Captain Kirk

Mozilla heeft grote zorgen over de Australische wetgeving die techbedrijven verplicht om de autoriteiten te helpen bij het verkrijgen van toegang tot versleutelde data. Dat blijkt uit een brief die de browserontwikkelaar naar een commissie van het Australische parlement heeft gestuurd (pdf). Volgens Mozilla is de wetgeving uitermate zorgwekkend voor de veiligheid van internetgebruikers en internetinfrastructuur in Australië en daarbuiten, en stelt het geen beperkingen aan surveillance door de overheid. "Gegeven de ernstige dreiging die deze wet vormt voor de veiligheid en privacy, zijn we blij met de herziening van de wetgeving door de commissie en doen een dringend verzoek om die te verbeteren", zo laat de browserontwikkelaar weten. In de brief schrijft Mozilla dat de wetgeving nooit goedgekeurd had mogen worden en dat de beste oplossing is om de wetgeving in zijn geheel terug te trekken, en opnieuw te beginnen met een openbare raadpleging. Mozilla erkent dat de politieke wil om dit te doen, en zo de veiligheid van alle Australiërs te beschermen, mogelijk niet bestaat. Daarom doet de browserontwikkelaar verschillende aanbevelingen om de gevaarlijkste gevolgen van de wet te beperken. Zo moet de wet duidelijk maken dat de Australische autoriteiten zich niet kunnen richten op medewerkers van een communicatieprovider. Op dit moment zouden autoriteiten medewerkers kunnen dwingen om de veiligheid van systemen te verzwakken. Hierdoor zouden bedrijven alle in Australië gebaseerde medewerkers als potentiële insiderdreiging moeten beschouwen. Verder pleit Mozilla voor het invoeren van maatregelen om misbruik tegen te gaan en dat alle verzoeken geen schade mogen doen aan gebruikers die niet worden verdacht. Tevens moet het beoordelingsmechanisme worden aangepast waarbij naar alle rechten en belangen wordt gekeken. Ook ziet Mozilla graag een transparantierapport over hoe vaak er een beroep op de wet is gedaan. Onlangs maakte vpn-provider VPNSecure bekend dat het Australië wegens de encryptiewetgeving ging verlaten. bron: security.nl

Onderzoekers zijn erin geslaagd de inhoud van digitaal gesigneerde pdf-documenten aan te passen zonder dat de digitale handtekening veranderde. De handtekening geeft juist aan dat de inhoud niet is aangepast. Gesigneerde pdf-documenten worden voor allerlei toepassingen gebruikt. Het gaat bijvoorbeeld om overheidszaken. Zo is in Oostenrijk nieuwe wetgeving pas rechtsgeldig nadat het is aangekondigd in een digitaal gesigneerd pdf-document. In de Verenigde Staten kunnen burgers belastingzaken via gesigneerde pdf-documenten regelen. Het is echter mogelijk om een bestaand gesigneerd pdf-document te nemen en daarvan de inhoud aan te passen, zonder dat de digitale handtekening ongeldig wordt. Voor hun onderzoek keken onderzoekers van Ruhr University Bochum en securitybedrijf Hackmanit naar 22 pdf-lezers voor de desktop en 7 online validatiediensten. 21 van de pdf-lezers en vijf van validatiediensten bleken kwetsbaar te zijn. "We kunnen dus een document gesigneerd door invoicing@amazon.de vervalsen om ons één biljoen dollar terug te geven", aldus de onderzoekers. Ze waarschuwden de verschillende ontwikkelaars van de pdf-lezers, die vervolgens met updates en tegenmaatregelen kwamen. Toch zijn nog niet alle pdf-lezers tegen de aanvallen beschermd, zo blijkt uit het overzicht op pdf-insecurity.org bron: security.nl

Cybercriminelen maken gebruik van een recent onthuld beveiligingslek in het populaire archiveringsprogramma WinRAR om internetgebruikers met een backdoor te infecteren. De aanval begint met een e-mail die als bijlage een kwaadaardig RAR-bestand heeft. Dit RAR-bestand maakt misbruik van een kwetsbaarheid in WinRAR om een exe-bestand in de Startup-map van Windows te plaatsen. Zodra het slachtoffer zijn computer herstart wordt het exe-bestand uitgevoerd en is het systeem besmet met een backdoor. Naast het openen van het RAR-bestand met een kwetsbare WinRAR-versie moet ook User Account Control (UAC) zijn uitgeschakeld om de aanval te laten slagen. Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de Startup-map van Windows te plaatsen. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties is echter verouderd en kwetsbaar voor aanvallers. De aanval met het malafide WinRAR-bestand werd ontdekt door securitybedrijf 360. De onderzoekers stellen dat het mogelijk om de eerste malware gaat die via een WinRAR-lek wordt verspreid. bron: security.nl

Een zeer ernstig beveiligingslek in het contentplatform Drupal dat op 20 februari werd gepatcht wordt al enkele dagen door criminelen gebruikt om nog ongepatchte websites aan te vallen. Via het beveiligingslek kan een aanvaller kwetsbare websites overnemen en van kwaadaardige code voorzien. Volgens securitybedrijf Imperva zoeken aanvallers sinds 23 februari naar kwetsbare websites. In het geval de website kwetsbaar is wordt er een cryptominer aan de website toegevoegd, die in de browser van bezoekers wordt uitgevoerd. Daarbij wordt de rekenkracht van de computer van de bezoekers ingezet om cryptovaluta te delven. Ook installeren de aanvallers een shell uploader waarmee ze willekeurige bestanden kunnen uploaden. Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt. Volgens cijfers van Drupal zijn er 315.000 websites die op Drupal 8 draaien. Zoals gezegd zijn deze websites alleen kwetsbaar als ze van een bepaalde module gebruikmaken en de beschikbare update nog niet hebben geïnstalleerd. In het verleden zijn ernstige Drupal-lekken vaker kort na het uitkomen van een update gebruikt om kwetsbare websites aan te vallen. bron: security.nl

Aanvallen zoals Spectre en Meltdown zijn voorlopig nog niet in processors opgelost, zo stellen verschillende onderzoekers van Google. Spectre en Meltdown zijn zogeheten "side-channel" kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen. Sinds de ontdekking van de twee aanvallen vorig jaar hebben Intel, alsmede andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. "Onze modellen, onze mentale modellen zijn verkeerd. We hebben al die tijd security ingeruild voor prestaties en complexiteit en we hadden geen idee", zeggen Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest van Google. Volgens de onderzoekers is er decennia lang gedacht dat de security van programmeertalen in combinatie met statische en dynamische controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte. Het onderzoek van de Googlers laat zien dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit. De kwetsbaarheden in combinatie met de huidige processors zorgen ervoor dat de vertrouwelijkheid die middels de programmeertaal wordt afgedwongen, "compleet vernietigd" kan worden. Het isoleren van de hardware en besturingssysteemprocessen is dan ook dringend nodig, aldus de onderzoekers. Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven namelijk kwetsbaar voor side-channelaanvallen, zo stellen ze. De onderzoekers spreken zelfs van drie gigantische problemen, namelijk het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan. "Het is een pijnlijke ironie dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. En complexiteit zorgt ervoor dat deze drie problemen nog veel lastiger zijn. Spectre is dan ook toepasselijk zo genoemd, aangezien het ons nog lange tijd zal achtervolgen", concluderen de onderzoekers. bron: security.nl

Cybercriminelen gebruiken het zakelijke sociale netwerk LinkedIn om gebruikers met malware te infecteren, zo waarschuwt securitybedrijf Proofpoint. De aanvallers proberen via nepprofielen contact met het slachtoffer te maken en doen zich voor als een uitzendbureau met een interessante vacature. Zodra er contact is gemaakt sturen de aanvallers een e-mail die een pdf-document of link bevat. Zowel het pdf-document als de link wijzen naar een malafide website die lijkt op de website van een echt uitzendbureau en een malafide vacture aanbiedt. Het betreft een Word-bestand met een kwaadaardige macro. Als gebruikers de macro inschakelen wordt er een backdoor op het systeem geïnstalleerd. Volgens Proofpoint hebben de aanvallers het vooral voorzien op Amerikaanse bedrijven in verschillende industrieën, waaronder retail, entertainment en farmacie. bron: security.nl

Aanvallers hebben in december bij videoberichtenapp Dubsmash de privégegevens van zo'n 162 miljoen gebruikers gestolen, waaronder gehashte wachtwoorden, telefoonnummers en e-mailadressen. Dat heeft beveiligingsonderzoeker Troy Hunt bevestigd. De gegevens worden op internet te koop aangeboden. Op 11 februari kwam The Register met het bericht dat verschillende grote websites waren gehackt en dat de gestolen gegevens van 617 miljoen accounts op internet te koop werden aangeboden. Dubsmash waarschuwde gebruikers en publiceerde een FAQ dat het onbekend was welke gegevens precies waren gestolen en hoeveel gebruikers waren getroffen. Hunt laat vandaag weten dat het gaat om e-mailadressen, geografische locaties, namen, met PBKDF2 gehashte wachtwoorden, telefoonnummers, gesproken talen en gebruikersnamen van bijna 162 miljoen gebruikers. De onderzoeker is ook de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 6,7 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de bijna 162 miljoen gestolen e-mailadressen van Dubsmash was 25 procent al via een ander datalek bij Have I Been Pwned bekend. Vanwege het datalek heeft Dubsmash gebruikers geadviseerd om hun wachtwoord te wijzigen. In het geval gebruikers ook hun telefoonnummer hadden opgegeven wordt aangeraden om extra beveiligingsmaatregelen bij de telecomprovider te laten treffen, om zo te voorkomen dat iemand via sim-swapping het nummer steelt. Hoe de database van Dubsmash kon worden gestolen is niet bekendgemaakt. bron: security.nl

Verschillende eigenaren van een D-Link DNS-320 NAS zijn getroffen door ransomware die allerlei bestanden op het apparaat versleutelt. Hoe de NAS-systemen besmet konden raken is op dit moment nog onbekend, maar vermoedelijk maken de aanvallers gebruik van kwetsbaarheden in de firmware. Sommige gebruikers die door de "Cr1ptT0r-ransomware" werden getroffen bevestigden dat ze verouderde firmware gebruikten en het apparaat op internet was aangesloten. In 2012 werd er een kwetsbaarheid in de DNS-320 gevonden waardoor een aanvaller op afstand code op de NAS-systemen kan uitvoeren. De DNS-320 NAS wordt inmiddels niet meer door D-Link aangeboden en de laatste firmware-update dateert van 2016. Vorig jaar werd bekend dat er in oudere firmwareversies van de DNS-320L ShareCenter een hardcoded backdoor aanwezig is waardoor een aanvaller beheerderstoegang kan krijgen. Voor het ontsleutelen van alle bestanden moeten slachtoffers zo'n 1200 dollar betalen. Het is ook mogelijk om een enkel bestand te ontsleutelen, waarvoor 20 dollar moet worden betaald. Gebruikers moeten in dit geval het versleutelde bestand naar de aanvallers sturen, waarna het ontsleutelde bestand wordt teruggestuurd, zo meldt Bleeping Computer. bron: security.nl

Firefox gaat deze zomer standaard third-party trackers blokkeren, zodat gebruikers niet meer over meerdere websites kunnen worden gevolgd. Een maatregel die zowel voor adverteerders, websites als rapportages over het marktaandeel van Firefox gevolgen zal hebben. Dat heeft Mozillas Jen Simmons bekendgemaakt. De browserontwikkelaar wil dit jaar actiever de privacy van Firefoxgebruikers gaan beschermen. De afgelopen maanden zijn er al verschillende opties aan de browser toegevoegd om first- en third-party trackers en cookies te blokkeren. Gebruikers moeten deze privacymaatregelen op dit moment nog zelf inschakelen. Mozilla heeft echter aangekondigd dat het cross-site trackingcookies standaard gaat blokkeren. Bij cross-site tracking worden internetgebruikers over meerdere websites gevolgd. Het gaat dan onder andere om advertentietrackers die voor gerichte advertenties worden gebruikt. De maatregel zal dan ook worden gevoeld door advertentiebedrijven, maar zou uitgevers en websites op de lange termijn helpen, aldus Mozilla. De browserontwikkelaar stelt dat het blokkeren van deze trackers ervoor kan zorgen dat websites niet goed meer werken. Met name bij websites die third-party content integreren. Daarom is Mozilla begonnen met het testen van de maatregel onder een selecte groep gebruikers. Het was nog onduidelijk wanneer de maatregel zou worden ingeschakeld, maar Simmons meldt dat het deze zomer zal gebeuren. Het blokkeren van trackers heeft ook gevolgen voor Firefox zelf. Het zorgt er namelijk voor dat het marktaandeel van Firefox in overzichten kleiner wordt weergegeven dan het in werkelijkheid is. Mozilla zegt het beschermen van gebruikers belangrijker te vinden dan metingen over het marktaandeel. Het verkeerd weergeven van het marktaandeel kan er ook voor zorgen dat webontwikkelaars geen rekening met Firefox houden, omdat ze denken dat minder mensen de browser gebruiken dan daadwerkelijk het geval is. bron: security.nl

Twee van de grootste datalekken van vorig jaar, waarbij gegevens van 235 miljoen mensen werden gestolen, zijn aan de zoekmachine Have I Been Pwned toegevoegd. Het gaat om de inbraken bij MyFitnessPal, een app van sportkledingfabrikant Under Armour, en dna-testdienst MyHeritage. Bij MyFitnessPal wisten criminelen 144 miljoen unieke e-mailadressen en gebruikersnamen te stelen, alsmede ip-adressen en met sha-1 en bcrypt gehashte wachtwoorden. De data van MyFitnessPal-gebruikers werd begin dit jaar op internet te koop aangeboden, zo meldt onderzoeker Troy Hunt, beheerder van Have I Been Pwned. Via de zoekmachine kunnen gebruikers in meer dan 6,7 miljard gestolen records zoeken of hun data ooit bij een website is gestolen. Van de ruim 144 miljoen gestolen e-mailadressen van MyFitnessPal-gebruikers was 59 procent al via een ander datalek bij Have I Been Pwned bekend. Dna-testdienst MyHeritage meldde vorig jaar juni dat het in 2017 getroffen was door een datalek waarbij gegevens van 92 miljoen gebruikers waren buitgemaakt. Het ging om meer dan 92 e-mailadressen en gesalte sha-1 wachtwoordhashes. Ook gegevens van dit datalek werden begin dit jaar op internet te koop aangeboden, aldus Hunt. Van de ruim 92 miljoen gestolen e-mailadressen was 61 procent al via een ander datalek bij Have I Been Pwned bekend. In de praktijk blijkt dat aanvallers de wachtwoordhashes proberen te kraken, om zo het wachtwoord te achterhalen en voor credential stuffing te gebruiken. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. bron: security.nl

Ruim 100.000 Chrome-extensies in de Chrome Web Store hebben geen privacybeleid waarin staat vermeld hoe er met gegevens van de gebruiker wordt omgegaan. Verder gebruiken 38.000 extensies third-party libraries met bekende kwetsbaarheden en kunnen meer dan 42.000 extensies alle data op bezochte websites lezen. Dat blijkt uit onderzoek van securitybedrijf Duo. In de Chrome Web Store zijn 180.000 items te vinden, waaronder extensies, themes en Chrome-apps. De onderzoekers vonden en verwerkten meer dan 120.000 Chrome-extensies en -apps. Vervolgens werden de onderzochte extensies en apps op verschillende onderdelen beoordeeld. Bijna 85 procent van de onderzochte extensies heeft geen privacybeleid, wat op meer dan 100.000 extensies neerkomt. Tevens kan 9 procent van de extensies de cookies van de gebruiker lezen. Volgens de onderzoekers moeten organisaties dan ook goed kijken welke Chrome-extensies ze binnen hun omgeving toestaan. bron: security.nl

Adobe heeft voor de tweede keer deze maand een beveiligingsupdate uitgebracht voor een ernstig beveiligingslek in Acrobat Reader waardoor het mogelijk was om NTLMv2-wachtwoordhashes van gebruikers te achterhalen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. Adobe heeft de afgelopen jaren verschillende keren beveiligingslekken gepatcht waardoor het mogelijk was voor een aanvaller om de NTLM-hash te stelen. Onderzoeker Alex Inführ ontdekte onlangs dat dergelijke aanvallen tegen de pdf-lezer nog steeds mogelijk zijn. De onderzoeker maakte details van het beveiligingslek bekend voordat er een update van Adobe beschikbaar was. Op dinsdag 12 februari verscheen er een update van het softwarebedrijf om gebruikers te beschermen. De oplossing van Adobe bleek niet adequaat en kon door een aanvaller worden omzeild, waardoor het nog steeds mogelijk was om via een kwaadaardig pdf-document wachtwoordhashes van slachtoffers te stelen. Daarom heeft Adobe weer een update uitgebracht. Informatielekken worden meestal niet als ernstig bestempeld. Aangezien het in dit geval mogelijk is om wachtwoordhashes te stelen spreekt Adobe nu wel van een ernstige kwetsbaarheid. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20098, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30127, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30482 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

Vorig lanceerde Mozilla de wachtwoordmanager Lockbox voor de iOS-versie van Firefox, maar een versie voor Firefox Desktop is ook in ontwikkeling. Dat heeft de browserontwikkelaar bekendgemaakt. Lockbox is een wachtwoordmanager waarmee gebruikers de wachtwoorden die ze in de desktopversie van Firefox hebben opgeslagen ook op hun smartphone of tablet kunnen gebruiken. Om van Lockbox gebruik te kunnen maken moeten gebruikers wel eerst een Firefox Account aanmaken. Vervolgens moeten gebruikers op hun mobiele toestel op het Firefox Account inloggen en zullen alle wachtwoorden worden gesynchroniseerd. Toegang tot de app kan zowel met Face ID als de vingerafdrukscanner worden beveiligd. Mozilla meldt nu dat er ook een Lockbox voor de desktopversie van Firefox in ontwikkeling is. Deze versie zal als webextensie beschikbaar worden gemaakt. Op dit moment is Lockbox beschikbaar als Engelstalige app voor iOS-gebruikers. Volgens de FAQ is die alleen door gebruikers in bepaalde regio's te gebruiken, waaronder Australië, Nieuw-Zeeland, Verenigd Koninkrijk en Canada. Een Android-versie is ook in ontwikkeling. Wanneer de Android-versie en webextensie verschijnen is nog niet bekend. bron: security.nl

De ontwikkelaars van het contentplatform Drupal hebben beveiligingsupdates uitgebracht voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand PHP-code kan uitvoeren en de website kan overnemen. Het beveiligingslek is door het Drupal-team als zeer ernstige bestempeld. Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt. Beheerders van Drupal-websites krijgen het advies om te upgraden naar Drupal 8.6.10 of Drupal 8.5.11. In het geval van Drupal 7 vereist de Services module geen update op dit moment. Voor verschillende zogeheten "Drupal 7 contributed modules" zijn wel updates uitgekomen. Om de kwetsbaarheid meteen te verhelpen kunnen beheerders alle web services modules uitschakelen of de webserver zo configureren dat PUT/PATCH/POST-verzoeken naar web services niet worden toegestaan. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet. bron: security.nl

Internetgebruikers die anoniem bestanden willen uitwisselen of niet willen dat hun bestanden op de servers van grote techbedrijven belanden kunnen voortaan van OnionShare 2 gebruikmaken. OnionShare is een opensourcetool voor het beveiligd en anoniem uitwisselen van bestanden via het Tor-netwerk. De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken. "In tegenstelling tot diensten zoals e-mail, Google Drive, DropBox, WeTransfer of bijna alle andere manieren waarop mensen bestanden onderling uitwisselen, geef je met OnionShare bedrijven geen toegang tot de bestanden die je deelt. Zolang je het niet te raden Tor-adres op een veilige manier uitwisselt, kan niemand behalve jij en de persoon met wie je deelt je bestanden benaderen", aldus Micah Lee, die bij de ontwikkeling was betrokken. De tool is te downloaden via onionshare.org. bron: security.nl

Mozilla is onder een selecte groep Firefoxgebruikers begonnen met het testen van de verbeterde trackingbescherming die onlangs werd aangekondigd. Om de privacy van Firefoxgebruikers te beschermen wil de browserontwikkelaar cookies en opslagtoegang van third-party trackers standaard gaan blokkeren. Dit kan echter gevolgen hebben voor de werking van websites. Daarom heeft Mozilla besloten om "content blocking" onder een selecte groep Firefoxgebruikers te testen. Mochten deze gebruikers op websites tegen problemen aanlopen, dan kunnen ze dit melden. Daarnaast is het mogelijk om de trackingbescherming op de betreffende website uit te schakelen, zodat die wel werkt. Mozilla zegt de resultaten van het experiment te monitoren, zodat gebruikers straks, als de trackingbescherming standaard wordt ingeschakeld, zo min mogelijk hinder ondervinden. bron: security.nl

Het afgelopen jaar zijn duizenden webwinkels getroffen door formjacking, waarbij criminelen allerlei vertrouwelijke gegevens wisten te stelen van klanten die een online bestelling plaatsen. Dat laat anti-virusbedrijf Symantec in het jaarlijkse dreigingsrapport weten. Bij formjacking wordt er kwaadaardige code aan de betaalpagina van de webwinkel toegevoegd die door de klant ingevoerde gegevens terugstuurt naar de criminelen. Criminelen hebben het met name voorzien op creditcardgegevens, waarmee vervolgens wordt gefraudeerd. Formjacking bij webwinkels komt al jaren voor. Sinds 2016 weten criminelen op deze manier creditcardgegevens en andere data van online consumenten te stelen. Vorig jaar kende deze vorm van cybercrime volgens Symantec een doorbraak. Zo kregen verschillende grote webwinkels en bedrijven met formjacking te maken, waaronder Ticketmaster, British Airways en elektronicawebwinkel Newegg. Om de kwaadaardige code op de betaalpagina van de webwinkel te krijgen maken criminelen onder andere gebruik van third-party code die op een webwinkel draait. Het gaat dan bijvoorbeeld om scripts die webwinkels op hun website plaatsen om met klanten te communiceren, voor het verzamelen van klantbeoordelingen gebruiken of voor gerichte advertenties inzetten. Criminelen weten deze scripts aan te passen en van kwaadaardige code te voorzien die ingevoerde gegevens onderschept. Hierdoor worden alle webwinkels getroffen die van het betreffende script gebruikmaken. In andere gevallen wordt de webwinkel direct gehackt, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware Magento. Het gaat dan om bekende beveiligingslekken waarvoor beveiligingsupdates beschikbaar zijn, maar die niet door de beheerders zijn uitgerold. Symantec stelt dat elke maand 4800 unieke webwinkels het slachtoffer van formjacking worden. Het zijn met name kleine- en middelgrote retailers die volgens Symantec hiermee te maken krijgen. Afgelopen november verscheen er onderzoek van de Nederlandse beveiligingsonderzoeker Willem de Groot waarin werd gesteld dat door formjacking getroffen webwinkels vaak snel opnieuw besmet worden. Zo worden er na de initiële hack overal backdoors en adminaccounts op de server toegevoegd. Ook maken criminelen gebruik van database-triggers en verborgen periodieke taken om de kwaadaardige code weer aan de pagina's toe te voegen. Een andere reden is het gebruik van obfuscatietechnieken waardoor de kwaadaardige code lastig van legitieme code is te onderscheiden. bron: security.nl

Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland. De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk. "Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is. bron: security.nl

De ontwikkelaars van de populaire archiefsoftware WinRAR hebben besloten om de ondersteuning van het ACE-formaat te stoppen wegens een beveiligingslek. ACE is net als ZIP en RAR een archiefformaat. De DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden, zo ontdekten onderzoekers van securitybedrijf Check Point. Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de startup-map van Windows te plaatsen. Dit bestand zou bij een herstart van het systeem worden uitgevoerd en de aanvaller volledige controle over de computer kunnen geven. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft is besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 beta 1 en nieuwer te stoppen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. Het is daardoor ook een aantrekkelijk doelwit voor aanvallers. Vorig jaar oktober loofde een bedrijf dat zero-days van onderzoekers inkoopt nog een beloning uit van 100.000 dollar voor zero-days in WinRAR. bron: security.nl

Een beveiligingslek in WordPress maakt het mogelijk voor aanvallers om kwetsbare websites over te nemen en een update die het probleem verhelpt is nog niet beschikbaar. Via de kwetsbaarheid kan een WordPress-gebruiker met de rol van auteur of hoger willekeurige PHP-code op de onderliggende server uitvoeren en zo de website volledig overnemen. De kwetsbaarheid werd door securitybedrijf RIPS Technologies ontdekt en op 16 oktober vorig jaar aan het WordPress-ontwikkelteam gemeld. Op dat moment bleek dat het beveiligingslek al 6 jaar in de code van WordPress aanwezig was. Afgelopen december kwam het WordPress-team met WordPress 5.0.1. Deze update verhelpt niet de kwetsbaarheid, maar zorgt ervoor dat de aanvalsvector niet meer werkt. WordPress-sites lopen echter nog steeds risico. Doordat het onderliggende probleem niet is verholpen kan de aanvalsvector nog steeds aanwezig zijn als er kwetsbare plug-ins zijn geïnstalleerd. Via de plug-ins is het mogelijk om het beveiligingslek aan te vallen. WordPress heeft inmiddels een patch ontwikkeld die het probleem wel verhelpt, maar die patch is nog niet uitgerold. Het is ook nog onbekend wanneer deze update zal verschijnen. RIPS Technologies heeft nu besloten om de details toch openbaar te maken aangezien WordPress vier maanden de tijd heeft gehad om met een werkende update te komen. Daarnaast heeft het bedrijf ook een soortgelijke kwetsbaarheid bij WordPress gemeld die nog niet is gepatcht, maar over dit lek zijn geen details gegeven. Zowel het eerste beveiligingslek, waarvoor een patch is ontwikkeld maar nog niet uitgerold, als de tweede kwetsbaarheid die nog niet is gepatcht, vereisen dat een aanvaller met de rechten van "auteur" content aan een WordPress-site kan toevoegen. WordPress-sites krijgen het advies om in ieder geval de meest recente versie te installeren en te kijken naar plug-ins waar aanvallers misbruik van zouden kunnen maken. bron: security.nl

Een kwetsbaarheid in de populaire IRC-client mIRC laat een aanvaller op afstand code uitvoeren en zo in het ergste geval systemen volledig overnemen. Een beveiligingsupdate is beschikbaar en gebruikers krijgen het advies om zo snel als mogelijk te updaten naar versie 7.55 die op 8 februari uitkwam. MIRC is een Internet Relay Chat (IRC) client voor Windows waarvan de eerste versie in 1995 verscheen. Sindsdien is het programma alleen via Download.com al ruim 42 miljoen keer gedownload. MIRC maakt net zoals allerlei andere programma's gebruik van een eigen URI protocol handler. URI staat voor Uniform Resource Identifier en is een reeks karakters om een naam of bron te identificeren, zoals een URL. De IRC-client registreert zich als standaardprogramma voor een bepaald protocol, zoals "mircurl://" of "irc://". Onderzoekers van ProofOfCalc ontdekten dat de protocol handlers van mIRC bepaalde parameters niet goed escapen. Daardoor kan een aanvaller op afstand een configuratiebestand laden en zo automatisch willekeurige code uitvoeren. De enige vereiste is dat het slachtoffer een malafide link opent, zo laten de onderzoekers in hun demonstratie zien. Aangezien er nu een exploit voor de kwetsbaarheid beschikbaar is doen gebruikers er verstandig aan om de update te installeren. bron: security.nl

Om Firefox-gebruikers tegen malafide extensies te beschermen heeft Mozilla verschillende maatregelen aangekondigd, waaronder het aanbieden van een lijst met handige en waardevolle extensies. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. "Het vinden van de balans tussen openheid en security is een zeer lastig probleem om op te lossen, maar we gaan het aanpakken door dit jaar en volgend jaar een aantal aanpassingen aan het ecosysteem door te voeren", zegt Nick Nguyen van Mozilla. De browserontwikkelaar zal gebruikers een lijst bieden met handige en waardevolle extensies. Daarnaast wil Mozilla gebruikers helpen bij het beter begrijpen van de risico's die extensies kunnen vormen en hen de tools geven om deze risico's te beheren. Tevens wil Mozilla het risico verkleinen van het tonen van potentieel kwaadaardige extensies via de eigen producten en diensten. "Nu we de toekomst van add-ons verkennen blijft de veiligheid en privacy van gebruikers een prioriteit. We zullen verschillende dingen testen en proberen, en met ontwikkelaars samenwerken om een goed uitgangspunt te vinden waar we zeker zijn dat onze gebruikers veilig zijn als ze Firefox gebruiken", besluit Nguyen. bron: security.nl

Bijna 60 domeinen konden bij gebruikers van Microsoft Edge Flash-content uitvoeren zonder dat gebruikers hier toestemming voor moesten geven. Google-onderzoeker Ivan Fratric wist 56 van de 58 gehashte domeinen op de whitelist van Microsoft te kraken en ontdekte dat tal van opmerkelijke domeinen de Flash Click2Play-beveiliging van Edge mochten omzeilen. Het ging onder andere om de website van een Spaanse kapper en een aanbieder van multimedia posters. De Click2Play-beveiliging zorgt ervoor dat gebruikers eerst op een bevestiging moeten klikken voordat de Flash-content wordt uitgevoerd. Volgens Fratric is de whitelist van Microsoft voor verschillende redenen onveilig. Zo is het mogelijk om via cross-site scripting op de gewhiteliste domeinen de Click2Play-beveiliging te omzeilen. Fratric merkt op dat er verschillende bekende en ongepatchte cross-site scripting-kwetsbaarheden op een aantal van de gewhiteliste domeinen aanwezig zijn. De whitelist is daarnaast niet beperkt tot https, waardoor een aanvaller via een man-in-the-middle-aanval Click2Play kan omzeilen. De Google-onderzoeker waarschuwde Microsoft op 26 november vorig jaar. Vorige week werd het probleem door Microsoft verholpen. De whitelist is naar twee domeinen teruggebracht en vereist nu de aanwezigheid van https. bron: security.nl

Het hoofdwachtwoord van wachtwoordmanagers is in bepaalde gevallen uit het geheugen van de pc te halen, zo hebben onderzoekers van Independent Security Evaluators aangetoond. Een aanvaller die hier misbruik van wil maken moet toegang tot de computer hebben, bijvoorbeeld via malware of fysiek. Volgens de onderzoekers en de aanbieders van wachtwoordmanagers vormt het probleem dan ook een klein risico voor gebruikers. Voor het onderzoek werd er gekeken naar de wachtwoordmanagers 1Password 7, 1Password 4, Dashlane, KeePass en LastPass op Windows 10. De onderzoekers wilden weten of er informatie van de wachtwoordmanagers uit het geheugen kan worden gehaald als de wachtwoordmanagers nog niet zijn gestart, zijn gestart en ontgrendeld en zijn gestart, maar de gebruiker vervolgens is uitgelogd. Bij geen van de wachtwoordmanagers is het mogelijk om informatie uit het geheugen te stelen als de programma's nog niet zijn gestart. In de ontgrendelde staat konden de onderzoekers het hoofdwachtwoord en andere geheimen die in de wachtwoordmanagers waren opgeslagen uit het geheugen halen. Iets wat volgens de onderzoekers waarschijnlijk wordt veroorzaakt door geheugenlekken. Tegenover de Washington Post laat LastPass weten dat het deze week met een update komt. Dashlane zou ook aan een oplossing werken. KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico. Ook de onderzoekers stellen dat zelfs wanneer de wachtwoordmanagers alles goed zouden doen, een aanvaller nog steeds via een keylogger of "clipboard sniffing" toegang tot wachtwoorden kan krijgen, aangezien de wachtwoordmanagers hier geen bescherming tegen bieden. bron: security.nl

Slachtoffers van de nieuwste versie van de GandCrab-ransomware kunnen nu gratis hun bestanden ontsleutelen. De Roemeense politie heeft in samenwerking met anti-virusbedrijf Bitdefender en Europol een tool ontwikkeld waarmee slachtoffers hun bestanden kosteloos kunnen terugkrijgen. GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. Eenmaal actief versleutelt de ransomware allerlei bestanden en vraagt honderden euro's voor het ontsleutelen van de bestanden. De eerste versie van de ransomware werd vorig jaar januari opgemerkt. Volgens Europol heeft de ransomware sindsdien meer dan 500.000 slachtoffers gemaakt. Vorig jaar februari verscheen er al een decryptietool voor GandCrab. Deze tool werkte echter alleen bij de eerste versie van de ransomware. Na het verschijnen van de decryptietool ontwikkelden de criminelen achter GandCrab een nieuwe versie waarbij de decryptietool niet meer werkte. In oktober werd er een nieuwe decryptietool ontwikkeld die ook met GandCrab-versies 4 en 5 werkte. Deze twee gratis decryptietools zijn meer dan 400.000 keer gedownload en hebben zo'n 10.000 slachtoffers geholpen met het kosteloos terugkrijgen van hun bestanden. De nieuwste decryptietool die vandaag is gelanceerd werkt zowel met de oudere versies, als met versie 5.0.4 tot en met versie 5.1, de laatste versie van de ransomware. De GandCrab-decryptietool is te downloaden via de website van No More Ransom, een project van de Nederlandse politie, Europol en verschillende antivirus- en securitybedrijven. bron: security.nl