Captain Kirk

Deze maand zullen de Chrome en Firefox zo'n 850.000 websites gaan blokkeren die nog van een TLS 1.0 en 1.1 gebruikmaken. Het TLS (Transport Layer Security)-protocol, dat onder andere wordt gebruikt voor het opzetten van een beveiligde verbinding, bestaat inmiddels meer dan 20 jaar. Vanwege veiligheidsredenen wordt de ondersteuning van TLS 1.0 en 1.1 gestopt. Dit is in het verleden al geregeld gecommuniceerd, toch zijn er nog altijd meer dan 850.000 websites die van de oude TLS-protocollen gebruikmaken, zo meldt internetbedrijf Netcraft. Daardoor krijgen gebruikers straks een waarschuwing in de browser te zien als ze deze websites proberen te bezoeken. Het gaat onder andere om websites van Huawei, telecomprovider O2, de Zuid-Afrikaanse overheid, de Amerikaanse staat Californië en andere instanties. Door van TLS 1.0 en 1.1 gebruik te maken lopen bezoekers van deze sites risico op aanvallen zoals BEAST, CRIME en POODLE. "Het verwijderen van de client-side ondersteuning van deze oudere protocollen is de meest effectieve manier om ervoor te zorgen dat hun gerelateerde kwetsbaarheden niet langer een risico vormen", zegt Ashley Newson van Netcraft. Beheerders krijgen het advies om voor de beveiligde verbinding van hun websites TLS 1.2 of 1.3 te gebruiken. bron: security.nl

Beveiligingsonderzoeker Troy Hunt, bedenker van de datalekzoekmachine Have I Been Pwned, zoekt niet langer naar een overnamekandidaat. De zoekmachine zal namelijk niet worden verkocht, zo heeft Hunt vandaag in een blogposting bekendgemaakt. Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 9,5 miljard gecompromitteerde accounts, afkomstig van meer dan 430 websites. Hunt beheert de dienst in zijn eentje, maar dat was volgens de Australiër niet langer houdbaar, zo liet hij vorig jaar juni weten. Zo zat hij begin vorig jaar naar eigen zeggen dicht tegen een burn-out aan. Hij startte daarom een zoektocht naar een overnamekandidaat. Hunt had verschillende voorkeurspartijen en werkte samen met KPMG om te kijken welke organisaties in aanmerking voor het overnemen van Have I Been Pwned zouden komen. Na een proces van elf maanden, waarbij Hunt maanden met één partij overlegde waarvan hij dacht dat die de datalekzoekmachine zou overnemen, liepen de onderhandelingen op niets uit. "Onverwachte veranderingen aan hun businessmodel maakte de deal onhaalbaar", laat Hunt weten. De onderzoeker had in totaal gesprekken met 141 bedrijven die in Have I Been Pwned geïnteresseerd waren. Uit deze groep werden 43 partijen gekozen die aan de door Hunt gestelde eisen voldeden. Ook met deze bedrijven voerden Hunt en KPMG gesprekken. Vervolgens konden deze partijen een niet-bindend bod doen. Dit leidde uiteindelijk tot één partij die als bieder exclusiviteit kreeg. Wie deze partij is mag Hunt niet zeggen. Vanuit het niets veranderde het businessmodel van deze partij, waarop Hunt en het bedrijf besloten om van de overname af te zien. Hunt merkt op dat het een zeer intensief proces was en hij enige tijd nodig zal hebben om te herstellen. Daarnaast merkt hij op dat het gehele proces hem heeft laten zien dat hij meer mankracht nodig heeft. "Ik kan niet de enige zijn die voor alles verantwoordelijk is", aldus de onderzoeker, die binnenkort nieuwe plannen voor Have I Been Pwned bekend zal maken. bron: security.nl

Facebook biedt gebruikers een tool waarmee ze kunnen downloaden en zien wat de sociale netwerksite over hen weet, maar deze oplossing is niet volledig, zo stelt Privacy International. De privacyorganisatie baseert zich op eigen onderzoek. Via de optie "Je gegevens downloaden" kunnen Facebookgebruikers onder andere zien welke adverteerders zich met welke advertenties op hen hebben gericht en onder welke omstandigheden. "We ontdekten dat de aangeboden informatie onnauwkeurig is. Anders gezegd, deze tool is niet wat Facebook beweert. De lijst met adverteerders is onvolledig en verandert in de loop der tijd", aldus Cody Doherty van Privacy International. Daarnaast is de wel verstrekte informatie zeer beperkt. Er staat alleen een naam van de adverteerder, maar geen contactgegevens. Daardoor kunnen gebruikers volgens Privacy International niet hun rechten uitoefenen. Adverteerders kunnen met persoonlijke data van internetgebruikers hen op Facebook benaderen. Het gaat dan bijvoorbeeld om een e-mailadres, telefoonnummer of Facebook-ID. De adverteerder uploadt deze informatie zodat hij de Facebookgebruiker gerichte advertentie kan tonen. Facebook moet aan gebruikers laten weten hoe ze door adverteerders worden benaderd. Zo kunnen gebruikers zien of de adverteerder in kwestie wel een juridische basis heeft voor het verwerken van deze gegevens. De Facebooktool is echter ondoorzichtig voor gebruikers, aldus Privacy International. Die kunnen zo niet goed zien en controleren hoe hun gegevens worden gebruikt op het platform. Zo kunnen gebruikers niet achterhalen welke bedrijven informatie over hen naar Facebook hebben geüpload om gerichte advertenties te tonen. "Het gebrek aan informatie en de moeilijkheden bij het uitoefenen van rechten versterkt een ondoorzichtige omgeving waar mensen niet weten hoe hun data wordt verzameld, gedeeld en gebruikt om te profileren en hen met gerichte advertenties te bestoken", stelt Doherty. Volgens Privacy International moet Facebook ervoor zorgen dat de tools die het gebruikers aanbiedt nauwkeurig en effectief zijn en is de huidige situatie onacceptabel. bron: security.nl

Een aanbieder van gratis wifi op Britse treinstations heeft via een onbeveiligde database 160 miljoen records gelekt. De database van wifi-provider C3UK werd gevonden door beveiligingsonderzoeker Jeremiah Fowler van securitybedrijf Security Discovery. De database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte allerlei details van reizigers die van de gratis wifi-dienst gebruik hebben gemaakt. Het ging onder andere om e-mailadressen, leeftijdsgroep, apparaatgegevens, ip-adres en reden om te reizen. Deze informatie moest worden opgegeven om met het gratis wifi-netwerk verbinding te maken. Verder werden er ook interne logs, ip-adressen, poortnummers en andere interne data van de provider zelf aangetroffen. C3UK laat in een reactie tegenover de BBC weten dat het om een back-up van een database ging. De database bevatte volgens de wifi-aanbieder zo'n tienduizend e-mailadressen en zou alleen door de onderzoeker zijn benaderd. "Aangezien de database geen wachtwoorden of andere belangrijke data bevatte, zoals financiële gegevens, is dit als een klein potentieel beveiligingslek geïdentificeerd", zo stelt het bedrijf. C3UK heeft geen datalek bij de Britse privacytoezichthouder gemeld, omdat de database alleen door de onderzoeker zou zijn benaderd. bron: security.nl

Microsoft heeft bedrijven opnieuw opgeroepen om te stoppen met het gebruik van het onveilige SMBv1-protocol. Het SMB (Server Message Block)-protocol wordt door Windows gebruikt voor het delen van bestanden en printers op een lokaal netwerk. De eerste SMB-versie stamt uit 1983 en is daarmee bijna veertig jaar oud. Desondanks zijn er nog steeds bedrijven die er gebruik van maken. Microsoft krijgt zelfs vragen van klanten waarom Windows 10 standaard niet met SMBv1 werkt. De enige Windowsversies die SMBv1 vereisen zijn Windows 2000 Server en Server 2003 die respectievelijk sinds juli 2010 en juli 2015 niet meer door Microsoft worden ondersteund. Ook Samba- en Linux-distributies ondersteunen SMBv1 niet meer. "Stop alsjeblieft met het gebruik van SMBv1. Doe die oude legacy systemen die alleen SMBv1 ondersteunen weg. We krijgen continu vragen van klanten waarom Windows 10 standaard geen SMBv1 ondersteunt zodat het met hun oude, onveilige systemen werkt", zegt Microsofts James Kehr. "Door Microsoft te vragen om een niet meer ondersteunde Windowsversie te ondersteunen vragen mensen ons om een besturingssysteem te supporten dat zo oud is dat de moderne smartphone niet eens bestond." Volgens Kehr is het draaien van een dergelijk oud besturingssysteem niet alleen een beveiligingsrisico, het is ook beangstigend omdat deze bedrijven een besturingssysteem gebruiken dat voor een compleet ander computertijdperk is gemaakt. Aan het einde van zijn betoog herhaalt Kehr dat er geen reden is om SMBv1 te blijven gebruiken. "Managers noemen vaak kosten als reden, maar als je denkt aan de potentiële kosten van een datalek, is het dan echt het risico waard?" bron: security.nl

Microsoft heeft een nieuwe optie aan Chromium Edge toegevoegd die potentieel ongewenste programma's (PUA's) blokkeert. "Potentieel ongewenste applicaties kunnen de gebruiker minder productief maken, de machine slechter laten presteren en voor een verminderde Windowservaring zorgen", zegt Juli Hooper van Microsoft. Het gaat dan bijvoorbeeld om programma's die adware of cryptominers bevatten en software met een slechte reputatie. De nieuwste Chromium Edge-versie (beginnend met 80.0.338.0) beschikt over een features die downloads met mogelijke PUA's kan blokkeren. Wanneer gebruikers een dergelijke applicatie downloaden geeft de browser een waarschuwing. Gebruikers hebben echter de mogelijkheid om het bestand te bewaren en aan Microsoft te laten weten dat het om een betrouwbare app gaat. Afsluitend geeft Hooper het advies aan gebruikers om alleen maar software van vertrouwde locaties te downloaden, zoals de website van een uitgever of een betrouwbare appstore, en de reputatie en reviews van de app voor het downloaden te controleren. bron: security.nl

Maar liefst vier zeroday-lekken in vier verschillende WordPressplug-ins zijn de afgelopen dagen gebruikt om websites over te nemen en van kwaadaardige code voorzien. Voor twee plug-ins zijn inmiddels beveiligingsupdates verschenen, maar voor de overige twee plug-ins is het wachten op een patch. Afgelopen dinsdag verscheen er een update voor een zerodaylek in de plug-in Flexible Checkout Fields for WooCommerce. WooCommerce is een zeer populaire plug-in voor op WordPress-gebaseerde webwinkels. De Checkout Fields-plug-in is een uitbreiding voor WooCommerce waarmee extra invoervelden aan een bestelpagina zijn toe te voegen. Meer dan 20.000 websites maken er gebruik van. Tevens is er gisteren een patch voor Async JavaScript uitgekomen, een plug-in die op meer dan 100.000 websites draait. Voor de plug-ins Modern Events Calendar Lite en 10Web Map Builder for Google Maps, die bij elkaar op meer dan 60.000 websites actief zijn, is nog geen update beschikbaar De kwetsbaarheden in deze vier plug-ins maken het mogelijk om cross-site scripting (XSS) uit te voeren. Een aanvaller kan hierdoor een WordPressbeheerder aan de website toevoegen en kwaadaardige plug-ins met backdoors installeren. Vervolgens kan er kwaadaardige code aan de website worden toegevoegd die bezoekers bijvoorbeeld naar malafide websites doorstuurt. Aangezien er voor Modern Events Calendar Lite en 10Web Map Builder for Google Maps nog geen patch beschikbaar is, krijgen WordPressbeheerders het advies om die uit te schakelen. bron: security.nl

Aanvallers zoeken actief naar kwetsbare Exchange-servers die een belangrijke update missen die eerder deze maand door Microsoft werd uitgebracht. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Het beveiligingslek werd via het Zero Day Initiative (ZDI), een programma dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, aan Microsoft gemeld. Inmiddels heeft het ZDI ook een technische analyse van het lek gepubliceerd. Kort na de publicatie werden er al "grootschalige scans" op internet waargenomen die naar Exchange servers zochten, zo meldt beveiligingsonderzoeker Kevin Beaumont. Ook securitybedrijf Bad Packets meldt dat aanvallers naar Exchange-servers zoeken. Doordat een aanvaller moet kunnen inloggen op een e-mailaccount op de server heeft Microsoft de kwetsbaarheid als "belangrijk" bestempeld in plaats van "kritiek". Volgens het ZDI is die beoordeling onterecht. "Binnen een bedrijf kan bijna elke gebruiker zich op de Exchange-server authenticeren. Daarnaast kan een externe aanvaller die de inloggegevens of het systeem van een gebruiker heeft gecompromitteerd de Exchange-server overnemen. Beheerders moeten dit dan ook als een kritieke patch beschouwen en zo snel als mogelijk na het testen uitrollen", aldus Simon Zuckerbraun van het ZDI. Microsoft verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken. bron: security.nl

Een kwetsbaarheid in de wifi-chips van fabrikanten Broadcom en Cypress maakt het mogelijk voor aanvallers om sommige wifi-pakketjes te ontsleutelen. Het beveiligingslek, date Kr00k wordt genoemd, zorgt ervoor dat kwetsbare apparaten een "all-zero" encryptiesleutel gebruiken om een deel van het wifi-verkeer te versleutelen. Bij een succesvolle aanval zou een aanvaller hierdoor een deel van het wifi-verkeer kunnen ontsleutelen. Een wifi-apparaat kan zijn verbinding met een wifi-netwerk verliezen, bijvoorbeeld door slecht bereik, en weer opnieuw verbinding maken. Zowel de "association", wanneer de client verbinding maakt, en de "disassociation", wanneer de verbinding is verbroken, worden via ongeauthenticeerde, onversleutelde management frames verzorgd. Een aanvaller kan via een vervalst management frame een disassociation veroorzaken. Het Kr00k-lek doet zich voor bij disassociation. Zodra een wifi-sessie wordt verbroken zal de sessiesleutel van de wifi-chip naar nul worden gezet. Dit is normaal gedrag, aangezien er geen verdere data na de disassociation zou moeten worden verstuurd. Onderzoekers van ESET ontdekten dat resterende dataframes in de buffer van de wifi-chip met deze "all-zero" sleutel worden versleuteld en alsnog worden verstuurd. Een aanvaller kan deze dataframes onderscheppen en ontsleutelen. Volgens de onderzoekers kan deze data kilobytes aan mogelijk gevoelige informatie bevatten. Een aanvaller hoeft niet met het wifi-netwerk zijn verbonden om de dataframes te onderscheppen. Het probleem speelt niet alleen bij client-apparaten, zoals de Amazon Echo en Kindle, Apple iPhone, iPad en MacBook, Google Nexus- en Samsung Galaxy-telefoons, maar ook wifi-routers, waaronder die van Asus en Huawei. De onderzoekers informeerden Broadcom en Cypress die inmiddels met beveiligingsupdates zijn gekomen. Gebruikers krijgen dan ook het advies om te controleren of ze de laatste updates geïnstalleerd hebben. Bij chips van Qualcomm, Realtek, Ralink en Mediatek werd het probleem niet aangetroffen. bron: security.nl

Hardwarefabrikant Zyxel heeft hotfixes uitgebracht voor een zeer ernstige kwetsbaarheid in de verschillende firewalls van het bedrijf waardoor een aanvaller in het ergste geval volledige controle over het apparaat kan krijgen. Firmware-updates om het probleem te verhelpen verschijnen in maart. Eerder deze week kwam Zyxel al met een patch voor een beveiligingslek in verschillende NAS-systemen. Aanvallers maken actief van dit lek gebruik om NAS-systemen met ransomware te infecteren die bestanden vervolgens versleutelt. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Nu blijkt dat dit specifieke beveiligingslek ook in de UTM-, ATP- en VPN-firewalls van Zyxel aanwezig is. Het gaat om firewalls met firmware versies ZLD V4.35 Patch 0 tot en met ZLD V4.35 Patch 2. Modellen met versienummers voor ZLD V4.35 Patch 0 zijn niet kwetsbaar. Volgens beveiligingsonderzoeker Alex Holden is het beveiligingslek zeer eenvoudig te misbruiken. Zyxel heeft voor 23 verschillende modellen firewalls updates uitgebracht. Mogelijk dat het werkelijke aantal kwetsbare apparaten groter is, aangezien Zyxel alleen de modellen noemt die het nog ondersteunt. Bij de beveiligingsupdates voor de NAS-systemen bleek dat meerdere modellen geen update krijgen omdat ze niet langer worden ondersteund. bron: security.nl

Onderzoekers hebben een rootkit ontdekt die firewalls weet te omzeilen door verkeer met instructies als legitiem verkeer te vermommen. De rootkit werd aangetroffen op een server gehost in de Amazon Web Services (AWS) cloud, aldus antivirusbedrijf Sophos. Hoe de server besmet kon raken is onbekend, maar mogelijk wisten de aanvallers via een zwak SSH-wachtwoord in te breken. Vervolgens werd de server met malware geïnfecteerd. De infectie bestond uit een rootkit die netwerkverkeer inspecteert en een backdoor installeert. Deze backdoor gebruikte de rootkit weer om met de aanvallers te communiceren en gestolen data te versturen. De besmette server maakte gebruik van AWS security groups om het inkomende en uitgaande verkeer van en naar de server te filteren. De firewall was zo ingesteld dat alleen verkeer naar poort 80 HTTP en poort 443 HTTPS werd toegestaan. Om de AWS security groups te omzeilen stuurden de aanvallers onschuldig lijkende requests naar de webserver op de normale webserverpoorten. Een malwaremodule die het inkomende verkeer inspecteerde voordat het de webserver bereikte onderschepte de speciaal geprepareerde requests van de aanvallers en stuurde de instructies daarin door naar de malware. Deze instructies waren vermomd als het source poortnummer. "Firewalls voorkomen dat machines achter de firewall verkeer ontvangen dat naar willekeurige bestemmingspoorten wordt gestuurd, maar ze letten niet op de source poorten, omdat die niet relevant voor de server zijn of de diensten die erop draaien", aldus de onderzoekers. In het geval van de besmette server luisterde die naar inkomende verbindingen op TCP-poorten 2053 en 2080. Ook bij het stelen van data werd er van deze methode gebruik gemaakt. De onderzoekers van Sophos merken op dat de techniek niet alleen tegen AWS-servers werkt, maar tegen nagenoeg elke firewall. Afsluitend stellen de onderzoekers dat in het geval van AWS de aanwezigheid van een firewall niet inhoudt dat updates niet meer moeten worden geïnstalleerd. Daarnaast krijgen beheerders het advies om de standaard installatie van de SSH-server extra te beveiligen. bron: security.nl

Om gebruikers tegen aanvallen te beschermen heeft Mozilla een nieuwe sandboxtechnologie aan Firefox toegevoegd. Een sandbox moet voorkomen dat een beveiligingslek in de browser meteen tot een volledige compromittering van het onderliggende systeem kan leiden. Op dit moment verdeelt Firefox al code in verschillende gesandboxte processen met verminderde rechten en wordt de browsercode in een veiligere taal zoals Rust herschreven. "Rust is een lichtgewicht programmeertaal, maar het herschrijven van miljoenen regels van bestaande C++ code is een arbeidsintensief proces", zegt Mozillas Nathan Froyd. Om de browser verder te beschermen is er nu een derde technologie toegevoegd, namelijk RLBox. RLBox isoleert third-party libraries die kwetsbaar zijn voor aanvallen van de rest van de browser, om zo eventuele schade te beperken. Firefox maakt uitgebreid gebruik van dergelijke third-party libraries voor bijvoorbeeld het decoderen van media. Deze libraries zijn vaak in de programmeertaal C geschreven. "Helaas zijn fouten in C-code vaak kwetsbaarheden. En aanvallers zijn erg goed in het misbruiken van deze kwetsbaarheden", zegt Deian Stefan van de University of California San Diego. De universiteit was bij de ontwikkeling van RLBox betrokken. De technologie zorgt ervoor dat libraries en andere onderdelen van Firefox in een WebAssembly (wasm)-sandbox draaien. Hiervoor wordt de C++ en C-code naar wasm-code omgezet. Vervolgens kan de wasm-code naar native code worden omgezet. Volgens Mozilla is RLBox is een lichtgewicht techniek en eenvoudig te gebruiken. De browserontwikkelaar verwacht dan ook de komende maanden meer onderdelen van Firefox op deze manier in een sandbox te plaatsen. Als eerste zal RLBox in Firefox 74 voor Linux worden verscheept, gevolgd door Firefox 75 voor macOS. De Windowsversie volgt daarna. bron: security.nl

Elke week controleert Google meer dan 300 miljard e-mailbijlagen die Gmail-gebruikers ontvangen op malware. Dat heeft het techbedrijf tijdens de RSA Conferentie in San Francisco laten weten. Met name overheden en de transportsector zijn volgens Google vaak het doelwit van kwaadaardige documenten. Verder blijkt dat aanvallers steeds verschillende soorten e-mailbijlagen gebruiken om doelwitten aan te vallen. 63 procent van de besmette bijlagen die Gmail blokkeert verschillen namelijk van dag tot dag. "Elke seconden moeten we miljoenen documenten in milliseconden verwerken", zegt Google-onderzoeker Elie Bursztein. Om de detectie van malafide documenten te verbeteren heeft Google onlangs een "nieuwe generatie" van scanners toegevoegd die van "deep learning" gebruikmaken. Hierdoor is de detectie van malafide bijlagen verbeterd. In het geval van .doc-bestanden is de detectie met 10,5 procent toegenomen, in het geval van .xls-bestanden met 14,5 procent. "Het versterken van onze documentdetectie is één van onze prioriteiten, aangezien malafide documenten goed zijn voor 58 procent van de malware die het op Gmail-gebruikers heeft voorzien. We zijn nog bezig om deze technologie te ontwikkelen en op dit moment gebruiken we het alleen om Office-documenten te scannen", aldus Bursztein over de inzet van de nieuwe scanners (pdf). bron: security.nl

Pop-ups en advertenties die internetgebruikers lieten geloven dat hun computer met malware was besmet en direct het opgegeven telefoonnummer moest worden gebeld hebben voor tienduizenden slachtoffers in de Verenigde Staten gezorgd. Dat laat de Amerikaanse toezichthouder FTC weten. De advertenties die bij de zoekmachine van Google werden getoond en pop-ups die op websites verschenen leken van Apple en Microsoft afkomstig te zijn. Volgens de meldingen was er een urgent probleem dat direct moest worden opgelost door het opgegeven telefoonnummer te bellen. Het nummer was van oplichters die slachtoffers allerlei onnodige reparatiediensten verkochten. Dergelijke scams worden ook wel helpdeskfraude genoemd. Eén partij die zich hieraan schuldig maakte was "Click4Support". Het bedrijf trof eerder een schikking met de FTC en besloot zo'n 1,8 miljoen dollar af te staan. Dat geld wordt nu over slachtoffers van de scam verdeeld. De FTC zal de komende weken bijna 58.000 vergoedingen naar slachtoffers overmaken met een gemiddeld bedrag van 30 dollar. Dit zal gebeuren via PayPal en cheques. bron: security.nl

Wie een privacyvriendelijke browser zoekt is het beste uit bij Brave, zo stelt hoogleraar en onderzoeker Douglas Leith van het Trinity College Dublin op basis van onderzoek. Voor het onderzoek werd er gekeken welke gegevens Chrome, Firefox, Safari, Brave, Edge en Yandex naar "huis" sturen bij het starten, sluiten en herstarten van de browser, het plakken van een url in de adresbalk, het typen van een url in de adresbalk en wanneer de browser inactief is (pdf). Aan de hand van de onderzoeksresultaten werden de browsers in drie categorieën verdeeld. Brave zit als enige in de kopgroep en is volgens het onderzoek de meest privacyvriendelijke browser. In de tweede groep zitten Chrome, Firefox en Safari en als derde volgen Edge en Yandex. In de standaardinstelling blijkt dat Brave geen identifiers gebruikt waarmee ip-adressen zijn te volgen. Ook werden details over bezochte websites niet gedeeld. Chrome, Firefox en Safari maken wel gebruik van identifiers die aan de browserinstallatie zijn gekoppeld. De drie browsers delen via de search autocomplete feature details over bezochte websites. Deze feature verstuurt in real-time url's naar de backend-servers zodra ze worden ingetypt. Gebruikers kunnen deze functie wel uitschakelen, maar standaard staat die ingeschakeld. Firefox gebruikt daarnaast identifiers voor het versturen van telemetrie. Wederom kunnen gebruikers deze feature uitschakelen, maar standaard staat die ingeschakeld. Verder blijkt dat Firefox gebruikmaakt van een open websocket voor pushnotificaties die aan een unieke identifier is gekoppeld. In het geval van Safari lekt de startpagina van de browser informatie aan verschillende derde partijen, waaronder Facebook en Twitter, en kunnen die zonder toestemming van de gebruiker cookies plaatsen. De onderzoekers stellen dat Chrome, Firefox en Safari zo zijn in te stellen dat de privacy beter is beschermd, maar dat gebruikers hier wel de kennis voor moeten hebben. Edge en Yandex eindigen onderaan. Beide browsers maken gebruik van identifiers die aan de hardware van het systeem zijn gekoppeld. Naast de autocomplete feature die details over bezochte websites deelt, versturen beide browsers informatie over websites die los van deze functie lijken te staan, aldus het onderzoek. Volgens de onderzoekers hebben de onderzoeksresultaten geleid tot gesprekken over het aanpassen van browsers, waaronder het bieden van een opt-out voor de autocomplete functie bij de eerste start een aantal browserspecifieke aanpassingen. De gesprekken zijn echter nog gaande. bron: security.nl

Vandaag begint Mozilla bij Amerikaanse Firefoxgebruikers met het inschakelen van DNS over HTTPS (DoH). Standaard zal er gebruik worden gemaakt van de dns-servers van internetbedrijf Cloudflare, maar het is ook mogelijk om NextDNS of een eigen dns-provider die DoH ondersteunt te kiezen. Standaard worden dns (domain name system)-verzoeken, waarmee de browser het adres van een website opvraagt, onversleuteld verstuurd. "Omdat er geen versleuteling is, kunnen apparaten onderweg deze data verzamelen, blokkeren of aanpassen. Dns-lookups worden naar servers gestuurd die je surfgedrag kunnen bespioneren zonder dat ze je hierover informeren of dat ze duidelijk maken wat ze met die informatie doen", zegt Mozillas Selena Deckelmann. DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Er is dan ook besloten om DoH als eerste onder Amerikaanse Firefoxgebruikers uit te rollen. Gebruikers buiten de Verenigde Staten kunnen de optie zelf inschakelen via het instellingenmenu van de browser. Mozilla is nu aan het kijken om DNS over HTTPS ook in andere gebieden in te schakelen en is van plan om meer DoH-providers aan het programma toe te voegen. bron: security.nl

De afgelopen weken zijn in drie populaire WordPressplug-ins kwetsbaarheden ontdekt die inmiddels door verschillende aanvallers actief worden gebruikt om kwetsbare WordPress-sites over te nemen of hier kwaadaardige code aan te voeren. Dat meldt securitybedrijf Wordfence in een analyse van de aanvallen. Het gaat om de WordPressplug-ins ThemeGrill Demo Importer (+100.000 actieve installaties), Profile Builder (+65.000 actieve installaties) en Duplicator (+1 miljoen actieve installaties). Wordfence heeft twee aanvalscampagnes ontdekt waarbij de kwetsbaarheden in deze plug-ins worden gebruikt. De eerste aanval maakt gebruik van de lekken in ThemeGrill en ProfileBuilder om beheerderstoegang tot de WordPress-site te krijgen en kwaadaardige scripts aan de website toe te voegen. Het gaat dan om backdoors om toegang tot de site te behouden en code die bezoekers naar malafide websites doorstuurt. De tweede aanvalscampagne heeft het op alle drie de plug-ins voorzien. Wederom worden de kwetsbaarheden gebruikt om beheerderstoegang tot de website te krijgen. Ook bij deze campagne installeren de aanvallers een backdoor waarmee ze php-scripts op de site kunnen uitvoeren en toegang behouden. Voor alle drie de plug-ins zijn updates beschikbaar, maar in de praktijk blijkt dat beheerders die niet of pas te laat installeren, waardoor duizenden WordPress-sites op dit moment risico lopen om te worden aangevallen. bron: security.nl

Browserontwikkelaar Opera heeft een nieuwe versie van de eigen browser gelanceerd die onder andere DNS over HTTPS (DoH) biedt. Volgens Opera moet dit voor meer veiligheid zorgen. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. "DNS is te goed van vertrouwen aangezien de data tussen de browser en het dns onversleuteld wordt uitgewisseld. DoH is een manier om de privacy en security van de gebruiker te verbeteren. Het voorkomt afluisteren en manipulatie van dns-data door man-in-the-middle-aanvallen door de data tussen de browser en dns-server te versleutelen", zegt Joanna Czajka van Opera. De meeste internetgebruikers maken voor het opvragen van websites gebruik van de dns-server van hun eigen internetprovider. Bij gebruik van DNS over HTTPS wordt er een andere dns-aanbieder gebruikt. In het geval van Opera kunnen gebruikers uit een lijst van providers kiezen of hun eigen provider toevoegen. Opera 67, die de codenaam R2020 draagt, is via de website van Opera te downloaden. bron: security.nl

NAS-systemen van Zyxel zijn de afgelopen weken het doelwit geweest van aanvallen waarbij criminelen een zerodaylek gebruikten om de apparaten met ransomware te infecteren. Deze ransomware versleutelde vervolgens alle aanwezige bestanden en eiste losgeld voor het ontsleutelen. Zyxel heeft nu voor nog ondersteunde NAS-systemen beveiligingsupdates uitgebracht en eigenaren van een Zyxel NAS-systeem krijgen het advies die zo snel als mogelijk te installeren. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder inloggegevens commando's op het NAS-systeem uit te voeren. Daarmee kan een aanvaller volledige controle over de NAS krijgen. Een aanvaller hoeft alleen een speciaal geprepareerd HTTP POST of GET request te versturen. Dit kan wanneer de aanvaller directe toegang tot het apparaat heeft. Er zijn echter ook manieren om dergelijke requests uit te voeren zonder dat de aanvaller directe toegang tot de NAS heeft. Zo kan het bezoeken van een website al tot een besmet NAS-systeem leiden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. It-journalist Brian Krebs laat weten dat exploitcode om misbruik van de kwetsbaarheid te maken de afgelopen weken actief door criminelen is gebruikt om kwetsbare NAS-systemen met ransomware te infecteren. Krebs werd op 12 februari door een beveiligingsonderzoeker over het zerodaylek ingelicht. Een exploit voor de kwetsbaarheid werd namelijk op internet voor 20.000 dollar te koop aangeboden. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld. ZyXEL heeft updates beschikbaar gesteld voor de volgende modellen: NAS326, NAS520, NAS540 en NAS542. Eigenaren van een NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 en NSA325v2 moeten het zonder patch doen, aangezien deze modellen niet meer worden ondersteund. Deze gebruikers kunnen als oplossing toegang tot de webinterface blokkeren of het apparaat niet direct aan het internet hangen. Tevens waarschuwt het CERT/CC dat gebruikers moeten oppassen bij het updaten van hun NAS. Het Zyxel-upgradeproces maakt namelijk gebruik van het onveilige FTP om de updates te downloaden en de bestanden worden alleen aan de hand van een checksum gecontroleerd in plaats van een digitale handtekening. Een aanvaller die controle over de DNS of IP-routing van het slachtoffer heeft kan zo kwaadaardige firmware op de NAS installeren. bron: security.nl

Google heeft een beveiligingsupdate uitgebracht voor Chrome die drie kwetsbaarheden verhelpt, waaronder een zerodaylek dat actief werd aangevallen voordat de update beschikbaar was. Het lek bevond zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript. "Google is bekend met meldingen dat een exploit voor CVE-2020-6418 in het wild bestaat", zegt Krishna Govind van het Google Chrome Team. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Het beveiligingslek werd gevonden door Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden gebruikers van Google Chrome ook al het doelwit van verschillende zeroday-aanvallen. Updaten naar Chrome 80.0.3987.122 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Adobe heeft updates uitgebracht voor ernstige kwetsbaarheden in After Effects en Media Encoder waardoor een aanvaller in het ergste geval volledige controle over het systeem zou kunnen krijgen. Een aanvaller zou het slachtoffer hiervoor een kwaadaardig bestand in de applicaties moeten laten openen. Door een "out-of-bounds write" zou het vervolgens mogelijk zijn om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren, zoals het installeren van malware. Volgens Adobe zijn zowel After Effects als Media Encoder in het verleden geen doelwit van aanvallers geweest en gebruikers krijgen dan ook het advies om de beveiligingsupdate te installeren wanneer het hen uitkomt. Updaten kan via de updatefunctie van de software of het Adobe Download Center. bron: security.nl

Beheerders van 1 miljoen WordPress-sites zijn gewaarschuwd voor een kwetsbaarheid in de plug-in Duplicator die al voor het uitkomen van een beveiligingsupdate wordt aangevallen. Duplicator is een plug-in om een WordPress-site van de ene naar de andere locatie te migreren, kopiëren, verplaatsen of klonen. Ook is het als een eenvoudige back-uptool te gebruiken. Een beveiligingslek in de plug-in maakt het mogelijk voor aanvallers om de inloggegevens voor de database te stelen. Vervolgens kan een aanvaller met deze gegevens een eigen beheerder aan de website toevoegen om die verder te compromitteren, kwaadaardig code te injecteren of allerlei gegevens te stelen. Op 12 februari kwamen de ontwikkelaars van Duplicator met een nieuwe versie (1.3.28) waarin de kwetsbaarheid is verholpen. Het beveiligingslek werd echter al sinds 10 februari aangevallen, waardoor er sprake is van een zerodaylek, zo stelt securitybedrijf Wordfence. Duplicator heeft volgens cijfers van WordPress zelf meer dan 1 miljoen actieve installaties en is daarmee één van de populairdere plug-ins voor WordPress. Uit een telling van Security.NL blijkt dat de nieuwste versie sinds 12 februari zo'n 260.000 keer is gedownload. Dat houdt in dat zeker 740.000 WordPress-sites nog risico lopen. Beheerders van deze websites krijgen het advies om zo snel als mogelijk naar de nieuwste versie te updaten. bron: security.nl

Hostingprovider Yourhosting heeft vanwege een mogelijk datalek besloten om de wachtwoorden van e-mailaccounts te resetten. "Afgelopen weekend is gebleken dat een onbevoegd persoon via een hack mogelijk toegang heeft gekregen tot onversleutelde inloggegevens. De hacker heeft cryptomunten geëist. Wij onderhandelen niet met hackers en we geven dan ook geen gehoor aan de eis", zo laat de provider in een blogposting weten. Yourhosting weet niet welke e-mailadressen hierbij mogelijk betrokken zijn en heeft daarom besloten om sommige e-mailwachtwoorden uit voorzorg te resetten. "Hierdoor zijn de mogelijk buitgemaakte gegevens onbruikbaar geworden. Het onderzoek naar de toedracht is ondertussen in volle gang", stelt de hostingprovider verder. Yourhosting heeft bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt. Daarnaast is de provider van plan om de veiligheidsprocessen en -voorzieningen verder aan te scherpen. In een uitleg over het incident laat Yourhosting weten dat wachtwoorden onversleuteld werden opgeslagen om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken. "Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan", aldus de provider. Naar aanleiding van het incident is besloten om de authenticatielaag te verwijderen waarin deze oude protocollen werden ondersteund, zodat wachtwoorden niet meer onversleuteld worden opgeslagen. bron: security.nl

Aanvallers maken misbruik van een zerodaylek in de WordPressplug-in ThemeREX om kwetsbare websites over te nemen en een beveiligingsupdate is nog niet beschikbaar. Beheerders die van de plug-in gebruikmaken wordt aangeraden die te verwijderen totdat de makers met een patch zijn gekomen. Via ThemeREX Addons is het mogelijk om ThemeREX-themes te beheren. De plug-in zou op zo'n 44.000 WordPress-sites zijn geïnstalleerd. Een kwetsbaarheid in de plug-in maakt het mogelijk voor aanvallers om op afstand code uit te voeren, waaronder code waarmee beheerders aan de website zijn toe te voegen. Een aanvaller kan zo de website overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Veel details over de waargenomen aanvallen en de kwetsbaarheid zijn niet door securitybedrijf Wordfence gegeven, om zo misbruik te beperken. Wel meldt het bedrijf in een blogposting dat aanvallers het lek gebruiken om beheerders aan websites toe te voegen. Wordfence adviseert beheerders om de plug-in direct te verwijderen. bron: security.nl

Laptops van Dell, HP en Lenovo accepteren ongesigneerde firmware voor onderdelen zoals de wifi-adapter, camera en touchpad. Een aanvaller kan hierdoor verdere aanvallen uitvoeren en kwaadaardige code verbergen, zo stelt securitybedrijf Eclypsium in een vandaag verschenen rapport (pdf). Firmware is noodzakelijk voor het functioneren van de hardwareonderdelen in de laptop. Aanvallers hebben in het verleden firmware van harde schijven geherprogrammeerd. Op deze manier konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. Dergelijke aanvallen zijn vandaag de nog steeds mogelijk, waarschuwt Eclypsium. Voor hun onderzoek keken de onderzoekers naar de firmware van de camera in de HP Spectre x360-laptop, de touchpad in de Lenovo ThinkPad X1 Carbon-laptop, de wifi-adapter in de Dell XPS 15 9560-laptop en de firmware van een usb-hub. Het is mogelijk om de firmware van deze apparaten met ongesigneerde, kwaadaardige firmware te vervangen. Een aanvaller zou hiervoor eerst toegang tot een systeem moeten zien te krijgen, bijvoorbeeld via malware. Vervolgens is het mogelijk om de kwaadaardige firmware te installeren. "Een aanvaller kan dan de unieke functionaliteit en rechten van dat onderdeel voor verdere aanvallen gebruiken", zo stellen de onderzoekers. Het gaat dan bijvoorbeeld om het inspecteren en manipuleren van netwerkverkeer, het verbergen van code of het bespioneren van de gebruiker via zijn camera. "Het probleem blijft hetzelfde. Als een onderdeel geen gesigneerde firmware vereist, kan een aanvaller eenvoudig controle over het onderdeel krijgen, vaak zonder speciale privileges", aldus de onderzoekers. Ze waarschuwen dat de problemen door ongesigneerde firmware niet eenvoudig zijn te verhelpen. Als het onderdeel niet is ontworpen om op gesigneerde firmware te controleren, is het niet met een firmware-update te repareren. In veel gevallen is het onderliggende probleem in een apparaat of productlijn zelfs helemaal niet op te lossen, wat inhoudt dat de apparaten altijd kwetsbaar zullen blijven. Verder stellen de onderzoekers dat andere modellen van de fabrikanten in kwestie, alsmede andere fabrikanten, dezelfde problemen hebben. bron: security.nl