit te beschermen. Twee jaar geleden kwam het Tor Project met een eigen stijlgids om alle onderdelen van het Tor-ecosysteem dezelfde visuele uitstraling te geven. Dit moet helpen bij het versterken van het gebruikersvertrouwen en de identiteit van de community. De meeste mensen leren via TorProject.org over Tor en kiezen er dan voor om de browser te downloaden. De oude website slaagde hier echter slecht in. "We hadden teveel informatie om te verwerken en niets was vertaald", aldus Isabela Bagueros, directeur van het Tor Project. Daarop werd besloten een nieuwe website te ontwerpen, waarbij de focus op nieuwe gebruikers lag. Tevens werd besloten om de site mobielvriendelijk te maken. Ook wordt de website nu in zeven verschillende talen aangeboden. Tor Browser zelf is in 24 talen beschikbaar. "Onze nieuwe website is een onderdeel van ons doel om ervoor te zorgen dat iedereen op de planeet Tor kan gebruiken", laat Bagueros weten. Binnenkort zal het Tor Project een communityportal lanceren met informatie over hoe mensen de boodschap over Tor kunnen verspreiden. "We zijn een groep mensen verenigd in het geloof dat iedereen privétoegang tot het open web hoort te hebben en we hopen dat onze nieuwe site het eenvoudiger maakt om dit te bereiken", besluit de Tor Project-directeur. bron: security.nl

Microsoft heeft via een gerechtelijk bevel de controle over 99 domeinen van een groep aanvallers gekregen en het verkeer hiervan naar de eigen servers laten wijzen. Het gaat om een groep die wordt aangeduid als Phosphorus, APT 35 en Charming Kitten. Dat heeft de softwaregigant vandaag bekendgemaakt. De groep, die volgens Microsoft aan Iraanse hackers wordt gelinkt, houdt zich bezig met het stelen van gevoelige gegevens van overheden en bedrijven. Ook zijn activisten en journalisten het doelwit, en dan met name die over zaken in het Midden-Oosten berichten. Om toegang tot de systemen van slachtoffers te krijgen maakt de groep gebruik van kwaadaardige links die via social media worden verstuurd en naar malware wijzen. Daarnaast verstuurt de groep phishingmails die van bekende bedrijven afkomstig lijken, zoals Microsoft, en stellen dat er een beveiligingsprobleem met het e-mailaccount is. Vervolgens wordt gebruikers gevraagd om hun wachtwoord in een webformulier in te vullen. De ingevulde inloggegevens worden dan naar de aanvallers gestuurd. De groep registreert voor deze phishingaanvallen domeinen die op domeinen van de geïmiteerde techbedrijven lijken. Om de operaties van de groep te verstoren stapte Microsoft naar de rechter, die de softwaregigant via een gerechtelijk bevel de controle over 99 domeinen gaf. Vervolgens liet Microsoft het verkeer van de domeinen naar de eigen servers wijzen. De informatie die dit oplevert zal binnen de beveiligingsproducten en -diensten van Microsoft worden gebruikt. bron: security.nl

Europol, banken, securitybedrijven en telecomproviders hebben de afgelopen dagen informatie gedeeld over de impact van phishing en hoe deze vorm van criminaliteit samen met opsporingsdiensten kan worden aangepakt. Experts uit de verschillende bedrijfstakken kwamen gisteren en vandaag bij elkaar om inzichten uit te wisselen. Phishing is nog altijd de motor van veel verschillende vormen van cybercrime, aldus Steven Wilson, hoofd van het Europese Cybercrime Centre dat onderdeel van Europol is. De bijeenkomst leidde tot verschillende conclusies en aanbevelingen. Zo moet de informatie-uitwisseling tussen bedrijven, opsporingsdiensten en de publieke sector worden verbeterd. Tevens moeten basale maatregelen worden getroffen, zoals het blacklisten van domeinen, veilige authenticatie en het blokkeren van veelgebruikte exploits. De experts pleitten ook voor het gebruik van machine learning om phishingmails te detecteren. Naast technische maatregelen is het ook belangrijk dat gebruikers op een permanente basis worden getraind en onderwezen, in plaats van een eenmalige actie, zo concludeerden de experts. Vandaag maakte Betaalvereniging Nederland nog bekend dat phishing het afgelopen jaar voor een miljoenenschade bij internetbankieren heeft gezorgd en ook in België wisten criminelen via phishing miljoenen euro's te stelen. Aan de hand van deze conclusies zullen er later dit jaar adviezen en aanbevelingen worden gepubliceerd, waarbij het probleem van phishing en mogelijke oplossingen vanuit een opsporingsperspectief worden besproken. "Phishing is de motor en facilitator van vele cybermisdrijven, en kan grote schade aan Europese burgers en hun organisaties aanrichten. Alleen door met verschillende industrieën en experts samen te werken kunnen we deze dreiging tegengaan en de EU veilig houden", zegt Wilson. bron: security.nl

Facebook en de Belgische Gegevensbeschermingsautoriteit staan vandaag en morgen in een Brusselse rechtbank tegen over elkaar. Aanleiding is de beslissing van een Belgische rechter vorig jaar dat de sociale netwerksite moet stoppen met het volgen van mensen die vanuit België internetten. De zaak tegen Facebook was door de Gegevensbeschermingsautoriteit aangespannen. Het draaide om de technieken die Facebook gebruikt om mensen zowel met als zonder profiel op websites te volgen. De rechtbank van Brussel oordeelde dat Facebook de Belgische privacywet overtreedt. Zo worden internetgebruikers niet geïnformeerd over het feit dat Facebook informatie over hen verzamelt, om wat voor informatie het gaat, wat er met die informatie wordt gedaan en hoe lang die informatie wordt bewaard. "Aangezien Facebooks social plug-ins en pixels op miljoenen websites aanwezig zijn, kan Facebook een groot onderdeel van eenieders surfgedrag in kaart brengen. Daarbij kan het ook gaan over websites van heel gevoelige aard, zoals over gezondheidsproblemen, seksuele geaardheid en politieke voorkeuren. Vervolgens gebruikt Facebook die informatie om je surfgedrag te profileren en gebruikt zij die profilering om je gerichte reclame te tonen, zoals reclame over producten en diensten van commerciële bedrijven, boodschappen van politieke partijen, enz.", aldus de Gegevensbeschermingsautoriteit. Facebook tekende beroep aan tegen het vonnis. Tevens voerde Facebook in aanloop naar de Algemene verordening gegevensbescherming (AVG) verschillende aanpassingen door. Volgens de de privacytoezichthouder respecteert Facebook nog steeds de Belgische en Europese privacywetgeving niet en schendt het de fundamentele rechten van miljoenen Belgen. De Gegevensbeschermingsautoriteit merkt op dat de verplichtingen die vroeger in de Belgische Privacywet stonden door de AVG nog strenger zijn geworden. De Autoriteit zal het Hof van Beroep te Brussel dan ook vragen om het gerechtelijke vonnis van vorig jaar te bevestigen, ook naar de toekomst toe. Facebook laat in een reactie tegenover Bloomberg weten dat het gebruikers via de in ontwikkeling zijnde Clear History-tool meer informatie en controle zal geven over de informatie die Facebook via ander websites over hen verzamelt. Via de tool moet het mogelijk worden om informatie van websites los te koppelen van het account. "We hebben ook verschillende veranderingen doorgevoerd om mensen te laten begrijpen hoe onze tools werken en de keuzes uit te leggen die ze hebben, onder andere via onze privacy-updates", aldus de sociale netwerksite. bron: security.nl

Google-onderzoekers Tavis Ormandy heeft een ernstig beveiligingslek in GnuTLS gevonden, een vrije software-implementatie van de tls-, ssl- en dtls-protocollen. GnuTLS is een softwarebibliotheek waarmee andere programma's beveiligde verbindingen kunnen opzetten. De kwetsbare code zou sinds januari 2017 in de software aanwezig zijn. Destijds was er via een fuzzer een klein geheugenlek in GnuTLS ontdekt. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. De manier waarop het kleine geheugenlek werd opgelost zorgde echter voor een veel groter beveiligingslek waardoor een aanvaller kwetsbare systemen had kunnen overnemen, aldus Ormandy. Zowel clients als servers die GnuTLS gebruiken om X.509-certificaten te controleren zouden via een kwaadaardige server of man-in-the-middle-aanval kunnen worden gecompromitteerd. Ormandy informeerde de ontwikkelaars van GnuTLS op 5 februari. Vandaag is GnuTLS 3.6.7 verschenen waarin het probleem is opgelost. bron: security.nl

Een beveiligingslek in de Social Warfare-plug-in voor WordPress dat sinds vorige week wordt gebruikt om kwetsbare websites aan te vallen blijkt veel erger te zijn dan in eerste instantie werd aangenomen. Het geeft aanvallers namelijk ook de mogelijkheid om websites volledig over te nemen. Social Warfare is een plug-in voor het delen van de content van WordPress-sites op social media. Het is op meer dan 70.000 websites geïnstalleerd. Websites die van de plug-in gebruikmaken werden vorige week het doelwit van een zeroday-aanval via een onbekend beveiligingslek. Aanvallers gebruikten de kwetsbaarheid voor het injecteren van JavaScript-code in de "social share" links op WordPress-sites. Deze code word uitgevoerd in de browser van bezoekers en stuurt ze door naar spamsites. Naar aanleiding van de aanvallen kwamen de ontwikkelaars van de plug-in met een beveiligingsupdate (versie 3.5.3). Nu blijkt dat de verholpen kwetsbaarheid aanvallers ook de mogelijkheid biedt om willekeurige php-code uit te voeren en zo de website over te nemen, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo een backdoor installeren, aanvullende beheerders aanmaken en systeemcommando's uitvoeren. Volgens de onderzoekers van het securitybedrijf zal dit waarschijnlijk voor een nieuwe golf van aanvallen zorgen. Webmasters krijgen dan ook het dringende advies om te updaten naar Social Warfare versie 3.5.3 of nieuwer. bron: security.nl

De volgende versie van Firefox gaat standaard nieuwe extensies in privévensters blokkeren, wat volgens Mozilla de privacy van gebruikers beter moet beschermen. De privénavigatie van Firefox wist automatisch browsegegevens, zoals wachtwoorden, downloads, zoekopdrachten, cookies en geschiedenis zodra de browser wordt gesloten. De feature is vooral bedoeld om geen gegevens voor andere gebruikers op het lokale systeem achter te laten. "Privénavigatie maakt u niet anoniem op het internet. Uw internetserviceprovider, werkgever, of de websites zelf kunnen nog steeds bijhouden welke pagina's u bezoekt", aldus Mozilla. Op dit moment worden Firefox-extensies zowel in normale vensters als privévensters uitgevoerd, wat volgens Mozilla niet in lijn is met het "privacy commitment" van de browserontwikkelaar. Vanaf Firefox 67 krijgen gebruikers en ontwikkelaars daarom mogelijkheden om aan te geven welke extensies in privévensters mogen draaien. Standaard zal Firefox straks alle nieuw geïnstalleerde extensies in privévensters blokkeren. Zodra gebruikers een extensie installeren krijgen ze een melding te zien of ze de extensie ook in privévensters willen toestaan. Om de workflow van gebruikers niet te onderbreken is besloten dat al geïnstalleerde extensies bij een upgrade naar Firefox 67 automatisch toestemming krijgen om in privévensters te draaien. Alleen nieuw geïnstalleerde extensies zullen standaard worden geblokkeerd, zo laat Mozilla weten. Firefox 67 staat gepland voor 14 mei van dit jaar. bron: security.nl

WinRAR-gebruikers zijn de afgelopen weken het doelwit van verschillende groepen aanvallers geweest en beveiligingsbedrijf FireEye verwacht dat de aanvallen alleen maar zullen toenemen. De aanvallers maken gebruik van een lek in WinRAR waardoor er malware op het systeem kan worden geïnstalleerd. Zodra een gebruiker met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand met een RAR-extensie opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met malware. Het kwaadaardige ACE-bestand maakt misbruik van een kwetsbaarheid in de populaire archiveringssoftware die in versies voor WinRAR 5.70 aanwezig is. Het betreft een lek in de library die voor het uitpakken van ACE-bestanden wordt gebruikt. FireEye meldt nu dat het aanvallen heeft gezien die tegen de Israëlische militaire industrie waren gericht. Ook doen de aanvallers zich voor als het Council on Social Work Education en de voormalige Oekraïense president Viktor Yanukovych. Bij een andere aanval werd een kwaadaardig ACE-bestand gebruikt dat zogenaamd gestolen inloggegevens en creditcarddata zou bevatten. Via de malafide archiefbestanden proberen de aanvallers backdoors, remote administration tools (RATs) en wachtwoordstelers te installeren. "Vanwege het grote aantal WinRAR-gebruikers, het ontbreken van een automatische updatefunctie en het gemak waarmee deze kwetsbaarheid is te misbruiken, verwachten we dat meer aanvallers de komende dagen hier misbruik van zullen maken", aldus Dileep Kumar Jallepalli van FireEye. Gebruikers krijgen het advies om naar WinRAR versie 5.70 te updaten. bron: security.nl