Captain Kirk

Onderzoekers van antivirusbedrijf ESET hebben spionagemalware ontdekt die zich verspreidt door zogeheten portable executable (PE)-bestanden op usb-sticks en netwerkschijven te infecteren. De malware, die Ramsay wordt genoemd, lijkt te zijn ontwikkeld om binnen air-gapped netwerken te opereren die niet met internet zijn verbonden. In tegenstelling tot veel andere malware beschikt Ramsay niet over een command & control-gebaseerd communicatieprotocol of probeert het met een server op internet verbinding te maken om zo commando's te ontvangen. Zodra de malware actief is voert die geheel autonoom zijn opdracht uit. Hoewel de malware ontwikkeld lijkt te zijn voor het infecteren van organisaties die van air-gapped netwerken gebruikmaken, begint de initiële infectie met een kwaadaardig docx-document. Dit document bevat een exploit die misbruik maakt van een bekende kwetsbaarheid in Microsoft Office. Op 11 april 2017 verscheen voor deze kwetsbaarheid een beveiligingsupdate. Toch zijn er organisaties die de update niet hebben geïnstalleerd. Het Office-lek is ook te vinden in de Top 10 van meest aangevallen kwetsbaarheden die door de Amerikaanse overheid werd samengesteld. Zodra Ramsay op een systeem actief is verzamelt die van lokale schijven, aangesloten externe schijven en netwerkschijven Word-documenten, pdf-bestanden en zip-archieven. Deze bestanden worden gecomprimeerd via het programma WinRAR dat door de malware op het systeem wordt gedownload. Daarnaast besmet Ramsay op usb-sticks en netwerkschijven aanwezige PE-bestanden. Zodra een besmet PE-bestand op een schoon systeem wordt geopend kan de malware zich verder verspreiden. Op deze manier kan Ramsay ook systemen infecteren die niet met internet zijn verbonden. Hoe de malware verzamelde documenten uiteindelijk weet te exfiltreren is onbekend. Dit gebeurt via een extern onderdeel dat de onderzoekers nog niet hebben gevonden. ESET laat weten dat de malware bij slechts een paar slachtoffers is aangetroffen. Aan de hand van gevonden versies lijkt het erop dat Ramsay nog in ontwikkeling is. bron: security.nl

Windows 10 krijgt een optie om potentieel ongewenste applicaties te blokkeren, zo heeft Microsoft aangekondigd. Potentieel ongewenste programma's kunnen volgens het techbedrijf de computer vertragen, onverwachts advertenties tonen of andere, schadelijke software installeren. Met de lancering van de Windows 10 May 2020 update beschikt het besturingssysteem over "reputation-based protection" dat ongewenste applicaties moet blokkeren. De optie staat standaard uitgeschakeld en gebruikers kunnen die inschakelen voor zowel applicaties als downloads. De downloadoptie blokkeert het downloaden van potentieel ongewenste applicaties. Dit werkt echter alleen als gebruikers van Chromium Edge gebruikmaken. In februari werd al een optie aan de browser toegevoegd om ongewenste applicaties te blokkeren. Met de "Block apps" optie kan Windows potentieel ongewenste programma's blokkeren die gebruikers al hebben geïnstalleerd of via een andere browser hebben gedownload. Wanneer de Windows 10 May 2020 Update precies uitkomt is nog onbekend, maar volgens onbevestigde bronnen zou het 28 mei zijn. Eenmaal geïnstalleerd kan via Windows Security de optie om ongewenste applicaties te blokkeren worden ingesteld. bron: security.nl

Een ernstig beveiligingslek in Oracle WebLogic Server dat op 14 april werd gepatcht wordt inmiddels actief aangevallen, zo waarschuwt het softwarebedrijf. Bedrijven worden dan ook door Oracle opgeroepen om de beschikbare beveiligingsupdate meteen te installeren. Het beveiligingslek in Oracle WebLogic Server geeft een aanvaller op afstand volledige controle over de server. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Daarnaast is het beveiligingslek volgens Oracle eenvoudig te misbruiken. De kwetsbaarheid werd door vijf verschillende onderzoekers aan Oracle gerapporteerd. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware. Ondanks de noodzaak om Oracle-updates tijdig te installeren waarschuwt het softwarebedrijf bij elke patchronde dat het berichten ontvangt van klanten die zijn aangevallen omdat ze beschikbare beveiligingsupdates niet hadden geïnstalleerd. Gezien de nu waargenomen aanvallen op Oracle WebLogic Server is het bedrijf daarom met een aparte waarschuwing gekomen. bron: security.nl

Mozilla is een besloten test gestart van een eigen Firefox-extensie waarmee gebruikers eenvoudig e-mailaliassen kunnen aanmaken om zich voor websites en andere zaken te registreren. Mozilla stuurt de registratiemail en andere berichten vervolgens door naar het echte e-mailadres van de gebruiker. Vervolgens kan die indien gewenst de alias uitschakelen of verwijderen. "We hebben allemaal veel online accounts, maar de meeste zijn aan één of twee van onze e-mailadressen gekoppeld. Dit houdt in dat wanneer slechts één account wordt gehackt of getrackt, elk ander account en bijbehorende data ook risico loopt. Al onze accounts zijn te herleiden naar het e-mailadres dat we gebruiken", aldus Mozilla. De Firefox Private Relay-extensie voegt een gebruikersinterface toe die "unieke, willekeurige, anonieme e-mailadressen genereert". Berichten voor deze adressen worden vervolgens naar het echte e-mailadres van de gebruiker doorgestuurd. Volgens Mozilla is dit handig bij het registreren voor apps, websites of nieuwsbrieven. Wanneer gebruikers willen kunnen ze eenvoudig de e-mailalias verwijderen. "En wanneer de dienst een incident heeft, is hun data niet naar jou te herleiden", voegt Mozilla toe. De browserontwikkelaar laat weten dat het vooralsnog om een experimentele, zeer vroege testversie van de Firefox-extensie gaat die alleen op uitnodiging is te gebruiken. Op de website relay.firefox.com kunnen geïnteresseerden zich straks voor een wachtlijst inschrijven. De broncode van Firefox Private Relay is via GitHub te bekijken. bron: security.nl

Door de coronacrisis hebben allerlei organisaties en bedrijven besloten om thuis te gaan werken, maar een snelle uitrol van clouddiensten zoals Office 365 om dit te ondersteunen kan tot verkeerde implementaties leiden en organisaties kwetsbaar voor aanvallen maken. Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. "Het CISA blijft gevallen zien waar organisaties geen best security practies voor hun Office 365-implementatie toepassen, wat hen kwetsbaarder maakt voor aanvallen", aldus de overheidsinstantie. Een jaar geleden kwam het CISA al met beveiligingstips voor Office 365. De lijst met aanbevelingen is in een bijgewerkt advies verder uitgebreid. Als eerste wordt aangeraden om zowel voor beheerders als gebruikers multifactorauthenticatie in te schakelen, dit biedt volgens de overheidsinstantie de beste bescherming tegen diefstal van inloggegevens. "Hoewel normale gebruikers in een Office 365-omgeving geen verhoogde rechten hebben, hebben ze nog steeds toegang tot data die schadelijk kan zijn voor een organisatie als aanvallers hier toegang toe krijgen. Ook kunnen aanvallers normale gebruikersaccounts compromitteren om daarmee phishingmails te versturen en andere organisaties aan te vallen via de apps en diensten waar de gecompromitteerde gebruiker toegang toe heeft", aldus het CISA. Verder is het belangrijk dat beheerders met zo min mogelijk rechten werken en het Global Administrator-account alleen wordt gebruikt wanneer dit strikt noodzakelijk is. Tevens adviseert het CISA om legacy protocollen die geen multifactorauthenticatie ondersteunen, zoals POP3, IMAP en SMTP, wanneer mogelijk uit te schakelen of tot bepaalde specifieke gebruikers te beperken. Organisaties doen er daarnaast verstandig aan om waarschuwingen voor verdachte activiteiten in te schakelen en logbestanden met een bestaande SIEM-tool te integreren. bron: security.nl

Al bijna vijf jaar wordt erover gesproken, maar WordPress krijgt eindelijk ingebouwde twee- en multifactorauthenticatie om accounts te beschermen. Het gaat zowel om de WordPress-versie die mensen zelf installeren als installaties die via WordPress.org worden aangeboden. Volgens cijfers van W3Techs draait zo'n 36 procent van alle websites op WordPress. Toch biedt het platform vanuit zichzelf geen twee- of multifactorauthenticatie (2FA/MFA) om accounts te beschermen. Beheerders van een WordPress-site kunnen de beveiligingsmaatregel via verschillende plug-ins echter toevoegen, zo laat WordPress zelf weten. Al in 2015 werd ervoor het eerst gesproken over het toevoegen van tweefactorauthenticatie aan WordPress zelf. In 2018 volgde onder een klein aantal gebruikers een kortstondige test, maar daarna bleef het stil. In maart van dit jaar kwam het onderwerp weer op de agenda. Steeds meer platformen laten gebruikers namelijk via 2FA/MFA hun accounts beveiligen. En WordPress lijkt er serieus werk van te gaan maken. Vandaag publiceerde WordPress namelijk een kwartaalupdate waarin het de belangrijkste doelen voor het jaar benoemt. Bij het onderdeel security staat het toevoegen van 2FA/MFA in de kerninstallatie en WordPress.org als prioriteit vermeld. Wanneer de feature precies zal klaar zijn is nog onbekend. Vanwege de coronacrisis is de tijd die ontwikkelaars aan openstaande zaken kunnen werken beperkt, zo laat het projectteam weten. bron: security.nl

Google stelt vanaf augustus nieuwe eisen aan Chrome-extensies om gebruikers tegen phishing, spam en andere vormen van misbruik en misleiding te beschermen. Extensies die niet aan de nieuwe eisen voldoen kunnen uit de Chorme Web Store worden verwijderd. De Chrome Web Store telt inmiddels meer dan 200.000 browserextensies, aldus Google. Volgens het techbedrijf is er de afgelopen tijd een toename zichtbaar van spammers en fraudeurs op het platform die misleidende extensies aanbieden om aan gebruikers te verdienen. Om extensies met misleidende functionaliteit, neprecensies en andere dubieuze eigenschappen tegen te gaan heeft Google het spambeleid aangepast. Vanaf 27 augustus gaan er nieuwe eisen voor Chrome-extensies gelden. Ten eerste mogen ontwikkelaars en uitgevers niet meerdere extensies publiceren die dezelfde ervaring of functionaliteit bieden. Extensies mogen daarnaast geen misleidende metadata bevatten, zoals de omschrijving, naam van ontwikkelaar, titel, icoon en afbeeldingen. In het verleden zijn er bijvoorbeeld meerdere keren malafide extensies in de Chrome Web Store verschenen die zich als bekende adblockers voordeden. Ontwikkelaars mogen ook niet meer de plaatsing van extensies in de Chrome Web Store manipuleren, bijvoorbeeld via frauduleuze beoordelingen, ratings en installaties. Ook zijn straks extensies niet meer toegestaan die als enig doel het installeren of starten van een andere app of website hebben. Als laatste verbiedt Google extensies die notificaties gebruiken voor het versturen van spam, advertenties, promoties, phishingpogingen of ongewenste berichten. Hetzelfde geldt voor extensies die in naam van de gebruiker maar zonder zijn toestemming berichten versturen. Ontwikkelaars hebben van Google tot 27 augustus de tijd gekregen om hun extensies aan deze nieuwe eisen te laten voldoen. Wanneer extensies zich na deze datum aan de eerder genoemde punten schuldig maken kunnen ze uit de Chrome Web Store worden verwijderd en bij gebruikers worden uitgeschakeld. bron: security.nl

Het systeem dat Apple en Google samen ontwikkelen en moet helpen bij het onderzoek naar de contacten van coronapatiënten is kwetsbaar voor misbruik en aanvallen, wat tot valse positieven en surveillance kan leiden, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Beide techbedrijven komen binnenkort met een programmeerinterface (API) die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contactonderzoekapps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni wordt bluetooth contact tracing direct in Android en iOS verwerkt. Dit zal via een update gebeuren. De technologie van Apple en Google laat elke telefoon dagelijks een nieuwe privésleutel genereren, ook bekend als een "temporary exposure key". Aan de hand van deze sleutel worden willekeurige identificatiegetallen gegenereerd, genaamd "rolling proximity identifiers" (RPIDs). Wanneer bluetooth staat ingeschakeld verstuurt de telefoon elke vijf minuten een ping met het huidige RPID, dat elke tien tot twintig minuten verandert. Dit moet voorkomen dat third-party trackers de pings kunnen gebruiken om mensen aan de hand van een statisch RPID te volgen. De temporary exposure keys en alle RPIDs die de telefoon onderweg is tegengekomen worden voor een periode van twee weken op de telefoon bewaard. Wanneer een gebruiker met corona besmet blijkt te zijn kan die zijn temporary exposure keys uploaden. Vervolgens kunnen deze keys worden gebruikt om gebruikers met wie de patiënt in contact is gekomen te waarschuwen. Bedenkingen De EFF heeft de nodige bedenkingen over de plannen van Apple en Google. Zo hebben niet alle mensen een smartphone en is bluetooth niet voor contactonderzoek ontwikkeld. Daarnaast versturen telefoons in het huidige voorstel van Apple en Google elke vijf minuten een ping. Pas als mensen de vereiste tijd bij elkaar in de buurt zijn geweest worden ze als contact geregistreerd. Daarnaast is de technologie ook kwetsbaar voor aanvallen, waarbij aanvallers gebaseerd op vastgelegde pings iemands identiteit en bewegingspatroon zouden kunnen achterhalen. Politie zou de contactdata kunnen gebruiken om te kijken wie met wie in contact is gekomen en zo bijvoorbeeld relaties tussen bepaalde personen vastleggen. Volgens de EFF zouden mensen de optie moeten hebben om de app tijdelijk uit te schakelen en nabijheidsdata van bepaalde momenten te verwijderen. Een ander probleem is dat erop dit moment geen manier is om te verifiëren dat het toestel dat een RPID verstuurt ook daadwerkelijk het toestel is dat het genereerde. "Trollen zouden de RPIDs van anderen kunnen verzamelen en die als hun eigen RPID opnieuw kunnen uitzenden", laat de EFF weten. De burgerrechtenbeweging schetst een scenario waarbij er een netwerk van bluetooth beacons op een drukke straat wordt neergezet die alle RPIDs die ze zien opnieuw als hun eigen RPID uitzenden. Iemand die langs zo'n "fout" bluetooth beacon loopt zou alle RPIDs loggen van iedereen die in de buurt van één van de andere foute beacons was. Dit zou voor zeer veel valse positieven kunnen zorgen en het vertrouwen in corona-apps kunnen ondermijnen, waarschuwt de EFF. "Contactonderzoek dat door een app wordt ondersteund heeft serieuze beperkingen, en we weten nog niet hoeveel het oplevert. Als Apple en Google dit grote sociale experiment leiden, moeten ze het op zo'n manier doen dat de privacyrisico's tot een absoluut minimum worden beperkt, en als ze willen slagen, moeten ze het vertrouwen van het publiek zien te winnen en behouden", zegt Bennett Cyphers van de EFF. bron: security.nl

In de eerste twee weken van april zijn tientallen zorginstellingen, overheidsinstanties, productiebedrijven, transportbedrijven en aanbieders van onderwijssoftware door ransomware getroffen, aldus Microsoft, dat naar aanleiding van de incidenten verschillende beveiligingstips heeft gepubliceerd om ransomware te voorkomen. Getroffen organisaties bleken hun it-beveiliging niet op orde te hebben. Zo maakten slachtoffers gebruik van Windows Server 2003 en Windows Server 2008 die al geruime tijd niet meer met beveiligingsupdates worden ondersteund. Daarnaast werd de situatie door het gebruik van zwakke wachtwoorden verder verergerd, stelt Microsoft. Ook maakten aanvallers misbruik van bekende kwetsbaarheden in Citrix-systemen en Pulse Secure vpn-software waarvoor al lange tijd updates beschikbaar zijn. "Het installeren van beveiligingsupdates is cruciaal om deze aanvallen te voorkomen", laat Microsoft weten. Bij verschillende slachtoffers bleken webservers verkeerd geconfigureerd te zijn, alsmede software voor elektronische patiëntendossiers, back-upservers of servers voor systeembeheer. Een andere aanvalsvector was het remote desktop protocol (RDP), waarbij organisaties zwakke wachtwoorden en geen multifactorauthenticatie gebruikten. Naast het installeren van updates geeft Microsoft ook andere tips, zoals het gebruik van de tool LAPS (Local Administrator Password Solution) om beheerdersaccounts van willekeurige wachtwoorden te voorzien, het toepassen van een account lockout policy, het gebruik van host firewalls om laterale bewegingen door de aanvallers tegen te gaan, het blokkeren van processen die van PsExec- en WMI-commando's afkomstig zijn en voorkomen dat credentials van het Windows local security authority subsystem (lsass.exe) kunnen worden gestolen. bron: security.nl

Adobe heeft beveiligingsupdates uitgebracht die meerdere ernstige kwetsbaarheden in de populaire webwinkelsoftware Magento verhelpen. Via de beveiligingslekken kan een aanvaller in het ergste geval op afstand de webwinkel overnemen en toegang tot gegevens van klanten krijgen. Het gaat in totaal om dertien kwetsbaarheden in Magento Commerce, Enterprise, Community en Open Source, waarmee het mogelijk is om op afstand willekeurige code uit te voeren, gevoelige informatie te verkrijgen en ongeautoriseerde toegang tot het beheerderspaneel te krijgen. Ook bleek dat aanvallers ongeautoriseerde productkortingen hadden kunnen doorvoeren. Beheerders krijgen het advies om de beschikbaar gemaakte beveiligingsupdates te installeren. In de praktijk blijkt dat dit niet altijd gebeurt, waardoor aanvallers bijvoorbeeld kwaadaardige code aan webwinkels toevoegen waarmee creditcardgegevens van klanten worden gestolen. Volgens Magento, dat vorig jaar door Adobe werd overgenomen, maken 240.000 winkels wereldwijd gebruik van het platform. bron: security.nl

Bedrijven en organisaties met een Sophos XG-firewall zijn vorige week het doelwit van een zeroday-aanval geworden en hoewel een oplossing inmiddels beschikbaar is zijn er nog duizenden kwetsbare firewalls op internet te vinden. Dat blijkt uit onderzoek van securitybedrijf Rapid7. De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall. Daarmee kon de aanvaller verschillende scripts uitvoeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen. In een nieuwe analyse van de aanval stelt Sophos dat het geen aanwijzingen heeft gevonden dat de verzamelde data ook daadwerkelijk door de malware is gestolen. Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk blijkt echter dat veel beheerders deze optie hebben uitgeschakeld. Rapid7 was benieuwd hoeveel apparaten er kwetsbaar zijn of waren en voerde een internetbrede scan uit. Dit leverde 72.000 unieke ip-adressen van Sophos-apparaten op. Vervolgens werd er gekeken hoeveel van deze apparaten een XG-firewall waren. Dit kon bij 12.500 apparaten op basis van het op te vragen versienummer worden vastgesteld. Daarvan bleken er iets meer dan 2.000 de hotfix te hebben geïnstalleerd. De overige firewalls zijn nog altijd kwetsbaar, aldus Rapid7. Beheerders krijgen dan ook het advies om de hotfix zo snel als mogelijk te installeren. bron: security.nl

De makers van de Troldesh-ransomware, ook bekend als Shade en Encoder.858, hebben 750.000 decryptiesleutels online gezet waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. De Troldesh-ransomware verscheen voor het eerst in 2014 en richtte zich voornamelijk op Russische en Oekraïense internetgebruikers. Net als andere ransomware versleutelde Troldesh bestanden en eiste losgeld voor het ontsleutelen. Eind vorig jaar stopten de makers met de verspreiding van de ransomware en afgelopen zondag maakten ze alle decryptiesleutels beschikbaar. Het gaat in totaal om 750.000 decryptiesleutels waarmee slachtoffers hun versleutelde bestanden kunnen ontsleutelen. Beveiligingsonderzoeker Sergey Golovanov van antivirusbedrijf Kaspersky bevestigt dat de decryptiesleutels echt zijn. Kaspersky zal de decryptiesleutels aan de eigen RakhniDecryptor toevoegen, wat het eenvoudiger voor slachtoffers moet maken om bestanden te ontsleutelen. Deze tool wordt onder andere via de NoMoreRansom-website van de Nederlandse politie aangeboden. Vorig jaar oktober meldde het Russische antivirusbedrijf Doctor Web nog dat bijna 17 procent van alle ransomwareslachtoffers die bij de virusbestrijder aanklopten door Troldesh was getroffen. bron: security.nl

XG-firewalls van Sophos zijn afgelopen week het doelwit van een zeroday-aanval geweest, zo heeft het securitybedrijf zelf bekendgemaakt. Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en gegevens over gebruikers te downloaden. Het gaat dan om gebruikersnamen en gehashte wachtwoorden voor de lokale beheerder(s), portalbeheerder(s) en gebruikersaccounts voor remote toegang. Sophos stelt dat erop dit moment geen aanwijzingen zijn dat bij de aanvallen er toegang is verkregen tot het lokale netwerk achter de firewall. De eerste aanvallen vonden volgens het securitybedrijf op 22 april plaats. Gisteren werd er onder klanten die automatisch updaten hebben ingeschakeld een hotfix uitgerold die de kwetsbaarheid verhelp en "overblijfselen" van de aanval verwijdert. Wanneer de firewall is gecompromitteerd krijgen beheerders in hun interface een waarschuwing te zien. Sophos adviseert eigenaren van een gecompromitteerde firewall om de wachtwoorden voor beheerders en gebruikers te resetten en het apparaat te herstarten. Verder wordt aangeraden om Admin Services en de User Portal niet vanaf het internet toegankelijk te maken. Getroffen klanten zijn via e-mail ingelicht, aldus een klant op Reddit. bron: security.nl

Mozilla heeft besloten om de beloning voor het melden van kwetsbaarheden in Firefox te verhogen. Daarnaast wordt het "bug bounty" programma verder uitgebreid. De browserontwikkelaar was één van de eerste organisaties met een beloningsprogramma voor onderzoekers die kwetsbaarheden rapporteerden. Toen Mozilla in 2004 begon kregen onderzoekers maximaal 500 dollar voor hun inzendingen. Dat bedrag is in de loop van de jaren verhoogd. Van 2017 tot en met 2019 keerde Mozilla bijna 966.000 dollar uit voor 348 gerapporteerde kwetsbaarheden. Gemiddeld bedroeg de beloning een kleine 2800 dollar per bug. De browserontwikkelaar merkt op dat een beloning van 4000 dollar het vaakst werd uitgekeerd. Meldingen van ernstige kwetsbaarheden werden gemiddeld met beloningen tussen de 3000 en 5000 dollar beloond. Mozilla heeft die bedragen verhoogd, waarbij het een basisniveau van 8000 dollar hanteert. Wanneer de bugmelding goed gedocumenteerd is kan er zelfs 10.000 dollar worden uitgekeerd. Daarnaast stopt de browserontwikkelaar met het "wie het eerst komt, het eerst maalt" principe. Wanneer onderzoekers in het verleden dezelfde kwetsbaarheid rapporteerden kreeg alleen de persoon die de bug als eerste meldde een beloning. Nu zal de beloning worden verdeeld onder alle personen die het beveiligingslek binnen 72 uur na de eerste melding inzonden. Tevens zal Mozilla meer informatie gaan delen hoe Firefox is te testen. Op deze manier zouden meer mensen aan het zoeken naar bugs moeten deelnemen, wat de veiligheid van de browser moet verbeteren. bron: security.nl

Onderzoekers hebben een botnet ontdekt dat uit zeker 35.000 geïnfecteerde computers bestaat en voor zover bekend zich alleen via besmette usb-sticks verspreidde. De besmette computers werden gebruikt voor het delven van de cryptovaluta Monero, zo meldt antivirusbedrijf ESET. Opmerkelijk aan het "VictoryGate" botnet, zoals de onderzoekers het noemen, is dat de enige verspreidingsmethode besmette usb-sticks lijken te zijn. De malware wacht op besmette computers totdat er een usb-stick wordt aangesloten. Vervolgens worden alle bestanden op de usb-stick naar een verborgen directory verplaatst en vervangen door uitvoerbare bestanden die dezelfde namen als de originele bestanden hebben. Zodra de besmette usb-stick op een schone computer wordt aangesloten en de gebruiker opent één van de uitvoerbare bestanden, dan wordt zowel het originele bestand in de verborgen directory geladen als de malware. Die downloadt vervolgens aanvullende malware, waaronder scripts die de computer Monero laten delven. De cryptominer gebruikt de volledige rekenkracht van de computer waardoor die zeer langzaam wordt. Tevens wacht de malware totdat er nieuwe usb-sticks worden aangesloten, zodat ook andere machines kunnen worden besmet. Onderzoekers van ESET wisten verschillende ongebruikte domeinen te registreren waar besmette computers mee verbinding maken. Deze domeinen stonden in de code van de malware vermeld, maar waren niet door de malwareschrijver geregistreerd. Zodoende zag het antivirusbedrijf dat het botnet uit zeker 35.000 computers bestaat, die zich voornamelijk in Peru (90 procent) bevinden. Tevens bleek dat de aansturing van het botnet via subdomeinen bij de dynamische dns-provider No-IP plaatsvond. Deze domeinen zijn door de provider uit de lucht gehaald, waardoor de botnetbeheerder het botnet geen nieuwe instructies kan geven en nieuw geïnfecteerde computers geen aanvullende malware zullen downloaden. De al besmette computers blijven echter gewoon Monero delven. bron: security.nl

Een beveiligingslek in de ZyXEL Cloud CNM SecuManager wordt actief door criminelen gebruikt om systemen onderdeel van een botnet te maken en een beveiligingsupdate is niet beschikbaar. De Zyxel SecuManager is software om Zyxel-producten zoals gateways, vpn's en firewalls mee te beheren en monitoren. De software moet op een virtual machine-server worden geïnstalleerd, zoals VMware ESXi of Windows Hyper-V. In maart van dit jaar maakte twee beveiligingsonderzoekers een reeks kwetsbaarheden in de SecuManager openbaar waardoor het mogelijk was om systemen op afstand en zonder authenticatie volledig over te nemen. De onderzoekers hadden Zyxel niet over hun bevindingen geïnformeerd, omdat ze vonden dat sommige backdoors opzettelijk door Zyxel waren aangebracht. Criminelen maken nu gebruik van één van de kwetsbaarheden die de onderzoekers publiceerden om Zyxel SecuManager-installaties over te nemen. Via het beveiligingslek kan er op afstand code worden uitgevoerd. Aanvallers kunnen zo malware installeren en maken het systeem onderdeel van een botnet dat wordt gebruikt voor het uitvoeren van ddos-aanvallen, aldus securitybedrijf Radware. Of en wanneer Zyxel met een update komt is onbekend. De kwetsbaarheden zijn aanwezig in Zyxel CNM SecuManager versies 3.1.0 en 3.1.1, die in november 2018 verschenen. bron: security.nl

Een beveiligingslek in OpenSSL maakt webservers kwetsbaar voor denial of service (dos)-aanvallen, zo waarschuwen de ontwikkelaars die een beveiligingsupdate hebben uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. De kwetsbaarheid zorgt ervoor dat server- of clientapplicaties die van OpenSSL gebruikmaken en tijdens of na een TLS 1.3-handshake een specifieke functie aanroepen, door het versturen van een ongeldig handtekeningsalgoritme zijn te laten crashen. Hierdoor zou een aanvaller een remote dos-aanval op webservers kunnen uitvoeren. De kwetsbaarheid is aanwezig in OpenSSL versie 1.1.1d, 1.1.1e en 1.1.1f en is verholpen in 1.1.1g. OpenSSL-versies 1.1.1c en ouder zijn niet kwetsbaar. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Deze kwetsbaarheid is als "high" beoordeeld, wat al meer dan drie jaar niet is voorkomen. Alle gevonden beveiligingslekken in de afgelopen drie jaar kregen het stempel low of moderate. bron: security.nl

Microsoft heeft buiten de vaste patchcyclus om noodpatches voor Office 2016, Office 2019, Office 365 ProPlus en Paint 3D uitgebracht die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval volledige controle over het systeem zou kunnen krijgen. De beveiligingslekken zijn aanwezig in de Autodesk FBX-library die aan de eerder genoemde programma's is toegevoegd en wordt gebruikt voor het weergeven van 3D-content. Door een gebruiker van deze programma's een speciaal geprepareerd bestand te laten openen kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de impact bevinden de kwetsbaarheden zich tussen een 7 en 8,9, zo blijkt uit de advisory van Autodesk. De updates worden op de meeste systemen automatisch geïnstalleerd. De update voor Paint 3D is ook via de Microsoft Store te downloaden. bron: security.nl

Een beveiligingslek in videoconferentiesoftware Zoom maakte het mogelijk om toegang te krijgen tot de gegevens van alle Zoom-gebruikers binnen willekeurige organisaties. Het kon dan gaan om voor- en achternaam, e-mailadressen, telefoonnummer en andere informatie in de vCard van de betreffende Zoom-gebruikers. Zoom biedt verschillende features, waaronder een chatoptie. Gebruikers kunnen via Zoom naar andere gebruikers binnen hun organisatie zoeken. Hiervoor verstuurt Zoom een verzoek naar de server waarin de groepsnaam van de organisatie staat opgegeven. Deze groepsnaam is het e-maildomein dat de organisatie voor de registratie heeft gebruikt. Zoom controleerde niet dat de gebruiker die een verzoek verstuurde ook daadwerkelijk bij het opgevraagde domein behoorde. Zo konden willekeurige gebruikers contactlijsten van willekeurige domeinen opvragen. De enige vereiste was dat een aanvaller over een geldig Zoom-account beschikte, dat gratis via de website van Zoom is aan te maken. Vervolgens was het mogelijk om verzoeken voor willekeurige domeinen naar de Zoom-server te sturen, die daarop met de contactgegevens van gebruikers van de betreffende organisatie antwoordde. Volgens Cisco, dat de kwetsbaarheid ontdekte, zouden aanvallers hiermee allerlei gegevens kunnen verzamelen die voor spearphishingaanvallen zijn te gebruiken. Zoom heeft de kwetsbaarheid inmiddels verholpen. bron: security.nl

Spambestrijder Spamhaus heeft in het eerste kwartaal van dit jaar veel minder nieuwe botnetservers gezien dan in het laatste kwartaal van vorig jaar. In de laatste drie maanden van 2019 telde de organisatie zo'n 3200 nieuwe botnetservers die besmette computers aanstuurden. In het eerste kwartaal van dit jaar was dit naar zo'n 2000 nieuwe servers gedaald, zo blijkt uit het nieuwe kwartaalrapport. Naast nieuwe servers waren er ook botnetservers actief die al eerder waren waargenomen. Het totaal aantal botnetservers voor het eerste kwartaal van dit jaar kwam zodoende uit op 2700 machines. Tweeduizend van deze servers werden direct bestuurd door criminelen. Die maken gebruik van gestolen of vervalste gegevens om virtual private servers (VPS) te huren. Het aantal servers dat met gestolen of vervalste gegevens werd gehuurd daalde in vergelijking met het vierde kwartaal van 2019 met 57 procent. Een reden kan Spamhaus niet geven, maar er wordt gewezen naar een vpn-provider die niet op abusemeldingen reageert. Werden in het vierde kwartaal van vorig jaar nog de meeste botnetservers in Rusland waargenomen, dat daarmee de VS van de eerste plek stootte, in de eerste drie maanden van dit jaar staat de VS met 841 servers weer bovenaan. Op de tweede plek volgt Rusland (614 servers), gevolgd door Nederland met 209 machines. Net als bij vorig kwartaaloverzichten haalt Spamhaus opnieuw uit naar internetbedrijf Cloudflare. "Cloudflare blijft één van de geprefereerde keuzes van cybercriminelen om botnetservers te hosten. Deze trend is sinds 2018 gaande." Cloudflare wordt niet gebruikt voor het direct hosten van content, maar biedt volgens Spamhaus wel diensten aan botnetbeheerders, zoals het verbergen van de locatie van de botnetserver en het beschermen van de server tegen ddos-aanvallen. bron: security.nl

De beslissing van Apple en Google om bluetooth contact tracing in iOS en Android in te gaan bouwen heeft grote gevolgen voor smartphonegebruikers, zo waarschuwt Jaap-Henk Hoepman, universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker, op zijn persoonlijke blog Xot.nl. Beide techbedrijven komen volgende maand met een programmeerinterface (API) die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contactonderzoekapps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni wordt bluetooth contact tracing direct in het besturingssysteem verwerkt. Dit zal via een update gebeuren. Doordat contact tracing straks onderdeel van het besturingssysteem wordt kunnen gebruikers het niet meer verwijderen zoals bij een app het geval is. Het is deze stap waar Hoepman zich zorgen over maakt. Doordat de technologie direct aan de besturingssystemen wordt toegevoegd zal die continu voor allerlei apps beschikbaar zijn. "Contact tracing is daardoor niet langer beperkt in tijd of beperkt in gebruik om alleen de verspreiding van het coronavirus te traceren en beperken. Dit houdt in dat twee zeer belangrijke waarborgen om onze privacy te beschermen overboord worden gegooid", aldus de privacyonderzoeker. Apple en Google creëren op deze manier een platform voor contact tracing dat wereldwijd op de meeste smartphones werkt. "Tenzij de juiste waarborgen aanwezig zijn zou dit voor een globaal massasurveillancesysteem zorgen dat betrouwbaar kan volgen wie met wie in contact is geweest, op welk moment en hoe lang", gaat Hoepman verder. Elke app die goedkeuring van Apple en Google krijgt, al dan niet onder dwang of economische motieven, kan van de ingebouwde contact tracing gebruikmaken, wat ook voor de techbedrijven zelf geldt. Een ander probleem dat Hoepman aankaart is dat de techbedrijven zich nu zo hebben gepositioneerd dat hun platform nagenoeg de enige manier is om contact tracing via smartphones uit te voeren. "Met deze stap hebben Apple en Google zichzelf onmisbaar gemaakt, en garanderen zo dat deze potentiële wereldwijde surveillancetechnologie ons wordt opgedrongen. En als gevolg dat alle onderliggende microdata van elk contacttracingsysteem wordt opgeslagen op de telefoons die zij controleren", stelt de privacyonderzoeker. Bij het toepassen van contact tracing wordt steeds geroepen dat dit decentraal plaatsvindt of zou moeten plaatsvinden, maar Hoepman merkt op dat het contacttracingplatform van Apple en Google eenvoudig voor een gecentraliseerde vorm van contact tracing is te gebruiken. Kwaadaardige apps zouden daarnaast via de technologie kunnen achterhalen met wie een besmet persoon in contact is geweest. En niet alleen besmette personen zijn op deze manier te volgen. Ook niet-besmette personen kunnen via het contacttracingplatform worden gevolgd. Function creep is een ander punt waar Hoepman zich zorgen over maakt. Het is niet uit te sluiten dat het gebruik van contact tracing voor andere doeleinden in de toekomst acceptabel en proportioneel wordt gevonden. Doordat de vereiste technologie al aanwezig is, is die dan ook eenvoudig in te zetten. Daarnaast heeft de technologie grote commerciële waarde, omdat het een zeer gedetailleerd beeld in de contacten van mensen geeft. Afsluitend concludeert de privacyonderzoeker dat gebruikers er straks op moeten vertrouwen dat Apple en Google de apps die van de ingebouwde contact tracing gebruikmaken goed controleren en dat ze druk van overheden en commerciële motieven weerstaan. "Dat is verschrikkelijk veel vertrouwen...", besluit Hoepman. bron: security.nl

Ontwikkelaarsplatform GitHub waarschuwt gebruikers voor een phishingaanval die naast gebruikersnaam en wachtwoord ook TOTP-codes voor tweefactorauthenticatie probeert te stelen. De aanval begint met een e-mail waarin wordt gesteld dat er verdachte activiteit met het GitHub-account van de gebruiker is gedetecteerd. De link om deze activiteit te controleren wijst naar een phishingpagina, die op de inlogpagina van Github lijkt. Ingevoerde gebruikersnamen en wachtwoorden worden door de website naar de aanvallers gestuurd. Wanneer een gebruiker TOTP-gebaseerde tweefactorauthenticatie heeft ingeschakeld zal de phishingpagina hier ook om vragen en ingevoerde TOTP-codes in real-time naar de aanvaller doorsturen. Die kan zo op het account inloggen. Volgens GitHub worden de phishingmails vanaf legitieme domeinen verstuurd via gecompromitteerde mailservers of gestolen API-credentials voor bulkmailproviders. Om de werkelijke bestemming van de link te verbergen maken de aanvallers gebruik van url-verkorters. Soms worden meerdere van deze url-verkorters aan elkaar gekoppeld. Ook gebruiken de aanvallers PHP-redirects op gecompromitteerde websites die naar de uiteindelijk phishingsite wijzen. Zodra de aanval succesvol is creëren de aanvallers persoonlijke GitHub-toegangstokens of autoriseren OAuth-applicaties voor het account om zo toegang te behouden mocht de gebruiker zijn wachtwoord wijzigen. In veel gevallen downloaden de aanvallers de private repository content waar het slachtoffer toegang toe heeft. GitHub adviseert om accounts via hardwarematige beveiligingssleutels of WebAuthn-tweefactorauthenticatie te beveiligen. Daarnaast wordt ook het gebruik van wachtwoordmanagers aangeraden en moeten gebruikers goed de url in de adresbalk controleren. bron: security.nl

Mozilla heeft een nieuwe feature aan Firefox toegevoegd die gebruikers waarschuwt als ze voor meerdere accounts hetzelfde wachtwoord gebruiken en één van deze accounts onderdeel van een datalek is geweest. Firefox waarschuwt al als gebruikers op een website inloggen waarvan gebruikersdata is gelekt. Vervolgens wordt er verwezen naar Firefox Monitor, waarmee gebruikers naar gelekte accounts kunnen zoeken. Deze dienst gebruikt dezelfde database als datalekzoekmachine Have I Been Pwned, maar toont de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik. Nu kijkt de browser ook naar de opgeslagen wachtwoorden van de gebruiker. Zodra blijkt dat de gebruiker voor meerdere accounts hetzelfde wachtwoord in de browser heeft opgeslagen en dat één van deze accounts onderdeel van een datalek is geweest, verschijnt er een waarschuwing dat het hergebruik van wachtwoorden accounts in gevaar brengt. Vervolgens wordt er gelinkt naar de betreffende website waar gebruikers het wachtwoord van hun account kunnen wijzigen. De maatregel staat nu standaard ingeschakeld in een testversie van Firefox 76, waarvan de definitieve versie op 5 mei moet uitkomen. bron: security.nl

Onderzoekers hebben malware ontdekt die wifi-wachtwoorden van besmette computers steelt. Het gaat om de Agent Tesla-malware die ontwikkeld is om allerlei wachtwoorden van besmette systemen te stelen. Het was al bekend dat de malware, die via e-mailbijlagen wordt verspreid, uit meer dan zeventig programma's wachtwoorden kan stelen. Het gaat onder andere om 39 browsers zoals Chrome en Firefox, e-mailclients zoals Outlook en Thunderbird, ssh/sftp/ftp-clients, chatprogramma's en verschillende Windowslocaties. Gestolen inloggegevens worden vervolgens via e-mail naar de aanvaller gestuurd. Onderzoekers van Malwarebytes hebben een nieuwe variant van Agent Tesla ontdekt die ook informatie over het wifi-profiel van besmette gebruikers steelt, waaronder het wifi-wachtwoord. Waarom de malware opeens wifi-wachtwoorden steelt is nog onduidelijk. Mogelijk wordt dit gedaan om ook andere machines in het netwerk te infecteren, zegt onderzoeker Hossein Jazi. Een andere mogelijkheid is dat het wifi-profiel voor toekomstige aanvallen wordt gebruikt. Begin dit jaar waarschuwden andere onderzoekers dat de beruchte Emotet-malware wifi gebruikte om machines te infecteren. Daarbij werd er echter gebruik gemaakt van bruteforce-aanvallen om verbinding met het draadloze netwerk te maken. bron: security.nl

Het is volgende week vrijdag 24 april precies een jaar geleden dat er een beveiligingsupdate verscheen voor een zeer ernstige kwetsbaarheid in de Pulse Secure vpn-software. Nu een jaar later zijn er nog altijd organisaties die de patch niet hebben uitgerold, maar ook organisaties die wel zijn gepatcht kunnen risico lopen als aanvallers voor het updaten toegang tot de vpn-omgeving hebben gekregen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid weten. Volgens de overheidsinstantie heeft het meerdere incidenten gezien waarbij vpn-wachtwoorden die via de kwetsbaarheid waren gestolen maanden nadat organisaties de update hadden uitgerold werden misbruikt. Het beveiligingslek in de vpn-software van Pulse Secure is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Ondanks de beschikbaarheid van de update eind april waren de vpn-servers van duizenden organisaties maanden later nog altijd ongepatcht. Vorig jaar augustus werden de eerste aanvallen waargenomen die misbruik van de kwetsbaarheid maakten. Het installeren van de beveiligingsupdate alleen is mogelijk niet voldoende als dit niet tijdig gebeurde, waarschuwt CISA. "CISA is bij meerdere incidenten bij de Amerikaanse overheid en bedrijven betrokken geweest waarbij aanvallers het Pulse Secure-lek gebruikten om toegang tot de netwerken van slachtoffers te krijgen. Hoewel Pulse Secure in april 2019 patches voor het lek uitbracht, heeft CISA incidenten gezien waarbij gecompromitteerde Active Directory-inloggegevens maanden nadat getroffen organisaties hun vpn-server patchten werden gebruikt", aldus de Amerikaanse overheidsinstantie. CISA heeft in een testomgeving aangetoond dat aanvallers Active Directory-inloggegevens in plaintext kunnen stelen, alsmede het lokale beheerderswachtwoord van de vpn-server. Deze gegevens kunnen vervolgens, wanneer organisaties de wachtwoorden niet wijzigden, worden gebruikt om toegang tot de omgeving van slachtoffers te krijgen. Zodra aanvallers toegang tot de omgeving van een slachtoffer hebben verkregen installeren ze malware om toegang te behouden, stelen ze gegevens en installeren ransomware, zo blijkt uit de incidenten die CISA onderzocht. Aangezien organisaties die de Pulse Secure-update hebben geïnstalleerd nog steeds risico op misbruik lopen door aanvallen die voor de installatie van de patch plaatsvonden, heeft het CISA nieuwe detectiemethoden en een tool ontwikkeld waarmee beheerders kunnen controleren of hun omgeving mogelijk al is gecompromitteerd. Verder krijgen organisaties die de update nog niet hebben uitgerold het advies om dit alsnog te doen. Wanneer blijkt dat de vpn-omgeving is gecompromitteerd wordt aangeraden om de wachtwoorden van alle Active Directory-accounts te wijzigen, waaronder die van beheerders en service-accounts. Ook moet er worden gekeken naar de aanwezigheid van ongeautoriseerde applicaties en geplande taken in de omgeving. bron: security.nl