Captain Kirk

Securitybedrijf Sophos heeft een actief aangevallen kwetsbaarheid ook verholpen in firewalls die end-of-life zijn. Vorig jaar kwam het bedrijf al met een update voor het beveiligingslek (CVE-2022-3236), waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Sophos meldde destijds dat de kwetsbaarheid werd gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. Deze maand ontdekte Sophos naar eigen zeggen dat aanvallers een nieuwe exploit hadden ontwikkeld voor het aanvallen van firewalls waarin de kwetsbaarheid ook aanwezig is, maar die end-of-life zijn. Deze firewalls worden eigenlijk niet meer ondersteund, maar vanwege de aanvallen heeft Sophos nu ook voor deze apparaten een update ontwikkeld. De patch zou inmiddels bij 99 procent van de klanten zijn geïnstalleerd die de optie 'accept hotfix' hebben ingeschakeld. Volgens Sophos zoeken aanvallers geregeld naar apparaten die end-of-life zijn en doen klanten er daarom verstandig aan om te upgraden naar apparaten die nog wel worden ondersteund. bron: https://www.security.nl

De Amerikaanse overheid en Cisco waarschuwen voor een ernstige kwetsbaarheid in Apache Struts waardoor aanvallers in het ergste geval systemen kunnen overnemen. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. De kwetsbaarheid waarvoor nu wordt gewaarschuwd (CVE-2023-50164) maakt het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. Vorige week verscheen er een update voor het beveiligingslek en werden alle ontwikkelaars opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft nu een zelfde oproep gedaan. Daarnaast is ook Cisco met een waarschuwing gekomen en laat weten dat het een onderzoek is gestart naar tientallen producten die mogelijk van Struts gebruikmaken en daardoor risico lopen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows maakt het mogelijk om systemen door middel van alleen het versturen van een malafide e-mail over te nemen. Het slachtoffer hoeft de e-mail niet te openen. Wanneer de Microsoft Outlook-client het bericht verwerkt is al remote code execution mogelijk. Securitybedrijf ZDI vreest dat ransomwaregroepen zullen proberen om misbruik van de kwetsbaarheid te maken. Het beveiligingslek, aangeduid als CVE-2023-35628, bevindt zich in het Windows MSHTML-platform. MSHTML is de door Microsoft ontwikkelde browser-engine van Internet Explorer en wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. "Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal geprepareerde e-mail te versturen", aldus Microsoft. Daarbij is er geen enkele interactie van de gebruiker vereist, aangezien de aanval automatisch kan plaatsvinden wanneer de e-mail door de Outlook-client wordt opgehaald en verwerkt. "Dit kan tot misbruik leiden voordat de e-mail in het voorbeeldvenster wordt bekeken", laat Microsoft verder weten. Daarnaast is de kwetsbaarheid ook te misbruiken door doelwitten op een malafide link te laten klikken. "Zonder twijfel zullen ransomwaregroepen een betrouwbare exploit voor deze kwetsbaarheid proberen te ontwikkelen", zegt Dustin Childs van securitybedrijf ZDI. Misbruik vereist echter enkele 'memory-shaping' technieken, wat de ontwikkeling van een betrouwbare exploit bemoeilijkt, legt Microsoft uit. De impact van de kwetsbaarheid is daardoor op een schaal van 1 tot en met 10 beoordeeld met een 8.1. bron: https://www.security.nl

Zo'n vijftigduizend WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers de websites kunnen overnemen. De sites in kwestie maken gebruik van Backup Migration, een plug-in waarmee beheerders een back-up van hun WordPress-site kunnen maken, de site naar een andere host kunnen migreren of een lokale back-up kunnen herstellen. Meer dan negentigduizend WordPress-sites hebben de plug-in geïnstalleerd. Via het beveiligingslek (CVE-2023-6553) kan een ongeauthenticeerde aanvaller, door het versturen van een speciaal geprepareerd request naar een PHP-bestand van de plug-in, willekeurige PHP-code op kwetsbare sites uitvoeren. Dat laat securitybedrijf Wordfence weten. Op 7 december kwam de ontwikkelaar van de plug-in met versie 1.3.8, waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat zo'n veertigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog zo'n vijftigduizend WordPress-sites kwetsbaar zijn. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een kritieke bluetooth-kwetsbaarheid maakt het mogelijk voor aanvallers om zich als toetsenbord voor te doen en zo systemen op afstand over te nemen. Google heeft updates voor Android uitgebracht en Red Hat adviseert onder andere het uitschakelen van bluetooth. De kwetsbaarheid, CVE-2023-45866, maakt ongeauthenticeerde bluetooth 'keystroke-injection' op Android, Linux, macOS en iOS mogelijk. Het beveiligingslek maakt het mogelijk voor een aanvaller om een kwetsbaar systeem zonder enige bevestiging van de gebruiker te laten pairen met een fake keyboard. Vervolgens kan de aanvaller allerlei commando's op het systeem uitvoeren. Google stelt dat het om een kritieke kwetsbaarheid gaat en kwam vorige week met updates. Die zijn echter nog niet onder alle Androidtoestellen uitgerold. Red Hat adviseert bluetooth-apparaten in non-discoverable mode te zetten, inkomende pairing uit te schakelen of bluetooth helemaal uit te zetten. Ubuntu laat weten dat het onderliggende probleem al via een eerdere patch was verholpen, maar die vanwege compliance-redenen niet was ingeschakeld. Volgens beveiligingsonderzoeker Marc Newlin die het probleem ontdekte vereist de bluetooth-aanval geen speciale hardware en is via een normale bluetooth-adapter uit te voeren. Een volledige exploit en proof-of-concept scripts zal hij tijdens een niet nader genoemde conferentie openbaar maken. bron: https://www.security.nl

Het is inmiddels twee jaar geleden dat een kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library voor wereldwijde aandacht zorgde. Twee jaar verder blijkt dat bijna veertig procent van de Log4j-applicaties een kwetsbare versie van de library gebruikt. Dat stelt securitybedrijf Veracode op basis van eigen onderzoek. Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgde ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen. De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, zorgde vanwege de impact en het wijdverbreide gebruik van de software voor zorgen over grootschalig misbruik. Zo vreesde het ministerie van Volksgezondheid voor grote uitval in de zorgsector door het Log4j-lek. De omvang van het daadwerkelijke misbruik bleek later mee te vallen. Toch liet Log4Shell het risico van third-party code binnen applicaties zien en hoe belangrijk het is dat softwareontwikkelaars dergelijke componenten up-to-date houden. Veracode analyseerde meer dan 38.000 applicaties die van Log4j gebruikmaken. Bijna drie procent blijkt een versie te gebruiken waarin het oorspronkelijk Log4Shell-lek in aanwezig is. Verder draait bijna vier procent van de onderzochte applicaties Log4j2 versie 2.17.0. Deze versie bevat een beveiligingslek dat remote code execution mogelijk maakt. Tevens blijkt 32 procent van de applicaties gebruik te maken van Log4j2 versie 1.2.x. Deze versie is sinds augustus 2015 end-of-life en ontvangt geen updates meer. In deze versie zijn echter meerdere kritieke kwetsbaarheden gevonden die nog altijd ongepatcht zijn. "Het grotere verhaal op de tweede verjaardag is dat er nog steeds ruimte voor verbetering is wanneer het aankomt op de security van opensourcesoftware. Als Log4Shell weer een voorbeeld was van een lange reeks wake-up calls om strengere open source security practices toe te passen, laat het feit dat één op de drie applicaties een kwetsbare versie van Log4j draait dat er nog veel meer werk is te doen", aldus Veracode. bron: https://www.security.nl

Digitale burgerrechtenbeweging Bits of Freedom vreest dat de Europese AI-wet de deur openzet voor nog meer massasurveillance door de overheid. Dat laat de organisatie weten in een reactie op het vorige week gesloten voorlopige akkoord. De Europese burgerrechtenbeweging EDRi deelt dezelfde zorgen. Eerder stelde ook mensenrechtenorganisatie Amnesty International dat de verordening groen licht geeft voor 'dystopische digitale surveillance' in de Europese Unie. De Artificial Intelligence Act stelt regels aan het gebruik van kunstmatige intelligentie. Eén van de onderdelen betreft het gebruik van live gezichtsherkenning door justitie. Het Europees Parlement had zich in eerste instantie nog uitgesproken voor een volledig verbod op biometrische identificatie, zonder enige uitzonderingen. De EU-lidstaten wilden echter dat justitie de technologie wel kan inzetten. Over dit onderdeel werd dan ook lang onderhandeld. "Even leek het er op dat dit verbod zo breed uitgezonderd zou worden, dat we nog maar amper van een verbod konden spreken", aldus Bits of Freedom. Het eindresultaat is dat justitie real-time gezichtsherkenning toch mag inzetten op basis van verschillende uitzonderingen. Het gaat dan om het zoeken van mensen die worden vermist of slachtoffer van mensenhandel of seksueel misbruik zijn. Het voorkomen van een 'specifieke en actuele' terroristische dreiging of het vinden van de locatie of het identificeren van personen die worden verdacht van misdrijven, waaronder terrorisme, mensenhandel, seksueel misbruik, moord, kidnapping, verkrachting, gewapende overvallen, deelname aan een criminele organisatie en milieudelicten. "Het is teleurstellend dat er geen algeheel verbod op biometrische identificatie is aangenomen. We vrezen dat dit de deur open zet voor nog meer discriminatie en massasurveillance door de overheid", zegt Nadia Benaissa, beleidsadviseur van Bits of Freedom. Ook eDRI stelt dat de aangenomen verordening een pad creëert dat leidt tot het gebruik van AI-systemen voor massasurveillance. "We hebben de Europese organen en Nederlandse bewindspersonen opgeroepen niet te zwichten voor de Big Tech lobby. Ook deze week hebben we nog opgeroepen onze rechten niet in te ruilen voor een ‘deal’. Belangrijk, zeker ook binnen de Nederlandse context. Van discriminerende fraudeopsporingsalgoritmen door gemeenten en DUO tot het racistisch inzetten van AI voor visumaanvragen. Nederland kent vele slechte voorbeelden, met als dieptepunt: de toeslagenaffaire. Deze AI-verordening is dus hard nodig", merkt Bits of Freedom op. "Het beschermen van fundamentele rechten was één van de belangrijkste doelen van de wet. Wij houden nog een slag om de arm en wachten de definitieve tekst in spanning af", gaat Benaissa verder. Ella Jakubowska, beleidsadviseur van eDRI, stelt dat het lastig is om blij te zijn met een wet die voor het eerst stappen heeft gezet om live gezichtsherkenning in de hele EU te legaliseren en spreekt van een schim van de wet die Europa echt nodig heeft. bron: https://www.security.nl

Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen. Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft. Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt. bron: https://www.security.nl

Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren. Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren. De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht. Update Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren. bron: https://www.security.nl

Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt. Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers. Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren. bron: https://www.security.nl

Google Chromecasts bevatten verschillende kwetsbaarheden waardoor een aanvaller malafide firmware of spyware kan installeren om zo gevoelige informatie van gebruikers te onderscheppen. Google heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Volgens beveiligingsonderzoeker Nolen Johnson van securitybedrijf DirectDefense, die de kwetsbaarheden ontdekte, ligt de grootste dreiging in Chromecasts die via online marktplaatsen of veilingsites worden aangeschaft en van malware of spyware zijn voorzien. Via drie kwetsbaarheden (CVE-2023-48424, CVE-2023-48425 en CVE-2023-6181) is het mogelijk om de Secure Boot van de Chromecast te omzeilen en malafide firmware en ongesigneerde code te installeren. Een aanvaller moet hiervoor wel toegang tot de Chromecast hebben. "Een ander probleem betreft de afstandsbediening die met het apparaat is gepaird en van een ingebouwde microfoon is voorzien", aldus Johnson. De Chromecast zou de microfoon op afstand kunnen inschakelen en zo de audio van gebruiker kunnen onderscheppen. Daarnaast zou malware op de Chromecast ook inloggegevens van allerlei apps kunnen stelen. Google werd in het tweede kwartaal van dit jaar over de kwetsbaarheden ingelicht en kwam op 5 december met beveiligingsupdates voor de Chromecast met Google TV. bron: https://www.security.nl

WordPress waarschuwt voor een kritieke kwetsbaarheid waardoor websites op afstand zijn over te nemen. Via het beveiligingslek is in bepaalde omstandigheden remote code execution mogelijk. Beheerders worden dan ook aangeraden om direct te updaten naar WordPress 6.4.2 waarin het probleem is verholpen. Het beveiligingslek is niet direct te misbruiken in WordPress 'core'. Hiervoor is een aparte kwetsbaarheid in bijvoorbeeld een plug-in of theme vereist. De benodigde 'object injection' kwetsbaarheden komen echter op grote schaal voor in themes en plug-ins, aldus securitybedrijf Wordfence. Door deze beveiligingslekken met de kwetsbaarheid in WordPress zelf te combineren kunnen aanvallers websites op afstand volledig overnemen. Het beveiligingslek zit sinds versie 6.4 in WordPress. Wordfence stelt dat de meeste WordPress-sites automatisch de update zullen installeren, maar adviseert beheerders om te controleren of ze up-to-date zijn. bron: https://www.security.nl

Meta is begonnen om standaard end-to-end encryptie uit te rollen voor privéchats en telefoongesprekken die via Messenger en Facebook plaatsvinden. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen. Volgens het techbedrijf was het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. "De extra beveiligingslaag die end-to-end encryptie biedt houdt in dat de inhoud van je berichten en gesprekken met vrienden en familie beschermd zijn vanaf het moment dat ze je toestel verlaten tot het moment dat ze op het apparraat van de ontvanger aankomen. Dit houdt in dat niemand, waaronder Meta, kan zien wat er is verstuurd of gezegd, tenzij je besluit een bericht bij ons te rapporteren", aldus Meta. Het kan enige tijd duren voordat chats in Messenger worden geüpdatet naar standaard end-to-end encryptie. bron: https://www.security.nl

Jarenoude kwetsbaarheden in Microsoft Office, Oracle Java en Apple Safari, soms meer dan tien jaar oud, zijn dit jaar op grote schaal gebruikt bij aanvallen, zo claimt Cisco in een jaaroverzicht over 2023 (pdf). Eerder dit jaar kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een zelfde bevinding. In de Top 10 van meest aangevallen beveiligingslekken staat bovenaan een uit 2017 stammende kwetsbaarheid in Microsoft Office. Een beveiligingslek in Apple Safari dat in het overzicht terugkomt dateert zelfs van 2010. "Dit onderstreept de noodzaak voor organisaties om geregeld software-updates te installeren, aangezien veel van de systemen gezien de leeftijd van de kwetsbaarheden waarschijnlijk ongepatcht waren", aldus Cisco. Acht van de tien kwetsbaarheden zijn als kritiek aangemerkt. "Het grote aantal gevallen waarbij wordt geprobeerd om misbruik van deze beveiligingslekken te maken, gecombineerd met hun ernst onderstreept het risico van ongepatchte systemen", zo laat het bedrijf verder weten. Van de gevallen waarbij Cisco kon achterhalen hoe aanvallers toegang tot een getroffen organisatie hadden gekregen was misbruik van kwetsbaarheden de meestvoorkomende methode. bron: https://www.security.nl

Aanvallers maken gebruik van malafide advertenties om uiteindelijk ransomware-aanvallen op organisaties uit te kunnen voeren, zo waarschuwt Microsoft. Via de advertenties wordt de 'Danabot' malware verspreid. Deze malware kan opgeslagen inloggegevens stelen, toetsaanslagen opslaan en aanvallers toegang tot het besmette systeem geven. Zo kunnen aanvallers ook andere malware installeren, waaronder ransomware. Danabot wordt als 'malware-as-a-service' aangeboden, oorspronkelijk gericht op het stelen van inloggegevens en plegen van bankfraude. Microsoft heeft naar eigen zeggen een 'malvertising' campagne ontdekt gebruikt om de Danabot-malware te verspreiden die vervolgens wordt gebruikt voor aanvallen met de Cactus-ransomware. Het gaat hierbij om een private versie van de malware, en niet de versie die als service beschikbaar is. De verantwoordelijke aanvallers zouden in het verleden vaak de Qakbot-malware bij hun aanvallen hebben ingezet, maar de infrastructuur van deze malware werd eind augustus tijdens een internationale politieoperatie offline gehaald. Microsoft adviseert organisaties onder andere om sterk wachtwoordbeleid in te voeren. Details over de gebruikte advertenties zijn niet gegeven. bron: https://www.security.nl

Microsoft gaat eindgebruikers die met Windows 10 werken vanaf oktober 2025 betaalde beveiligingsupdates aanbieden. Het is voor het eerst dat Extended Security Updates voor thuisgebruikers beschikbaar komen. Volgens onderzoeksbureau StatCounter draait 64 procent van de Nederlandse Windowsgebruikers Windows 10. Windows 10 Home en Pro ontvangen op 14 oktober 2025 de laatste normale beveiligingsupdates. Het besturingssysteem is daarna end-of-support en zal niet meer door Microsoft worden ondersteund. Voor zakelijke gebruikers biedt Microsoft bij Windowsversies die end-of-support zijn Extended Security Updates (ESU). Tegen betaling ontvangen deze klanten voor een periode van maximaal drie jaar beveiligingsupdates. Voor het eerst zullen ook thuisgebruikers deze optie aangeboden krijgen. "ESU is een betaald programma dat individuen en organisaties van alle groottes de optie biedt om het gebruik van Windows 10-apparaten op een veilige manier te verlengen na de end of support datum", aldus Microsoft. Via het ESU-programma worden alleen beveiligingsupdates aangeboden, geen nieuwe features of andere zaken. Verdere details over het ESU-programma voor eindgebruikers moet Microsoft nog bekendmaken. bron: https://www.security.nl

Bij de aanval op dna-testbedrijf 23andMe zijn de afstammingsgegevens van 6,9 miljoen gebruikers buitgemaakt. Een aantal dat niet eerder bekend was gemaakt. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf zou zo'n 14 miljoen gebruikers tellen. Bij een credential stuffing-aanval wisten aanvallers toegang tot de accounts van 14.000 gebruikers te krijgen, liet 23andMe vorige week tegenover de Amerikaanse beurswaakhond SEC weten. Verder werd gesteld dat de aanvallers toegang hadden gekregen tot een 'significant number of files' met de afstammingsgegevens van andere gebruikers. Een aantal werd echter niet genoemd. Tegenover TechCrunch laat het dna-testbedrijf nu weten dat het in totaal om 6,9 miljoen gebruikers gaat. 23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Maar via de 14.000 accounts die werden gecompromitteerd konden de aanvallers de afstammingsgegevens van 6,9 miljoen 23andMe-gebruikers downloaden. Het gaat om 6,9 miljoen mensen die ook toestemming hadden gegeven om hun gegevens via de DNA Relatives-feature te delen. Het gaat om naam, geboortejaar, relatielabels, het dna-percentage dat met familieleden wordt gedeeld, afstammingsrapporten en zelf doorgegeven locatie. Van 1,4 miljoen van deze gebruikers zijn ook de stamboomgegevens benaderd. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vanwege de aanval besloot 23andMe de wachtwoorden van alle 14 miljoen gebruikers te resetten en het gebruik van tweestapsverificatie te verplichten. bron: https://www.security.nl

Facebook stopt met het versturen van PGP-versleutelde e-mails naar gebruikers, zo heeft het platform laten weten. Gebruikers konden instellen dat Facebook voor e-mailnotificaties gebruikmaakte van Pretty Good Privacy (PGP). Hiervoor moesten gebruikers hun OpenPGP public key bij Facebook uploaden en de public key van Facebook binnen hun eigen e-mailomgeving importeren, zodat gecontroleerd kon worden dat het bericht van Facebook afkomstig was. De feature werd acht jaar geleden geïntroduceerd, maar zal vandaag worden verwijderd, meldt TechCrunch. Hoeveel mensen er nog van de feature gebruikmaakten wil Facebook niet zeggen. Acht jaar geleden liet PGP-uitvinder Phil Zimmermann weten dat hij er geen gebruik van PGP maakte omdat er geen PGP-software voor zijn Mac beschikbaar was. Facebookgebruikers die versleutelde e-mailnotificaties ontvingen zullen vanaf vandaag onversleutelde berichten toegestuurd krijgen. Het is echter mogelijk om de e-mailnotificaties uit te zetten. bron: https://www.security.nl

Een zerodaylek in Microsoft Outlook waarvoor op 14 maart van dit jaar een beveiligingsupdate verscheen is sinds begin april vorig jaar door aanvallers misbruikt om toegang tot mailaccounts op Exchange-servers te krijgen, zo laat Microsoft vandaag weten. De aanvallen zouden het werk zijn van een vanuit Rusland opererende groep die bekendstaat als Fancy Bear en APT28. De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de wachtwoordhash van het e-mailaccount wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen. Het zerodaylek zou onder andere tegen Poolse instanties zijn ingezet. Het Poolse Cyber Commando werkte samen met Microsoft bij het onderzoek naar de aanval. Volgens Microsoft hadden de aanvallers het in eerste instantie op 'high-value' gebruikers voorzien. Misbruik van de kwetsbaarheid vindt zeker sinds begin april 2022 plaats. Organisaties die willen kijken of hun accounts zijn gecompromitteerd zouden dan ook vanaf deze datum naar aanwijzingen moeten zoeken. Microsoft heeft instructies beschikbaar gemaakt voor het uitvoeren van dergelijke scans. Verder wordt aangeraden om gebruikers aan de Protected Users Group toe te voegen, wat voorkomt dat NTLM als authenticatiemechanisme wordt gebruikt en uitgaand SMB-verkeer op de firewall te blokkeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een veelgebruikte WordPress-plug-in maakt het mogelijk om zo'n 170.000 websites over te nemen. Een update is sinds 29 november beschikbaar, maar op veel sites nog niet geïnstalleerd. Het gaat om de plug-in MW WP Form, waarmee het mogelijk is om mailformulieren voor WordPress-sites te maken. De plug-in is op meer dan 200.000 websites geïnstalleerd. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden naar de webserver te uploaden, waaronder PHP-bestanden. Daarmee is het mogelijk om willekeurige code op de webserver uit te voeren. Voorwaarde is wel dat de optie “Saving inquiry data in database” staat ingeschakeld. Het beveiligingslek werd op 24 november door securitybedrijf Wordfence aan de ontwikkelaars van de plug-in gemeld. Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, verscheen op 29 november een update (versie 5.0.2). Uit cijfers van WordPress.org blijkt dat de afgelopen week 32.000 websites de nieuwe update hebben geïnstalleerd, wat inhoudt dat nog zo'n 170.000 websites kwetsbaar zijn. Beheerders worden dan ook opgeroepen de nieuwste versie van de plug-in te installeren. bron: https://www.security.nl

Op internet zijn zo'n twintigduizend Microsoft Exchange-servers te vinden die end-of-life zijn en geen beveiligingsupdates meer ontvangen. In Nederland gaat het om zo'n zeshonderd servers, aldus de Shadowserver Foundation op basis van eigen scans. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Laatst werd er gescand op Exchange-servers die end-of-life zijn. Dan blijkt dat erop internet zo'n twintigduizend van dergelijke systemen zijn te vinden. Het grootste deel staat in de Verenigde Staten en Duitsland, met respectievelijk vijfduizend en bijna drieduizend machines. In Nederland telt de Shadowserver Foundation 612 servers. Het grootste deel van de niet meer ondersteunde servers draait Exchange Server 2013. Deze versie van Exchange ontvangt sinds 11 april van dit jaar geen beveiligingsupdates meer. bron: https://www.security.nl

Precies tien jaar geleden lanceerde de Australische beveiligingsonderzoeker Troy Hunt de zoekmachine Have I Been Pwned, waarmee gebruikers kunnen kijken of hun e-mailadres in een bekend datalek voorkomt. Sindsdien bevat de zoekmachine e-mailadressen van 12,8 miljard 'pwned' accounts, afkomstig van 731 gecompromitteerde websites en verzamelde datasets. Hunt ontvangt e-mailadressen en wachtwoordhashes die bij deze websites zijn gestolen en voegt die toe aan zijn zoekmachine. Deze gegevens worden soms ook door opsporingsdiensten verstrekt, die slachtoffers van datalekken naar de zoekmachine verwijzen. Recentelijk deed de FBI dit met gegevens van slachtoffers van de Genesis Market, een online marktplaats die op grote schaal in gestolen persoonsgegevens handelde. Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden. "Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd. Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden", zo stelde Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, eerder dit jaar. De Nederlandse overheid maakt echter zelf wel gebruik van Have I Been Pwned. Zo wordt er actief gekeken of er geen e-mailadressen van overheidsdomeinen in bekende datalekken voorkomen. Een aantal jaren geleden had Hunt nog gekeken of hij de zoekmachine kon verkopen, maar dat ging niet door. Recentelijk kondigde de onderzoeker verschillende abonnementen aan voor het monitoren van domeinen via Have I Been Pwned. Inmiddels werken er meerdere personen voor de zoekmachine. bron: https://www.security.nl

De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden. De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen. Minimaal vijf jaar updates Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden. Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen. Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om trainingsdata van ChatGPT op een eenvoudige manier te achterhalen, waaronder e-mailadressen en telefoonnummers. Hiervoor lieten de onderzoekers van Google DeepMind en verschillende universiteiten de chatbot een bepaald woord een oneindig keer herhalen, waarbij er opeens ook trainingsdata als antwoord werd gegeven. "De kwetsbaarheid is dat ChatGPT een groot deel van de trainingsdata onthoudt, misschien omdat het overtraind is of voor een andere reden", zo stellen de onderzoekers in een rapport. De aanval zorgt ervoor dat het onderliggende model afwijkt en zijn trainingsdata prijsgeeft. De onderzoekers denken dat het mogelijk is om op deze manier wel een gigabyte aan trainingsdata te achterhalen. Data gebruikt voor het trainen van ChatGPT is afkomstig van het openbare internet, maar de trainingsdata zelf is niet openbaar. "Hoe gevoeliger of origineler je data is, hoe belangrijker je extractie van trainingsdata vindt", aldus de onderzoekers. Die waarschuwden OpenAI op 30 augustus van dit jaar en gaven de chatbot-ontwikkelaar negentig dagen de tijd om het probleem te verhelpen voordat het openbaar zou worden gemaakt. De specifieke aanval mag dan zijn verholpen, de onderliggende kwetsbaarheid niet, zo waarschuwen de onderzoekers. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van twee type NAS-apparaten voor verschillende kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller op afstand commando's op de systemen kan uitvoeren. De in totaal zes beveiligingslekken zijn aanwezig in de Zyxel NAS326 en NAS542. Drie daarvan (CVE-2023-35138, CVE-2023-4473 en CVE-2023-4474) maken het uitvoeren van OS-commando's door een ongeauthenticeerde aanvaller mogelijk. De impact van deze drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De overige drie beveiligingslekken die Zyxel heeft verholpen hebben een lagere impactscore. De fabrikant roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. De Amerikaanse overheid meldde afgelopen juni nog actief misbruik van een kritieke kwetsbaarheid (CVE-2023-27992) in NAS-apparaten van Zyxel waardoor een aanvaller ook OS-commando's kan uitvoeren. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen. bron: https://www.security.nl