Captain Kirk

De Europese Commissie heeft het moederbedrijf van versleutelde e-maildienst ProtonMail twee miljoen euro toegekend voor de ontwikkeling van encryptiediensten. De twee miljoen euro die naar Proton Technologies gaat is onderdeel van het Horizon 2020-programma, dat de afgelopen 7 jaar zo'n 80 miljard euro heeft toegekend voor wetenschappelijk onderzoek en technologische innovatie. Hoewel Proton Technologies zich in Zwitserland bevindt kan het vanwege bilaterale overeenkomsten tussen de EU en Zwitserland toch in aanmerking voor het financieringsprogramma komen. Andy Yen van het Zwitserse bedrijf stelt dat 40 procent van de ProtonMail-gebruikers zich in de Europese Unie bevindt en EU-burgers de helft van het personeelsbestand uitmaken. "De EU heeft nu duidelijk de support voor privacyrechten kenbaar gemaakt en zet in op Proton Technologies om een Europees antwoord te ontwikkelen op de dataminingmonopolies van Amerikaans techgiganten zoals Google. We hebben niet alleen belangrijke financiering ontvangen, maar ook een machtige bondgenoot voor de lastige gevechten die nog zullen komen", stelt Yen. Omdat het Horizon 2020-programma uit beurzen bestaat geeft het de EU geen aandelen of zeggenschap over Proton Technologies. Ook schept het geen verplichtingen voor het Zwitserse bedrijf, behalve het gebruik van het geld voor de doelen die in het voorstel voor de Europese Commissie staan omschreven. Het voorstel richt zich vooral op de ontwikkeling van ProtonDrive een in Zwitserland gebaseerde end-to-end versleutelde cloudopslag. bron: security.nl

Een e-mailverificatiedienst waar marketingbedrijven gebruik van maken heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt, waaronder 763 miljoen unieke e-mailadressen. Dat laat beveiligingsonderzoeker Bob Diachenko in een blogpost weten. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data. In dit geval werd de 150 gigabyte grote database op 25 februari door Diachenko ontdekt. Naast e-mailadressen ging het ook om namen, ip-adressen en geboortedata.Verder onderzoek wees uit dat de database van een e-mailverificatiedienst was met de naam Verifications.io. Marketingbedrijven maken van dergelijke diensten gebruik. Ze leveren een lijst met te valideren e-mailadressen aan. Vervolgens stuurt de verificatiedienst een e-mail naar de e-mailadressen op de lijst. Wanneer de e-mail aankomst gaat het om een geldig adres, bij een bounce wordt het adres op een bouncelijst geplaatst. Het zijn echter niet alleen marketingbedrijven die er gebruik van kunnen maken. Ook voor aanvallers die e-mailaccounts via bruteforce-aanvallen willen compromitteren zijn dergelijke diensten handig om te zien welke e-mailaccounts nog bestaan, merkt Diachenko op. Nadat de onderzoeker Verifications.io had gewaarschuwd haalde het bedrijf de database, alsmede de eigen website, offline. bron: security.nl

De kwetsbaarheid in Google Chrome die werd aangevallen voordat er een beveiligingsupdate beschikbaar was werd gecombineerd met een ongepatcht beveiligingslek in Windows. Dat heeft Google bekendgemaakt. De aanvallen die de internetgigant waarnam waren gericht tegen Chrome-gebruikers op 32-bit versies van Windows 7. Google denkt dan ook dat de kwetsbaarheid alleen op Windows 7 is te misbruiken vanwege beveiligingsmaatregelen in nieuwere Windows-versies. Het beveiligingslek in Windows maakt het mogelijk voor een aanvaller om zijn rechten te verhogen en is te gebruiken als manier om uit de sandbox van Chrome te ontsnappen. De aanvallers combineerden dit met de kwetsbaarheid in de browser om willekeurige code op aangevallen systemen uit te voeren. Google rapporteerde de kwetsbaarheid op 27 februari aan Microsoft en heeft het beveiligingslek nu bekendgemaakt. Gebruikers van Chrome krijgen het advies om te upgraden naar versie 72.0.3626.121 of nieuwer. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. De softwaregigant komt aanstaande dinsdag 12 maart met de patches van deze maand. Of dan ook het zeroday-lek in kwestie wordt gedicht is nog onbekend. Google stelt dat gebruikers als oplossing voor het Windows-lek kunnen overwegen om naar Windows 10 te upgraden. bron: security.nl

Een beschermingsmaatregel tegen fingerprinting die de ontwikkelaars van Tor Browser hebben ontwikkeld wordt ook aan Firefox toegevoegd. Via fingerprinting kunnen adverteerders en trackers aan de hand van eigenschappen van het systeem van een internetgebruiker een profiel maken. Zo kan er naar de schermresolutie of de resolutie van geopende vensters worden gekeken. Een gemaximaliseerd venster geeft bijvoorbeeld informatie over de resolutie van de monitor van de gebruiker. Daarnaast kunnen niet gemaximaliseerde vensters een sterke correlatie geven tussen twee tabs in hetzelfde venster. Met name als gebruikers hun browservenster hebben gesleept kan er een aparte resolutie ontstaan. Om te voorkomen dat gebruikers op deze manier kunnen worden geprofileerd is een techniek genaamd letterboxing ontwikkeld. Hierbij wordt er stapsgewijs een marge aan het geopende venster toegevoegd die voor alle gebruikers hetzelfde is. Het fingerprintingscript zal hierdoor de verkeerde generieke waarde doorgeven. De maatregel is nu al in een testversie van Firefox te proberen en zal naar verwachting in Firefox 67 verschijnen die voor 14 mei staat gepland. Tor Browser is op Firefox gebaseerd en in het verleden zijn er vaker privacyinstellingen van Tor Browser aan Firefox toegevoegd. Internetgebruikers kunnen via browserleaks.com controleren welke informatie hun browser prijsgeeft, waaronder de schermresolutie. bron: security.nl

Maar liefst driekwart van de routers heeft UPnP ingeschakeld en geregeld gaat het om een kwetsbare implementatie. Dat blijkt uit onderzoek van anti-virusbedrijf Trend Micro. Via het Universal Plug and Play (UPnP)-protocol kunnen apparaten op het netwerk, zoals routers, televisies en printers, elkaar vinden. Kwetsbaarheden in UPnP-implementaties of verkeerd geconfigureerde routers kunnen ervoor zorgen dat dergelijke apparaten vanaf het internet toegankelijk zijn. Het uitschakelen van UPnP is dan ook al een lang gegeven beveiligingsadvies. Onlangs werd bekend dat een hacker UPnP gebruikte om video's op Chromecasts en smart-tv's af te spelen waarin reclame werd gemaakt voor de Zweedse Youtuber PewDiePie. Via een gratis scantool verzamelde Trend Micro allerlei informatie over de apparaten van gebruikers en of die UPnP hebben ingeschakeld. Het zijn met name routers (76 procent) en media-apparaten zoals mediastreamers (27 procent) waar UPnP staat ingeschakeld. Van de apparaten die UPnP hebben ingeschakeld maakt 16 procent gebruik van de MiniUPnP-library. 95 procent draait echter een verouderde versie van deze library. Kwetsbaarheden in deze library kunnen in het ergste geval ervoor zorgen dat apparaten op afstand kunnen worden overgenomen. Ook in het geval van andere UPnP-libraries maken de onderzochte apparaten vaak gebruik van kwetsbare versies. Trend Micro adviseert gebruikers dan ook om UPnP uit te schakelen en van port forwarding gebruik te maken wanneer nodig. bron: security.nl

Google heeft een beveiligingslek in Chrome gepatcht dat actief werd aangevallen voordat een update beschikbaar was. De beveiligingsupdate verscheen op 1 maart, maar bevatte toen nog geen informatie over de aanval. Gisteren plaatste Google een update waarin de internetgigant laat weten dat er een exploit voor de kwetsbaarheid beschikbaar is. De ernst van de kwetsbaarheid is door Google als "High" bestempeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Op Twitter meldt Chaouki Bekrar, oprichter van Zerodium, een bedrijf dat zero-daylekken van onderzoekers opkoopt, dat het om een aanval zou gaan waarbij een aanvaller meerdere kwetsbaarheden aan elkaar koppelde en zo uit de sandbox van Chrome kon ontsnappen. Vervolgens zou het mogelijk zijn geweest om willekeurige code op het onderliggende systeem uit te voeren. Justin Schuh van Google, verantwoordelijk voor de security van Chrome, spreekt op Twitter van een "zero-day chain", wat inderdaad lijkt te suggereren dat er meerdere kwetsbaarheden aan elkaar zijn gekoppeld. Verdere details zijn nog niet bekend. Gebruikers van Google Chrome krijgen het advies om te updaten naar versie 72.0.3626.121. Door in de adresbalk chrome://settings/help in te voeren kan de huidige versie worden bekeken. bron: security.nl

Mozilla is in een testversie van Firefox begonnen met het blokkeren van cryptominers en fingerprinters, zo heeft de browserontwikkelaar bekendgemaakt. Dit moet de privacy van gebruikers verder beschermen. Vorig jaar liet Mozilla weten dat het trackers, fingerprinters en cryptominers standaard gaat blokkeren. Via fingerprinting is het mogelijk om gebruikers aan de hand van de kenmerken van hun apparaat te identificeren. Het gaat dan om zaken als schermresolutie, gebruikte hardware en andere zaken. Advertentienetwerken kunnen met deze informatie een uniek profiel van iemand maken en hem vervolgens over het web volgen, ongeacht het gebruik van cookies of het ip-adres van de gebruiker. Andere websites maken daarnaast gebruik van cryptominers die de computers van gebruikers naar cryptovaluta laten delven. Dit kan een grote belasting vormen voor het batterijverbruik van smartphones en laptops. Volgens Mozilla zorgt dit ervoor dat het web een vijandige plek wordt en zal Firefox daarom dit soort zaken standaard gaan blokkeren. Gebruikers van Firefox Nightly, een vroege testversie van de browser, kunnen de optie om fingerprinters en cryptominers te blokkeren nu inschakelen. Mogelijk dat beide opties in Firefox 67 zullen verschijnen, die voor 14 mei van dit jaar gepland staat. bron: security.nl

Windows 7 kan dll-bestanden op onveilige wijze laden en Microsoft is niet van plan om met een update te komen, zo waarschuwt JPCERT/CC, het Computer Emergency Response Team van de Japanse overheid. Dll staat voor dynamic-link library en betreft softwarebibliotheken waar applicaties voor Windows gebruik van maken. Windows biedt applicaties deze dll-bestanden. De kwetsbaarheid zorgt ervoor dat dll-bestanden worden geladen die zich in dezelfde directory als het uitgevoerde programma bevinden. Een aanvaller die een kwaadaardig dll-bestand in deze directory weet te krijgen kan zo zijn kwaadaardige code op het systeem uitvoeren, aangezien het programma dit dll-bestand laadt. Het probleem is al sinds augustus 2010 bekend. Toch heeft JPCERT er een waarschuwing voor gegeven en een nieuw CVE-nummer voor aangevraagd. Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen, waarmee de kwetsbaarheid is te volgen. Volgens Microsoft wordt het probleem veroorzaakt door "Application Directory dll planting" en zijn er geen plannen om een beveiligingsupdate voor Windows 7 uit te brengen. De softwaregigant besteedde vorig jaar nog aandacht aan dll planting bij applicaties en stelde toen dat het dit als een "Defense-in-Depth" probleem beschouwt dat alleen in toekomstige versies wordt verholpen. JPCERT adviseert op basis van informatie van Microsoft om te upgraden naar Windows 10. Daarnaast zijn verschillende workarounds beschikbaar, zoals het beperken van de schrijfrechten voor systeemdirectories. Ook wordt het gebruik van een Windowssysteem met een standaard gebruiker in plaats van een beheerdersaccount aangeraden en moeten gebruikers controleren dat er geen onbetrouwbare bestanden aanwezig zijn in de directory waar een applicatie wordt geïnstalleerd. bron: security.nl

EFF: Facebook brengt gebruikers in gevaar via 2FA-telefoonnummer Facebook brengt gebruikers in gevaar door ze vindbaar te maken via het telefoonnummer dat voor beveiligingsdoeleinden is opgegeven, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De organisatie reageert op het nieuws dat Facebookgebruikers standaard voor iedereen vindbaar zijn via het telefoonnummer dat voor tweefactorauthenticatie (2FA) is ingesteld. Gebruikers kunnen deze zoekinstelling alleen beperken tot vrienden en vrienden van vrienden. Niet gevonden kunnen worden via het 2FA-telefoonnummer is geen optie. Facebook kreeg flinke kritiek van beveiligingsexperts die vinden dat voor beveiligingsdoeleinden opgegeven informatie niet voor andere zaken moet worden gebruikt. Ook de EFF sluit zich hierbij aan. "Voor mensen die 2FA nodig hebben om hun account te beschermen en veilig te zijn, dwingt Facebook hen om onnodig te kiezen tussen security en privacy", zegt Gennie Gebhart van de EFF. Volgens Gebhart worden hierdoor de verwachtingen van gebruikers en security best practices met voeten getreden. "Facebook moet dit oplossen voordat meer mensen risico lopen. Het had telefoonnummers die voor security werden gegeven nooit voor iedereen doorzoekbaar moeten maken in de eerste plaats", merkt ze op. Facebook liet aan The Guardian weten dat het met de ontvangen feedback rekening zal houden. bron: security.nl

Mozilla overweegt om certificaten van het omstreden securitybedrijf DarkMatter uit Firefox te verwijderen, zo heeft de browserontwikkelaar tegenover persbureau Reuters laten weten. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als DarkMatter wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken. DarkMatter kwam onlangs in het nieuws over cybersurveillance in de Verenigde Arabische Emiraten. Het securitybedrijf beschikt daarnaast al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Naar aanleiding van het verzoek van DarkMatter om als rootcertificaatautoriteit te worden toegevoegd vroegen verschillende bedrijven en organisaties aan Mozilla om de certificaten van het securitybedrijf in te trekken. Iets dat de browserontwikkelaar overweegt. "We hebben op dit moment geen technisch bewijs van misbruik door DarkMatter, maar de berichtgeving is sterk bewijs dat misbruik zich waarschijnlijk zal voordoen als dat nog niet het geval is", aldus Selena Deckelmann van Mozilla. Ze stelt dat Mozilla overweegt om mogelijk de meer dan 400 certificaten van DarkMatter, of een deel daarvan, uit Firefox te verwijderen. bron: security.nl

Lakse webmasters die geen beveiligingsupdates installeren, configuratiefouten maken, gebrekkige securitykennis hebben en een potje van het beheer maken zijn de voornaamste reden dat sites worden gehackt. Dat stelt securitybedrijf Sucuri op basis van meer dan 25.000 onderzochte gehackte websites. Van de meer dan 25.000 opgeschoonde websites draaide 90 procent op WordPress. Dat zegt volgens de beveiliger niet dat dit contentplatform onveiliger is dan andere platformen. Sucuri wijst juist naar de webmasters die voor een website verantwoordelijk zijn als voornaamste oorzaak dat websites worden overgenomen. Zo draaide 44 procent van de gehackte websites een verouderde versie van het platform. Bij WordPress ging het om bijna 37 procent van de getroffen websites. Verder blijkt dat websites worden gekaapt via verkeerd geconfigureerde plug-ins, modules en extensies, is er sprake van "misbruik van wachtwoorden", verkeerd geconfigureerde applicaties en servers en een gebrek aan kennis over security best practices. "Deze zaken blijven de voornaamste oorzaak dat websites tegenwoordig worden gehackt", aldus Sucuri. bron: security.nl

Onderzoekers hebben weer malware ontdekt die Java downloadt om een computer verder te infecteren. Standaard gaan de aanvallers ervan uit dat Java al op het systeem aanwezig is. De aanval waar anti-virusbedrijf McAfee over bericht begint met een e-mail die als bijlage een Java-bestand (.jar) heeft. Jar-bestanden kunnen alleen worden geopend wanneer Java op het systeem staat. Het meegestuurde Jar-bestand bevat weer een visual basic script (VBS) dat een remote administration tool (RAT) installeert waarmee aanvallers het systeem op afstand kunnen besturen. In het geval Java niet geïnstalleerd is zal de aanval mislukken. Het kan echter voorkomen dat het visual basic script los op een systeem wordt uitgevoerd, zo laat McAfee aan Security.NL weten. In dit geval downloadt en installeert het script eerst Java en voert daarna het Jar-bestand uit. Deze werkwijze heeft overeenkomsten met een aanval die afgelopen oktober werd waargenomen. Bij deze aanval ontvingen slachtoffers een ZIP-bestand met daarin een Jar- en een VBS-bestand. Het VBS-bestand downloadde Java als het nog niet op het systeem geïnstalleerd stond. Vervolgens werd er een RAT geïnstalleerd. bron: security.nl

Het telefoonnummer dat Facebookgebruikers opgeven om hun account met tweefactorauthenticatie (2FA) te beveiligen wordt ook door de sociale netwerksite gebruikt om gebruikers vindbaar voor anderen te maken en gebruikers kunnen zich hier niet voor afmelden. Tweefactorauthenticatie is een belangrijke beveiligingsmaatregel om accounts te beschermen. Vorig jaar kwam Facebook al onder vuur te liggen omdat het 2FA-telefoonnummer van gebruikers ook voor advertentiedoeleinden wordt gebruikt. Nu blijkt dat de standaardinstellingen van Facebook het voor iedereen mogelijk maken, zowel met als zonder account, om gebruikers via het 2FA-telefoonnummer op te zoeken. Gebruikers kunnen dit wel aanpassen naar vrienden en vrienden van vrienden, maar geheel uitschakelen is geen optie. Twitteraar Jeremy Burge haalde in een tweet uit naar Facebook omdat het 2FA-telefoonnummers gebruikt om gebruikers vindbaar te maken en dat gebruikers hier niets aan kunnen doen. Burge kreeg bijval van Alex Stamos, de voormalige chief security officer van Facebook, die stelde dat de sociale netwerksite 2FA-telefoonnummers moet loskoppelen van de zoekfunctie en advertenties. Facebook laat in een reactie tegenover TechCrunch weten dat de instelling niet nieuw is en dat het geldt voor alle telefoonnummers die gebruikers aan hun account toevoegen. Op de vraag waarom gebruikers standaard via het telefoonnummer voor iedereen vindbaar zijn, merkt de sociale netwerksite op dat het dit doet om gebruikers eenvoudiger vindbaar te maken. bron: security.nl

Zo'n 12.000 Cisco RV-routers zijn kwetsbaar voor aanvallen omdat ze via internet toegankelijk zijn en een ernstig beveiligingslek bevatten en het lijkt erop dat aanvallers inmiddels actief naar kwetsbare apparaten aan het zoeken zijn. Cisco kwam vorige week met een beveiligingsupdate voor de RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router en RV215W Wireless-N VPN Router. Een beveiligingslek in de firmware maakt het mogelijk om de router over te nemen door een speciaal geprepareerd http-verzoek naar de webinterface te versturen. De webinterface is standaard niet via internet toegankelijk, maar wel wanneer remote beheer is ingeschakeld. Dat blijkt bij zo'n 12.000 apparaten het geval te zijn. "Al deze routers zijn kwetsbaar voor aanvallen totdat ze de patch toepassen", zo laat securitybedrijf Rapid7 weten. Beveiligingsonderzoeker Troy Mursch merkt op dat er een toename van scans zichtbaar is waarbij aanvallers naar kwetsbare Cisco RV-routers lijken te zoeken. Beheerders krijgen dan ook het advies de beschikbare update te installeren. bron: security.nl

Adobe heeft een noodpatch uitgebracht voor een beveiligingslek in ColdFusion dat actief is gebruikt om systemen aan te vallen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Via de kwetsbaarheid kan een aanvaller willekeurige code in de context van de ColdFusion-service uitvoeren. Het is op deze manier mogelijk om toegang tot websites en webservers te krijgen. Om de aanval uit te kunnen voeren moet het mogelijk zijn om uitvoerbare code naar een webtoegankelijke directory te uploaden en die code via een http-verzoek uit te voeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. Zo wisten aanvallers via ColdFusion-lekken in te breken bij de Franse autofabrikant Citroën, PR Newswire en een Amerikaanse rechtbank. De kwetsbaarheid is verholpen in ColdFusion 2018 Update 3, ColdFusion 2016 Update 10 en ColdFusion 11 Update 18. Beheerders krijgen het advies om de beveiligingsupdate zo snel als mogelijk te installeren, waarbij Adobe een tijdsvenster van binnen 72 uur als voorbeeld geeft. Aanvallen kunnen ook worden voorkomen door toegang te beperken tot directories waar geüploade bestanden worden opgeslagen. bron: security.nl

Cisco heeft een zeer ernstig beveiligingslek in verschillende draadloze RV-routers gedicht waardoor een aanvaller op afstand het apparaat had kunnen overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Door het versturen van een kwaadaardig http-verzoek naar de webinterface kan een aanvaller als "high-privilege" gebruiker willekeurige code op het onderliggende besturingssysteem uitvoeren. Het beveiligingslek is aanwezig in de RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router en RV215W Wireless-N VPN Router. Cisco stelt dat de webinterface via een lokale LAN-verbinding of remote beheer toegankelijk is. Remote beheer staat standaard voor deze routers uitgeschakeld. Eigenaren krijgen het advies om de beschikbare update te installeren. Ook het Computer emergency response team (CERT) van de Belgische overheid heeft inmiddels opgeroepen om te updaten. De kwetsbare routers worden ook in Nederland verkocht. bron: security.nl

Een nieuwe versie van de Qakbot-bankmalware heeft wereldwijd duizenden computers besmet, waaronder die van cybersecuritybedrijven. Dat meldt securitybedrijf Varonis. De eerste versie van Qakbot dateert van 2009. Sindsdien zijn er allerlei nieuwe varianten van de malware verschenen. De malware is ontwikkeld om gegevens voor internetbankieren te stelen en toetsaanslagen op te slaan. De nu ontdekte versie wordt verspreidt via e-mailbijlagen. Het gaat om zip-bestanden met daarin het bestand "REQ_02132019b.doc.vbs". Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat. Zodra de gebruiker het .vbs-bestand opent wordt er informatie over het besturingssysteem en aanwezige beveiligingssoftware opgevraagd. Uiteindelijk wordt Qakbot geïnstalleerd. Varonis vond op een server van de aanvallers een logbestand met activiteiten van de malware en ip-adressen van slachtoffers. Het ging om meer dan 2700 ip-adressen, waarvan ruim 1700 in de Verenigde Staten. Het werkelijke aantal besmette systemen is waarschijnlijk hoger aangezien veel organisaties port address translation gebruiken, wat het interne ip-adres maskeert, aldus het securitybedrijf. "Van wat we kunnen zien zitten middelgrote ondernemingen en Fortune 500-bedrijven tussen de getroffen bedrijven, alsmede hun serviceproviders. Wat ook een interessant feit is, is dat we grote cybersecurityleveranciers in het overzicht van slachtoffers vonden", zegt Snir Ben Shimol van Varonis tegenover Verdict. Het is onbekend of de infecties bij deze leveranciers onderdeel van onderzoek waren of dat daadwerkelijke productiesystemen zijn getroffen. Varonis heeft de namen van deze bedrijven niet bekendgemaakt. bron: security.nl

Er is een nieuwe versie van de zeer populaire netwerksniffer Wireshark verschenen. Wireshark wordt gebruikt voor het analyseren van netwerkverkeer. Versie 3.0.0 bevat een verbeterde gebruikersinterface en ondersteunt een groot aantal nieuwe protocollen voor netwerkanalyse. De Windowsversie van Wireshark werd altijd geleverd met de WinPcap-driver voor het opslaan en versturen van netwerkpakketten. De driver wordt al lange tijd niet meer ondersteund. Daarom is in Wireshark 3.0.0 besloten om de Npcap-driver te gebruiken. Deze driver wordt actief door het Nmap-project ondersteund en is gebaseerd op de WinPcap-driver. Door het toevoegen van Npcap is er nu ondersteuning voor "loopback capture" en 802.11 WiFi monitor mode capture, als de netwerkkaart dit ondersteunt. Verder is in de nieuwe versie support voor verschillende legacy features en libraries verwijderd. Een overzicht van alle nieuwe features, aanpassingen en bugfixes is in de release notes te vinden. Wireshark 3.0.0 is te downloaden via Wireshark.org. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe campagne waarbij gehackte websites worden gebruikt om zogenaamde browserupdates te verspreiden die malware bevatten. De aanvallers voegen code aan de gecompromitteerde site toe die bezoekers een melding laat zien dat ze hun browser moeten updaten. De aangeboden "update" is in werkelijkheid malware. Volgens onderzoeker Denis Sinegubko van securitybedrijf Sucuri gaat het zowel om ransomware als bankmalware die gegevens voor internetbankieren steelt. De meeste van de besmette websites draaien op WordPress, maar het gaat ook om sites met een ander cms-platform zoals Data Life Engine en websites die niet van een contentmanagementsysteem (cms) gebruikmaken. In het geval van WordPress wordt de kwaadaardige code onderaan de footer.php-bestanden toegevoegd. Hoe de websites zijn gecompromitteerd laat Sinegubko niet weten, maar bij soortgelijke campagnes in het verleden maakten aanvallers gebruik van kwetsbaarheden in bijvoorbeeld WordPressplug-ins en zwakke wachtwoorden. bron: security.nl

Phishing blijft een probleem voor de nabije toekomst omdat menselijke beslissingen hier zo'n belangrijke rol bij spelen, zo stelt Microsoft in het vandaag verschenen Security Intelligence Report. De hoeveelheid phishingmails steeg vorig jaar, terwijl het aantal Windowscomputers dat ransomware tegenkwam afnam. Het rapport is gebaseerd op informatie die Microsoft via eigen producten zoals Security Essentials en Windows Defender verzamelt. Volgens de softwaregigant is phishing nog altijd een zeer populaire manier voor cybercriminelen om internetgebruikers aan te vallen. Het aantal phishingmails steeg tussen januari en december vorig jaar met 250 procent, aldus Microsoft. Ook het aantal "phishingclicks" neemt volgens de softwaregigant toe. "Phishing blijft een probleem voor de nabije toekomst, omdat het menselijke beslissingen en beoordelingsvermogen betreft, tegenover continue pogingen van cybercriminelen om hun slachtoffers in hun lokaas te laten trappen", zo laat Microsoft weten bron: security.nl

Gebruikers van de populaire archiveringssoftware WinRAR zijn het doelwit van verschillende aanvallen met kwaadaardige RAR-bestanden, waarbij onder andere afbeeldingen van schaars geklede dames worden gebruikt. De aanvallers maken misbruik van een kwetsbaarheid in het programma waardoor ze kwaadaardige code in de Startup-map van Windows kunnen plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd. Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen. Ondanks de beschikbaarheid van een beveiligingsupdate maken aanvallers inmiddels gebruik van de kwetsbaarheid. Zo heeft securitybedrijf 360 verschillende aanvallen gezien waarbij gebruikers worden verleid om een kwaadaardig RAR-bestand te openen. Het gaat onder andere om archiefbestanden met afbeeldingen van schaars geklede dames, vacatures en pdf-documenten over wetgeving. De aanvallen zijn onder andere gericht tegen gebruikers in Oekraïne en het Midden-Oosten. Zodra gebruikers het RAR-bestand uitpakken wordt de kwaadaardige code in de Startup-map geplaatst, die vervolgens aanvullende malware downloadt waarmee aanvallers volledige controle over het systeem krijgen. WinRAR-gebruikers krijgen het advies om te updaten naar versie 5.70. Wanneer dit niet mogelijk is wordt aangeraden om het bestand UNACEV2.DLL van het systeem te verwijderen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. bron: security.nl

Aanvallers maken misbruik van een ongepatcht beveiligingslek in de pdf-lezer van Google Chrome om gegevens over aangevallen systemen te verzamelen. Het gaat dan om ip-adres, gebruikt besturingssysteem, Chrome-versie en het volledige pad van het pdf-bestand op de computer. Dat meldt securitybedrijf EdgeSpot. Malafide pdf-bestanden die misbruik van de kwetsbaarheid maken zijn sinds december gesignaleerd. Zodra Chrome-gebruikers de pdf-bestanden met de browser openen wordt er informatie over het systeem naar een server verstuurd. Via de kwetsbaarheid is het niet mogelijk om NTLM-wachtwoordhashes te stelen, zoals onlangs nog het geval was in Adobe Reader. EdgeSpot waarschuwde Google eind december. In februari liet de internetgigant weten dat het eind april met een beveiligingsupdate voor de browser komt. Vanwege het potentiële risico voor Chrome-gebruikers heeft het securitybedrijf besloten om details nu al bekend te maken. Chrome-gebruikers krijgen het advies om een alternatieve pdf-lezer te gebruiken of de computer van internet los te koppelen als er pdf-documenten worden geopend. bron: security.nl

Met de lancering van Firefox 66 wordt het voor gebruikers mogelijk om via Windows Hello op websites en webapplicaties in te loggen. Windows Hello is de biometrische inlogfunctie van Windows 10 waarmee gebruikers zich via een scan van hun vinger, iris of gezicht of een securitykey kunnen authenticeren. Firefox ondersteunt op dit moment al Web Authentication, een open authenticatiestandaard die manieren biedt om zonder wachtwoord op websites in te loggen, bijvoorbeeld via biometrische kenmerken, tokens of andere hardware. Firefoxgebruikers kunnen op dit moment alleen via een fysieke securitykey inloggen. Met de support van Windows Hello wordt ook biometrische authenticatie mogelijk. Windows Hello wordt al door Microsoft Edge ondersteund en laat gebruikers inloggen op diensten als Outlook.com, Office 365 en OneDrive. Firefox 66 staat gepland voor 19 maart van dit jaar. bron: security.nl

Softwarebedrijf Adobe heeft het einde aangekondigd van Shockwave en Shockwave Player, een multimediaplatform dat in de browser draait en wordt gebruikt voor interactieve applicaties en spelletjes. Volgens Adobe is Shockwave Player op meer dan 450 miljoen desktops wereldwijd geïnstalleerd. Op 9 april dit jaar stopt Adobe met Shockwave en zal de Shockwave Player voor Windows niet meer worden aangeboden en ondersteund. Bedrijven met zakelijke licenties voor Adobe Shockwave zullen tot het einde van hun huidige contract ondersteuning blijven ontvangen, zo laat het softwarebedrijf op de eigen website en via e-mail weten. Aanleiding om met Shockwave te stoppen is het teruglopende gebruik en de beschikbaarheid van nieuwe technologieën zoals HTML5. Onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers laat zien dat Adobe Shockwave Player op 96 procent van de computers niet up-to-date is. Dit wordt mede veroorzaakt door het feit dat gebruikers de software handmatig moeten updaten. bron: security.nl

Onderzoekers hebben een nieuwe aanval genaamd "Thunderclap" gedemonstreerd waarbij ze computers binnen enkele seconden via Thunderbolt kunnen overnemen. Het probleem speelt bij alle computers die over een Thunderbolt-poort beschikken en op Windows, macOS, Linux en FreeBSD draaien. Met name Apple-laptops en -desktops die sinds 2011 geproduceerd zijn lopen risico, met uitzondering van de 12-inch MacBook. Veel laptops en sommige desktops die op Linux en Windows draaien en sinds 2016 geproduceerd zijn, zijn ook kwetsbaar. Door het aansluiten van een kwaadaardig Thunderbolt-apparaat is het mogelijk om willekeurige met de hoogste rechten uit te voeren en toegang tot wachtwoorden, inloggegevens voor internetbankieren, encryptiesleutels, privébestanden en andere data te krijgen, aldus de onderzoekers. Ze merken op dat de aanval ook is uit te voeren via onschuldig lijkende randapparatuur, zoals opladers en projectors die het apparaat gewoon opladen of beeld laten zien, maar gelijktijdig de aangesloten computer compromitteren. De Thunderclap-kwetsbaarheden zijn ook te misbruiken via gecompromitteerde PCI Express-randapparatuur. Oorzaak De Thunderclap-kwetsbaarheden worden veroorzaakt door het feit dat randapparatuur zoals netwerkkaarten en videokaarten vertrouwde onderdelen van een computer zijn. Ze hebben direct memory access (DMA), waarmee ze het systeemgeheugen kunnen lezen en schrijven, zonder toezicht van het besturingssysteem. DMA laat randapparatuur het securitybeleid van het besturingssysteem omzeilen. Volgens de onderzoekers zijn eerder ontwikkelde DMA-aanvallen door hackers en inlichtingendiensten gebruikt om systemen over te nemen en gevoelige data te stelen. Om eerdere DMA-aanvallen tegen te gaan kunnen besturingssystemen via de input-output memory management unit (IOMMU) geheugentoegang door randapparatuur beperken. De meeste systemen hebben IOMMU echter niet ingeschakeld of ondersteunen het niet. Zo wordt het niet ondersteund door Windows 7, Windows 8 en Windows 10 Home en Pro. Alleen macOS heeft het standaard ingeschakeld. De Thunderclap-aanval maakt gebruik van kwetsbaarheden in de manier waarop besturingssystemen IOMMU gebruiken. Zo was de beveiligingsmaatregel op Linux, wanneer ingeschakeld, eenvoudig te omzeilen. Daardoor konden de onderzoekers aangevallen systemen via DMA compromitteren. Hiervoor maakten ze gebruik van een apparaat dat zich voordeed als echte netwerkkaart, zo meldt onderzoeker Theo Markettos. Beveiligingsmaatregelen De onderzoekers stellen dat hardwarefabrikanten en ontwikkelaars van besturingssystemen oplossingen hebben uitgebracht om gebruikers te beschermen. Die krijgen dan ook het advies om beschikbare beveiligingsupdates voor hun besturingssysteem te installeren. De updates verhelpen echter niet alle mogelijkheden tot misbruik via specifieke aanvallen. De beste manier om volledig beschermd te zijn is om de Thunderbolt-poorten uit te schakelen. Door de noodzaak om legitieme randapparatuur aan te sluiten en op te laden is dit volgens de onderzoekers onhaalbaar. Een andere maatregel die gebruikers kunnen nemen is om hun computer niet onbeheerd in publiek achter te laten en geen publieke USB-C-oplaadstations te gebruiken. Ook moeten gebruikers alert zijn op het aansluiten van onbekende apparaten op de Thunderbolt-poort van de machine. Het gaat dan ook om onschuldig lijkende opladers en projectors. In het geval van Windows kan er een melding verschijnen als er een nieuw Thunderbolt-apparaat wordt aangesloten. Gebruikers moeten alleen vertrouwde apparaten goedkeuren en alleen hiervoor de Thunderbolt-features inschakelen, zo gaan de onderzoekers verder. In het geval er een onverwachte waarschuwing verschijnt moeten gebruikers die niet goedkeuren en het aangesloten apparaat weer loskoppelen. Eén grote laptopfabrikant liet de onderzoekers weten dat ze de kwetsbaarheden eerst beter willen begrijpen voordat ze Thunderbolt aan nieuwe laptopmodellen toevoegen. bron: security.nl