Captain Kirk

Ruim 72.000 WordPress-sites zijn kwetsbaar door een beveiligingslek in een plug-in die ze gebruiken en waardoor een aanvaller zonder inloggegevens de database kan verwijderen om vervolgens als beheerder in te loggen. Het gaat om "ThemeGrill Demo Importer", een plug-in waarmee themes, content en widgets van het bedrijf ThemeGrill zijn te gebruiken. Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Een voorwaarde is wel dat een theme van ThemeGrill is geactiveerd. Om automatisch als beheerder te worden ingelogd moet er daarnaast een gebruiker met de naam "admin" in de database aanwezig zijn. De kwetsbaarheid werd op 6 februari aan de ontwikkelaars van de plug-in gerapporteerd. Die kwamen op 15 februari met een beveiligingsupdate, herkenbaar aan het versienummer 1.6.2. De meeste websites die van de plug-in gebruikmaken zijn echter nog steeds kwetsbaar. Volgens cijfers van WordPress is de plug-in op meer dan 100.000 WordPress-sites actief. Sinds 15 februari is de nieuwste versie ruim 28.000 keer gedownload, wat inhoudt dat zeker 72.000 WordPress-sites risico lopen. Mogelijk dat het aantal kwetsbare websites nog veel hoger ligt. De onderzoekers van WebArx claimen namelijk dat de plug-in op meer dan 200.000 WordPress-sites actief is, terwijl ThemeGrill stelt dat de themes door meer dan 300.000 websites worden gebruikt. bron: security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN) heeft vorig jaar samen met .nl-registrars en andere partners 4400 domeinnamen van nepwebwinkels offline gehaald. Het ging in vrijwel alle gevallen om unieke webshops. Elke domeinnaam was aan een andere winkel gekopieerd. "Het is wel zo dat de winkels vaak erg veel op elkaar lijken, dus als het ware kopieën zijn", laat een woordvoerder van SIDN tegenover Security.NL weten. SIDN maakt gebruik van een scantool die .nl-websites controleert op kenmerken die kunnen duiden op een nepwebwinkel. Het gaat om ongeveer negen eigenschappen, waaronder het tijdstip van de domeinnaamregistratie, het voor de registratie gebruikte e-mailadres en of de domeinnaam al eerder door iemand anders was geregistreerd. "Zo valt op dat veel nepwebwinkels tijdens Chinese kantoortijden worden geregistreerd. Ook is er vaak sprake van een herregistratie. Een domeinnaam die wordt opgezegd kan na 40 dagen opnieuw worden geregistreerd. Meer dan de helft van de verdachte domeinen werd direct na deze periode opnieuw geregistreerd", zegt Thymen Wabeke van SIDN Labs. Wanneer de scantool van SIDN een mogelijk nepwebshop detecteert wordt die vervolgens nog handmatig door een medewerker gecontroleerd, om te voorkomen dat bonafide webwinkels ten onrechte offline worden gehaald. Blijkt het een malafide webshop te zijn, dan wordt de registrar waar de domeinnaam is geregistreerd gewaarschuwd en gevraagd de website uit de lucht te halen. Bij verdachte domeinnamen waar de gegevens van de domeinnaamhouder ontbreken of onjuist zijn, mag SIDN - als de identiteit van de houder niet binnen vijf dagen wordt aangetoond - de nameservers ontkoppelen. Dan is er geen verwijzing meer naar de website, waardoor deze onbereikbaar wordt via die specifieke domeinnaam. Volgens Roelof Meijer, algemeen directeur van SIDN, is het ook belangrijk dat internetgebruikers op bepaalde eigenschappen van een webwinkel letten, zoals een KvK-registratie, gebrekkige Nederlandse teksten en prijzen. "Lijkt de prijs te mooi om waar te zijn? Dan is dat vaak ook zo", aldus Meijer. bron: security.nl

De Tsjechische privacytoezichthouder is een onderzoek naar antivirusbedrijf Avast gestart wegens de verkoop van gebruikersgegevens aan derde partijen. Volgens Ivana Janu, hoofd van het Office for Personal Data Protection, is er een vermoeden van een ernstige en uitgebreide privacyschending. Avast had een dochteronderneming genaamd Jumpshot die gegevens van Avast-gebruikers verwerkte. Vervolgens werd de, volgens Avast geanonimiseerde data, aan klanten verkocht. Het ging onder andere om Google en Microsoft. Die konden zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website ging. Het ging onder andere om zoekopdrachten, bekeken locaties op Google Maps, bezochte LinkedIn-pagina's, bekeken YouTube-video's en andere zaken. Vanwege de ophef die ontstond besloot Avast het bedrijf Jumpshot te sluiten. Nu blijkt dat de Tsjechische privacytoezichthouder een voorlopig onderzoek naar de verkoop van de gegevens is gestart. "Op het moment verzamelen we informatie over de zaak. Er is een vermoeden van een ernstige en uitgebreide schending in de bescherming van de persoonlijke data van gebruikers. Gebaseerd op de onderzoeksresultaten zullen er verdere stappen worden ondernomen en het publiek zal te zijner tijd worden geïnformeerd", aldus Janu. Avast laat in een reactie tegenover Vice Magazine weten dat het volledig zal meewerken met het onderzoek van de toezichthouder. bron: security.nl

Onderzoekers hebben een computervirus ontdekt dat alle exe-bestanden op pc's infecteert. Volgens antivirusbedrijf Kaspersky is "Kbot" het eerste echte virus in jaren dat het heeft ontdekt. Kbot kan op verschillende manieren op computers terechtkomen, bijvoorbeeld via usb-sticks of het downloaden van bestanden van het internet. Eenmaal actief infecteert Kbot alle exe-bestanden op aangesloten logische schijven en gedeelde netwerkmappen. Hiervoor voegt het virus kwaadaardige polymorfische code toe aan het exe-bestand. Zodra dit exe-bestand op een schoon systeem wordt gestart zorgt Kbot ervoor dat het automatisch bij het starten van het systeem wordt geladen. Het virus is ontwikkeld om gegevens van gebruikers te stelen. Zo maakt het gebruik van webinjects. Via een webinject kan er op een besmette computer bijvoorbeeld informatie aan een banksite worden toegevoegd. Het kan dan gaan om extra invoervelden die aanvullende vertrouwelijke gegevens vragen. Tevens kan Kbot aanvullende modules downloaden voor het stelen van wachtwoorden, gegevens voor cryptowallets en andere zaken. Gestolen data wordt in een virtueel systeem opgeslagen, wat het lastig maakt om te detecteren, aldus de onderzoekers. "Het Kbot-virus is een serieuze dreiging, omdat het zich snel op het systeem en lokale netwerk kan verspreiden door uitvoerbare bestanden te besmetten, zonder dat die te herstellen zijn", zegt Anna Malina van Kaspersky. Ze merkt op dat Kbot door het injecteren van code in draaiende processen de computer ernstig vertraagt. De meeste infecties met het virus zijn in Rusland waargenomen. bron: security.nl

Gebruikers van Firefox en Internet Explorer waren recentelijk doelwit van een zerodayaanval die de naam "Double Star" heeft gekregen en waarbij werd geprobeerd om systemen met malware te infecteren. De aanvallers maakten niet alleen gebruik van websites, maar ook van Microsoft Office-documenten om gebruikers met kwetsbare browsers aan te vallen. Dat stelt securitybedrijf Qihoo 360 in een analyse. Onderzoekers van het bedrijf ontdekten de aanval en waarschuwden Microsoft en Mozilla. Gezien het CVE-nummer dat de twee browserkwetsbaarheden kregen werd het Firefox-lek eerst ontdekt. Volgens de softwarebedrijven was het zerodaylek bij gerichte aanvallen misbruikt, maar verdere details werden niet gegeven. Uit de analyse van Qihoo 360 blijkt dat het zerodaylek onder andere werd gecombineerd met een oudere kwetsbaarheid in Microsoft Office. Via dit oude beveiligingslek, waarvoor in 2017 een update verscheen, werd een webpagina met exploitcode geladen. Het uiteindelijke doel van de aanval is de installatie van malware waarmee de aanvallers volledige controle over het systeem hebben. Mozilla kwam op 8 januari met een noodpatch voor de kwetsbaarheid. Microsoft waarschuwde op 17 januari voor het probleem en publiceerde een tijdelijke oplossing. Gisterenavond verscheen de beveiligingsupdate voor Internet Explorer. Het probleem is ook aanwezig in Internet Explorer 11 voor Windows 7. Gebruikers van deze Windowsversie ontvangen de beveiligingsupdate alleen als ze over een onderhoudscontract beschikken, aangezien de ondersteuning van Windows 7 vorige maand afliep. bron: security.nl

Microsoft heeft tijdens de patchcyclus van februari bijna honderd kwetsbaarheden verholpen, waaronder een zerodaylek in Internet Explorer dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was, alsmede ernstige lekken in Exchange en LNK-bestanden. Daarnaast zijn er vier kwetsbaarheden gepatcht waarvan de details al eerder openbaar waren gemaakt, maar die volgens Microsoft niet zijn aangevallen. Op 17 januari waarschuwde Microsoft al voor het zerodaylek in Internet Explorer en kwam toen met een tijdelijke oplossing. Via de kwetsbaarheid kan een aanvaller in het ergste geval systemen volledig overnemen. Alleen het bekijken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van de gebruiker vereist. Vervolgens kan een aanvaller code met de rechten van de ingelogde gebruiker uitvoeren. De kwetsbaarheid werd door onderzoekers van Google en securitybedrijf Qihoo 360 aan Microsoft gerapporteerd. De vier andere kwetsbaarheden bevonden zich in de Windows Installer, Internet Explorer, Edge en Secure Boot. In het geval van de twee lekken in Windows Installer was het mogelijk voor een aanvaller die al toegang tot een systeem had om zijn rechten te verhogen. De kwetsbaarheid in Microsofts browsers maakte het mogelijk voor een aanvaller om te bepalen welke websites een gebruiker had geopend. Via het lek in Secure Boot was het mogelijk om Secure Boot te omzeilen en niet vertrouwde software te laden. Exchange en LNK-bestanden Twee andere kwetsbaarheden die Microsoft gisteren patchte en volgens het Zero Day Initiative belangrijk zijn bevinden zich in Microsoft Exchange en .LNK-bestanden. De kwetsbaarheid in Exchange maakt het mogelijk om kwetsbare Exchange-servers door het versturen van een speciaal geprepareerde e-mail over te nemen. Er is geen interactie van gebruikers vereist. Ook via een ernstige kwetsbaarheid in LNK-bestanden is het mogelijk om Windowssystemen over te nemen. Alleen bij het verwerken van een LNK-bestand kan er kwaadaardige code op het systeem worden uitgevoerd. Een aanvaller kan bijvoorbeeld een usb-stick naar een slachtoffer sturen met een kwaadaardig LNK-bestand en malware. Als de usb-stick in Windowsverkenner of een andere applicatie wordt geopend die het LNK-bestand verwerkt, wordt de kwaadaardige code automatisch uitgevoerd. Het is niet nodig voor de gebruiker om het LNK-bestand zelf te openen. Deze kwetsbaarheid is ook in Windows 7 aanwezig. In het geval van Windows 7 zullen alleen organisaties met een onderhoudscontract de beveiligingsupdate ontvangen. Het is niet voor het eerst dat er een probleem met LNK-bestanden in Windows wordt aangetroffen. De beruchte Stuxnetworm maakte ook gebruik van een soortgelijke kwetsbaarheid. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft vandaag Firefox 73 gelanceerd die een nieuwe dns-provider introduceert en zes kwetsbaarheden verhelpt. Via de kwetsbaarheden had een aanvaller in het ergste geval gevoelige data uit anders vensters kunnen stelen of data of code in die websites kunnen injecteren. Alleen het bezoeken van een malafide of gecompromitteerde website was hierbij voldoende geweest. Tevens heeft Mozilla een nieuwe DNS over HTTPS (DoH)-provider aan de browser toegevoegd. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en koos voor een implementatie waarbij in eerste instantie alleen internetbedrijf Cloudflare de versleutelde dns-verzoeken zou ontvangen. Eind 2019 maakte Mozilla bekend dat het in NextDNS een tweede dns-provider heeft gevonden die aan het "Trusted Recursive Resolver programma" van Firefox deelneemt. Mozilla stelt dat het alleen providers kiest die aan een streng privacybeleid voldoen. Het gaat dan om het verzamelen en bewaren van zo min mogelijk data, transparant zijn over de data die toch wordt verzameld en het beperken van de mogelijkheid voor de dns-provider om content te blokkeren of aan te passen. Mozilla hoopt dat in de toekomst meer dns-providers zich bij het programma zullen aansluiten. Firefoxgebruikers kunnen nu naast Cloudflare als DoH-provider ook uit NextDNS kiezen. Standaard staat Cloudflare echter ingeschakeld. Updaten naar Firefox 73 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Onderzoekers hebben een variant van de Ragnarok-ransomware ontdekt die voor het versleutelen van bestanden op computers eerst de software van managed serviceproviders uitschakelt. Het gaat dan om programma's zoals Kaseya, Veeam, ConnectWise, Pulseway en Splashtop. Managed serviceproviders gebruiken deze software voor het op afstand beheren van de systemen van hun klanten. Zodra de Ragnarok-ransomware, ook wel Ragnar Locker genoemd, deze programma's ontdekt worden die eerst uitgeschakeld, waarna het versleutelen van de bestanden begint, zo meldt securitybedrijf Huntress. Mogelijk dat de aanvallers deze software uitschakelen om de managed serviceprovider niet te laten merken dat de systemen van klanten worden versleuteld. Eind januari werd bekend dat de Ragnarok-ransomware onder andere via een beveiligingslek in Citrix werd verspreid. Voor het ontsleutelen van bestanden vraagt Ragnarok 8.000 euro voor één computer en 40.000 euro voor alle machines. In een filmpje dat Huntress van de ransomware maakte wordt echter 60 bitcoin gevraagd, wat zo'n 545.000 euro is. De aanvallers laten in de instructies aan het slachtoffer verder weten dat gevoelige gegevens zijn gestolen en openbaar zullen worden gemaakt als er niet wordt betaald. Onlangs liet beveiligingsonderzoeker Vitali Kremez weten dat Ragnarok zichzelf uitschakelt wanneer op het systeem de taalinstelling van bepaalde voormalige Sovjet-landen wordt aangetroffen. De afgelopen maanden zijn honderden bedrijven besmet geraakt door ransomware omdat aanvallers hun managed serviceprovider wisten te compromitteren. De aanvallers wisten binnen te dringen bij de it-dienstverlener en daarvandaan de klanten van deze providers aan te vallen. Onder andere honderden Amerikaanse tandartspraktijken raakten zo besmet. bron: security.nl

Een beveiligingslek in Dell SupportAssist, dat op de meeste Dell-computers staat geïnstalleerd, kan een lokale aanvaller die al toegang tot een systeem heeft adminrechten geven. SupportAssist is volgens Dell "proactieve bewakingssoftware" die de status van het systeem proactief controleert. "Wanneer er een probleem wordt geconstateerd, wordt de noodzakelijke informatie over de systeemstatus automatisch verzonden naar Dell zodat het probleemoplossingsproces van start kan gaan. Dell neemt contact met u op om te overleggen over de oplossing en te voorkomen dat het probleem kostbare gevolgen krijgt.", aldus de uitleg van Dell. Een "uncontrolled search path" kwetsbaarheid zorgt ervoor dat een lokale aanvaller met verminderde rechten willekeurige dll-bestanden door SupportAssist kan laten laden, die vervolgens met adminrechten worden uitgevoerd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 7,8 beoordeeld. Dell heeft een beveiligingsupdate beschikbaar gemaakt. Deze update wordt automatisch geïnstalleerd wanneer de automatische updatefunctie staat ingeschakeld. Anders moet de update handmatig worden gedownload. bron: security.nl

Adware was vorig jaar de voornaamste dreiging waar gebruikers en bedrijven mee te maken kregen, zo stelt antimalwarebedrijf Malwarebytes in het jaarrapport over 2019 (pdf). Daarnaast meldt de malwarebestrijder dat er een verschuiving aan het plaatsvinden is van eindgebruikers naar bedrijven. Het aantal gedetecteerde dreigingen gericht op eindgebruikers nam af met twee procent, terwijl het aantal "bedrijfsdetecties" met dertien procent toenam. De meeste malware wordt nog altijd bij eindgebruikers gedetecteerd. Het ging om 41 miljoen detecties tegenover 9,5 miljoen detecties bij bedrijven. Als er wordt gekeken naar de verschillende categorieën malware die Malwarebytes detecteerde, dan staat zowel bij bedrijven als eindgebruikers adware bovenaan. Van de 41 miljoen detecties bij eindgebruikers werd bijna 17 miljoen als adware geclassificeerd. Een stijging van dertien procent ten opzichte van 2018. Categorieën zoals Trojans, spyware, backdoors en wormen lieten allemaal een daling zien. Bij bedrijven explodeerde de hoeveelheid gedetecteerde adware van 771.000 detecties in 2018 naar 4,3 miljoen in 2019. De adware, die op Android, macOS en Windows werd waargenomen, gebruikt ook steeds agressievere methodes om advertenties te tonen, verkeer om te leiden en browsers te kapen en is steeds lastiger te verwijderen, aldus Malwarebytes. Bij eindgebruikers gaat het met name om de MindSpark- en InstallCore-adware. Bedrijven worden vooral geplaagd door de Yontoo-adware. Ook voor dit jaar verwacht Malwarebytes dat agressieve adware de voornaamste dreiging blijft. Adware wordt geregeld gebundeld met allerlei software of zit in apps verborgen. Gebruikers krijgen dan ook het advies om goed op te letten welke applicaties ze op hun systemen installeren. bron: security.nl

De ontwikkelaar van het programma Lock My PC hebben een gratis ontgrendelcode beschikbaar gemaakt waarmee slachtoffers van scammers hun computer kunnen ontgrendelen. Lock My PC is een programma waarmee gebruikers hun computer kunnen vergrendelen. Het programma schakelt de hotkeys en muis uit en vergrendelt de lade van de dvd-speler. Alleen door het invoeren van de juiste code kan er weer toegang worden verkregen. Oplichters maken echter gebruik van het programma. Ze doen zich voor als serviceproviders en weten toegang tot de computer van het slachtoffer te krijgen, bijvoorbeeld door die een remote beheertool te laten installeren. Zodra er toegang is verkregen installeren de scammers Lock My PC. Alleen als het slachtoffer betaalt krijgt die de code om zijn systeem te ontgrendelen. Beveiligingsonderzoeker Michael Gillespie maakte onlangs nog melding van het misbruik. Vanwege het misbruik heeft FSPRO Labs, ontwikkelaar van het programma, verschillende maatregelen getroffen. Zo wordt de software niet meer gratis aangeboden. "Aangezien Lock My PC gratis van onze website kon worden gedownload, hadden we geen controle over wie deze software gebruikte en voor welk doel. We beschouwen activiteiten zoals cybercrime een ernstige schending van de gebruikersovereenkomst", aldus de ontwikkelaar. De software is dan ook niet meer beschikbaar voor het publiek. Bestaande klanten kunnen het programma nog steeds op verzoek krijgen. De zakelijke versie van Lock My PC is alleen nog beschikbaar voor nieuwe klanten die vanaf een zakelijk e-mailadres hier om verzoeken. Tevens krijgen slachtoffers van de scammers de mogelijkheid om hun systeem te ontgrendelen via een gratis code. Gebruikers moeten de code 999901111 invoeren. Vervolgens genereert de pagina van FSPRO Labs een ontgrendelcode waarmee het systeem is te ontgrendelen. Hierna kan de gebruiker de software van de computer verwijderen. bron: security.nl

Onderzoekers waarschuwen dat de beruchte Emotet-malware ook op wifi-netwerken kan inbreken om aangesloten computers te infecteren. Emotet was de afgelopen jaren verantwoordelijk voor meerdere grote ransomware-uitbraken en gebruikt voornamelijk Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. De malware beschikt echter ook via een functie zodat het op wifi-netwerken aangesloten computers kan aanvallen. Zodra Emotet een computer heeft besmet gebruikt het de wifi-functionaliteit van de machine om nabijgelegen wifi-netwerken te zoeken. Zodra die zijn gevonden zal de malware via bruteforce-aanvallen proberen om toegang tot de wifi-netwerken te krijgen. Bij een succesvolle aanval maakt de al besmette computer verbinding met het wifi-netwerk. Emotet zal nu naar beschikbare netwerkschijven gaan zoeken. Zodra een netwerkschijf is ontdekt probeert de malware verbinding met de IPC$ share te maken. Deze share kan voor remote systeembeheer worden gebruikt. De aanvaller zal nu proberen te achterhalen welke gebruikers allemaal met de netwerkschijf verbonden zijn. Met een tweede bruteforce-aanval wordt vervolgens geprobeerd om toegang tot deze gebruikers te krijgen. Wanneer deze aanval niet lukt probeert Emotet het beheerderswachtwoord van de netwerkschijf te bruteforcen. Wanneer één van deze aanvallen succesvol is zal de malware verbinding proberen te maken met de C$\\ share op aangevallen systemen, waarmee er toegang tot de C-schijf wordt verkregen. Emotet installeert vervolgens de malware. "Emotet kan op deze manier zich via nabijgelegen netwerken verspreiden als de netwerken onveilig wachtwoorden gebruiken", zegt onderzoeker James Quinn van securitybedrijf Binary Defense, dat een analyse van de wifi-functionaliteit van Emotet maakte. Eenmaal actief op een systeem kan Emotet aanvullende malware installeren, zoals ransomware. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. bron: security.nl

Gebruikers van Firefox die vanaf 10 maart een website met TLS 1.0 of 1.1 bezoeken zullen een foutmelding te zien krijgen. Het TLS-protocol, dat onder andere wordt gebruikt voor het opzetten van een beveiligde verbinding, bestaat inmiddels meer dan 20 jaar. Alle grote browserontwikkelaars hebben aangegeven dat ze de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen zullen stoppen. Deze versies van het TLS-protocol zijn namelijk kwetsbaar voor verschillende aanvallen zoals BEAST, CRIME en POODLE. Bij websites die straks nog steeds van deze oudere TLS-versies gebruikmaken zullen browsers een foutmelding laten zien. Mozilla zal deze maatregel op 10 maart 2020 in Firefox 74 doorvoeren. Alleen TLS 1.2 of nieuwer worden dan nog geaccepteerd voor het opzetten van een beveiligde verbinding tussen gebruiker en website. Vooralsnog zal Firefox worden voorzien van een knop waarmee de blokkade kan worden opgeheven en er toch via TLS 1.0 of 1.1 verbinding kan worden gemaakt. Uiteindelijk zal de "override button" echter uit de browser verdwijnen en zal de ondersteuning van de oudere TLS-versies in zijn geheel worden stopgezet. Websites krijgen dan ook het advies om alleen nog van TLS 1.2 of nieuwer gebruik te gaan maken. Ook Google Chrome zal vanaf maart TLS 1.0 en 1.1 gaan blokkeren. Volgens Google verloopt nog 0,25 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies. bron: security.nl

Verschillende apparaten van Cisco zijn kwetsbaar voor aanvallen door kwetsbaarheden in het Cisco Discovery Protocol (CDP). Geen van de beveiligingslekken is door Cisco als ernstig bestempeld, maar in bepaalde gevallen is het mogelijk voor lokale aanvallers om systemen in het netwerk over te nemen. Het Cisco Discovery Protocol (CDP) is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Vijf kwetsbaarheden in Cisco-apparaten die van CDP gebruikmaken zorgen ervoor dat een aanvaller op afstand code kan uitvoeren of een denial of service kan veroorzaken. Er is hiervoor geen interactie van gebruikers vereist. Volgens Cisco zijn de aanvallen alleen uit te voeren door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat. Voor de Cisco videosurveillance 8000 series ip-camera's, Cisco ip-phones en Cisco FXOS-, IOS XR- en NX-OS-software zijn updates verschenen. De laatst genoemde besturingssystemen draaien op allerlei routers en switches van Cisco. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 7,4 en 8,8 beoordeeld. De beveiligingslekken werden door securitybedrijf Armis ontdekt, dat Cisco op 29 augustus vorig jaar informeerde. Gisteren rolde Cisco updates voor de kwetsbaarheden uit. bron: security.nl

Een beveiligingslek in een audiodriver van fabrikant Realtek maakt het mogelijk voor aanvallers die al toegang tot een computer hebben om systeemrechten te krijgen. Realtek heeft een nieuwe audiodriver uitgebracht waarin de kwetsbaarheid is verholpen. De kwetsbaarheid in de Realtek High definition audio driver werd veroorzaakt door de manier waarop de driver met dll-bestanden omging. Een aanvaller die toegang tot een systeem had en een kwaadaardig dll-bestand in de Realtek-drivermap wist te krijgen kon het dll-bestand door de driver laten starten. Het kwaadaardige dll-bestand zou dan door een gesigneerd Realtek-proces worden geladen. Dit proces draait met systeemrechten, waardoor ook de kwaadaardige code van de aanvaller met systeemrechten zou zijn uitgevoerd. Om de aanval uit te kunnen voeren zou een aanvaller wel al beheerderstoegang tot de machine moeten hebben. Audiodrivers van Realtek zijn op miljoenen systemen aanwezig. Daarnaast zou een aanvaller via de kwetsbaarheid zijn kwaadaardige code kunnen verbergen en bijvoorbeeld applicatie-whitelisting kunnen omzeilen, aangezien de code vanuit het vertrouwde Realtek-proces werd gestart. Het beveiligingslek werd gevonden door onderzoeker Peleg Hadar van SafeBreach Labs. Het bedrijf stuurde Realtek begin juli een eerste melding via e-mail, gevolgd door meer informatie halverwege augustus. SafeBreach gaf Realtek negentig dagen om het probleem te verhelpent. De fabrikant vroeg om meer tijd, dat het ook kreeg. Realtek heeft de kwetsbaarheid verholpen in versie 1.0.0.8856 van de HD-audiodriver. Tevens publiceerde de fabrikant in januari een waarschuwing voor het lek, waavan de impact als "high" is beoordeeld. bron: security.nl

Elke maand raken gemiddeld 46.000 webservers besmet met webshells waardoor aanvallers allerlei aanvallen tegen organisaties kunnen uitvoeren, zo stelt Microsoft op basis van informatie die via de eigen beveiligingssoftware is verkregen. Een webshell is kwaadaardige code die vaak in programmeertalen zoals ASP, PHP en JSP is geschreven en door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Zo is het mogelijk om data van de webserver te stelen of de server als springplank voor verdere aanvallen tegen de aangevallen organisatie te gebruiken. Volgens Microsoft vinden er steeds meer incidenten plaats waarbij aanvallers van webshells gebruikmaken. Om een webshell te kunnen plaatsten moet een aanvaller eerst toegang tot de webserver zien te krijgen. Dit komt doordat organisaties beschikbare beveiligingsupdates niet installeren of hun systemen verkeerd configureren, aldus Microsoft. De zakelijke beveiligingssoftware van het techbedrijf detecteert elke maand gemiddeld 77.000 webshells op 46.000 webservers. In een blogposting beschrijft Microsoft een incident waarbij de webserver van een organisatie in de publieke sector door een misconfiguratie met een webshell besmet raakte. De aanvallers wisten vervolgens verschillende accounts te compromitteren en zich lateraal door het netwerk te bewegen. Uiteindelijk werd er een backdoor op een Microsoft Exchange-server geïnstalleerd waarmee de aanvallers alle inkomende en uitgaande e-mails konden onderscheppen. Organisaties krijgen het advies van Microsoft om beschikbare beveiligingsupdates te installeren en misconfiguraties op te sporen en te verhelpen. Verder wordt aangeraden om logbestanden van webservers geregeld te controleren en bewust te zijn van welke systemen op internet worden aangesloten. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin 56 kwetsbaarheden zijn verholpen en een nieuw cookiebeleid is doorgevoerd. Via de beveiligingslekken, die onder andere door de Britse overheid werden gevonden, had een aanvaller code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. 38 van de kwetsbaarheden werden door externe onderzoekers aan Google gerapporteerd. Het ging onder andere om een integer overflow in JavaScript die door het Britse National Cyber Security Centre (NCSC) werd ontdekt en gerapporteerd. Google beloonde de Britse overheidsinstantie met 5.000 dollar voor de bugmelding. Daarmee was het de hoogste beloning die Google deze patchronde aan externe onderzoekers uitkeerde. Cookiebeleid Naast het verhelpen van kwetsbaarheden heeft Google ook het cookiebeleid voor websites in Chrome 80 aangepast. Volgens de internetgigant hebben de nieuwe instellingen allerlei veiligheidsvoordelen en zorgen ze voor meer transparantie en gebruikerskeuze. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets. Ook wanneer een partij meerdere websites heeft en op die websites een cookie gebruikt, zal het cookie nog steeds als third-party worden gezien wanneer het domein niet overeenkomt met de site(s) waarvandaan het cookie wordt benaderd, ook al zijn de sites en cookies van dezelfde partij. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party hebben ontwikkelaars keuze uit twee instellingen, SameSite=Lax of SameSite=Strict, om externe toegang te voorkomen. Maar weinig ontwikkelaars maken echter gebruik van deze opties, aldus Google. Daardoor zouden first-party cookies zijn blootgesteld aan aanvallen zoals cross-site request forgery. Om websites en gebruikers te beschermen zal er een nieuw "secure-by-default" model worden toegepast, dat ervan uitgaat dat alle cookies tegen externe toegang moeten zijn beschermd, tenzij dit anders is opgegeven. Ontwikkelaars moeten de nieuwe cookie-instellingen SameSite=None nu gebruiken om aan te geven dat cookies voor meerdere websites toegankelijk zijn. Wanneer deze instelling wordt gebruikt moet er ook het aanvullende "Secure" attribuut worden gebruikt, wat ervoor zorgt dat third-party cookies alleen via https-verbindingen benaderbaar zijn. Google benadrukt dat dit niet alle risico's van third-party toegang oplost, maar wel bescherming tegen netwerkaanvallen biedt. Chrome 80 zal alle cookies die geen opgegeven SameSite-waarde gebruiken als SameSite=Lax cookies behandelen. Alleen cookies met de SameSite=None en Secure-instelling zullen extern toegankelijk zijn. Zowel Microsoft als Mozilla hebben aangegeven het nieuwe cookiebeleid ook te zullen volgen. Webontwikkelaars en andere partijen die met third-party cookies werken krijgen dan ook het advies om de vereiste instellingen voor die cookies door te voeren. In onderstaande video wordt het nieuwe beleid door Google uitgelegd. Updaten naar Chrome 80.0.3987.87 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Facebook heeft een beveiligingslek in WhatsApp Desktop verholpen waardoor aanvallers toegang tot lokale bestanden van gebruikers hadden kunnen krijgen. WhatsApp-gebruikers kunnen via WhatsApp Desktop vanaf hun computer met anderen chatten. Hiervoor moet de applicatie wel zijn gekoppeld met een telefoon. Wanneer een kwetsbare versie van WhatsApp Desktop werd gekoppeld met WhatsApp voor iPhone had een aanvaller door cross-site scripting toegang tot lokale bestanden kunnen krijgen wanneer de gebruiker een kwaadaardige link zou openen. De kwetsbaarheid werd gevonden door beveiligingsonderzoeker Gal Weizman. De onderzoeker stelt dat het beveiligingslek ook remote code execution mogelijk zou maken, waardoor het systeem had kunnen worden overgenomen. Hij ontwikkelde echter geen exploit om een dergelijke aanval te demonstreren. Weizman waarschuwde Facebook, dat het probleem vervolgens patchte. "Het is 2020 en geen product zou via een enkel bericht van het bestandssysteem moeten kunnen lezen of in potentie remote code moeten kunnen uitvoeren", zo laat de onderzoeker weten. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,2 beoordeeld. Gebruikers krijgen het advies om te updaten naar WhatsApp Desktop versie 0.3.9309 of nieuwer en WhatsApp voor iPhone versie 2.20.10 en nieuwer. bron: security.nl

Marketingbedrijf Pabbly, dat naar eigen zeggen meer dan honderdduizend klanten heeft waaronder Cisco, The Guardian en Uber, heeft via een onbeveiligde database 50 miljoen records gelekt. De records gaan terug tot 2014 en bevatten e-mailadressen, klantnamen, e-mailgegevens, smtp-data, interne ip-adressen en nog allerlei andere zaken, zo meldt securitybedrijf Security Discovery. Pabbly biedt verschillende oplossingen voor e-mailmarketing. Onderzoeker Jeremiah Fowler ontdekte een database van het marketingbedrijf die voor iedereen op internet zonder wachtwoord toegankelijk was. De onderzoeker waarschuwde Pabbly, waarna de toegang tot de database enkele uren later werd beveiligd. Hoeveel klanten door het datalek zijn getroffen, hoelang de database onbeveiligd online stond en of die ook door andere partijen is gedownload, is onbekend. Fowler ontving naar eigen zeggen geen reactie op zijn melding van het datalek. bron: security.nl

Het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een gratis opensourcetool beschikbaar gemaakt waarmee de beruchte Emotet-malware op Windowssystemen is te detecteren. "EmoCheck", zoals de tool heet, werkt op Windows 7, Windows 8.1 en Windows 10. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. Volgens JPCERT is het aantal infecties met Emotet in Japan sinds oktober aan het toenemen. Zo gebruiken de aanvallers achter Emotet onder andere het Coronavirus om Japanse organisaties met de malware te infecteren. Afgelopen december kwam JPCERT al met een uitleg hoe de Emotet-malware op systemen is te vinden. Nu meldt de organisatie onder andere via Twitter de beschikbaarheid van EmoCheck op GitHub. bron: security.nl

Een onbekende partij heeft vorig jaar december een aanval op Twitter uitgevoerd waarbij gebruikersnamen aan telefoonnummers werden gematcht. De aanvaller maakte gebruik van een netwerk van een groot aantal nepaccounts die de Twitter-api gebruikten voor het matchen van gebruikersnamen aan telefoonnummers. De api is een programmeerinterface die het eenvoudiger voor nieuwe gebruikers moet maken om Twitter-gebruikers te vinden die ze al kennen. Gebruikers geven een telefoonnummer op, waarna de api in een database naar de bijbehorende Twitter-gebruiker zoekt. Twitter-gebruikers moeten hiervoor wel hebben ingeschakeld dat ze aan de hand van hun telefoonnummer zijn te vinden, alsmede hun telefoonnummer aan hun Twitter-account hebben gekoppeld. "Vaak heb je de beste klik met personen op Twitter die je al kent. Om je te helpen deze mensen te bereiken, gebruiken we je e-mailadres en telefoonnummer om je account vindbaar te maken voor anderen. Je kan bepalen of anderen jou op Twitter kunnen vinden op basis van je e-mailadres of telefoonnummer door je privacyinstellingen voor vindbaarheid aan te passen", aldus de uitleg van Twitter. De nepaccounts die voor de aanval werden gebruikt bevonden zich volgens Twitter over de gehele wereld, maar een groot aantal verzoeken was afkomstig van Iraanse, Israëlische en Maleisische ip-adressen. "Het is mogelijk dat sommige van deze ip-adressen banden met door landen gesponsorde aanvallers hebben", zo stelt Twitter in een verklaring. Na ontdekking van de aanval heeft Twitter verschillende aanpassingen aan de api doorgevoerd zodat die niet langer specifieke gebruikersnamen teruggeeft. Daarnaast zijn alle accounts die bij de aanval waren betrokken geschorst. Gebruikers die hadden ingesteld om niet via hun telefoonnummer vindbaar te zijn, zijn niet aan de aanval blootgesteld. bron: security.nl

Google heeft video's van gebruikers van Google Photos gelekt aan andere gebruikers, zo heeft het techbedrijf bekendgemaakt. Het probleem deed zich vorig jaar november voor. Google biedt gebruikers de mogelijkheid om hun gegevens te downloaden en exporteren. "U kunt uw gegevens exporteren en downloaden vanuit de Google-producten die u gebruikt, zoals uw e-mail, agenda en foto's. In een paar eenvoudige stappen maakt u een archief dat u voor uw administratie kunt bewaren of waarmee u uw gegevens in een andere service kunt gebruiken", aldus de uitleg van Google. Wanneer gebruikers van Google Photos hun eigen data wilden exporteren kregen ze ook de video's van andere gebruikers in het archiefbestand. Het probleem deed zich voor tussen 21 november en 25 november 2019. Google vraagt gebruikers die in deze periode hun gegevens wilden exporteren om een nieuwe export te maken en de eerder gedownloade export met de gegevens van andere mensen te verwijderen. Google heeft gedupeerde gebruikers ingelicht. Hoeveel gebruikers door het datalek zijn getroffen is onbekend. bron: security.nl

Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn nog altijd ruim 8.000 via internet toegankelijke Citrix-systemen kwetsbaar voor aanvallen. En beheerders vergeten niet alleen hun Citrix-systemen te patchen. Er zijn ook nog bijna 9.000 Windows-servers online die via de BlueGate-kwetsbaarheid zijn aan te vallen. Dat blijkt uit cijfers van het Nederlands Security Meldpunt. De organisatie zoekt op internet naar kwetsbare systemen en probeert vervolgens de betreffende partijen te informeren zodat die hun systemen kunnen beveiligen. Op 31 december 2019 werden er meer dan 128.000 kwetsbare Citrix-systemen geteld. Een aantal dat sindsdien steeds verder daalt, met de grootste dalingen op 15 en 16 januari. Op 27 januari kwam het aantal kwetsbare Citrix-systemen onder de 10.000. Een week verder is dat aantal inmiddels naar 8300 gedaald. Deze systemen moeten inmiddels allemaal als gecompromitteerd worden beschouwd. Dit weekend waarschuwde de Amerikaanse overheid dat de Citrix-systemen van een groot aantal organisaties zijn gecompromitteerd, maar een aantal werd niet genoemd. Volgens het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid moeten organisaties die de mitigaties van Citrix niet voor 9 januari hebben doorgevoerd ervan uitgaan dat ze zijn gecompromitteerd. Uit cijfers van het Security Meldpunt blijkt dat het om 115.000 systemen wereldwijd gaat. BlueGate Organisaties werden vorige maand niet alleen gewaarschuwd voor de kwetsbaarheid in Citrix, ook voor twee ernstige beveiligingslekken in de Windows Remote Desktop Gateway verschenen aparte waarschuwingen. Via de kwetsbaarheden, die de naam BlueGate kregen en waar op 14 januari updates voor uitkwamen, zijn systemen op afstand over te nemen. Ondanks de beschikbaarheid van beveiligingsupdates zijn nog zo'n 8800 servers kwetsbaar. Honderden van deze servers staan ook in Nederland, aldus het Security Meldpunt. Alleen het versturen van speciaal geprepareerde requests naar deze servers is voldoende om ze op afstand over te nemen. Het is niet nodig om over geldige inloggegevens te beschikken. Er zijn nog geen aanvallen waargenomen waarbij servers ook daadwerkelijk werden overgenomen. Wel is er exploitcode gedemonstreerd waarmee dit mogelijk is. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. bron: security.nl

Onderzoekers hebben meerdere webwinkels ontdekt die met malware besmet zijn geraakt die creditcardgegevens van klanten steelt. Het lukte aanvallers om kwaadaardige JavaScriptcode aan de webshops toe te voegen die alle ingevulde gegevens op de betaalpagina onderschepte. Onderschepte gegevens werden vervolgens naar een specifiek domein teruggestuurd. Dit domein was eerder al door onderzoekers Jacob Pimental en Max Kersten op twee marktplaatsen aangetroffen die tickets voor de Olympische Spelen in Tokyo en het Europees kampioenschap voetbal 2020 doorverkopen. Verder onderzoek naar dit domein leidde naar negen andere besmette webwinkels. Het gaat onder andere om een Britse webwinkel die producten voor paardensport verkoopt, een online zeilwinkel, een verfwebwinkel, een aanbieder van zwemkleding en een webshop die Volkswagenonderdelen aanbiedt. Kersten en Pimental waarschuwden de getroffen webwinkels, maar sommige van de webshops zijn nog altijd besmet en gaven geen reactie. Hoe de webshops konden worden gecompromitteerd is onbekend. Internetgebruikers die bij de betreffende shops producten hebben gekocht wordt aangeraden een nieuwe creditcard bij hun bank aan te vragen. bron: security.nl

Een ernstig beveiligingslek in toegangssysteem van fabrikant Nortek wordt al bijna een maand actief door aanvallers misbruikt om kwetsbare systemen over te nemen en vervolgens voor het uitvoeren van ddos-aanvallen in te zetten. Duizenden toegangssystemen wereldwijd zouden risico lopen. De kwetsbaarheid in de Linear eMerge e3 van Nortek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via het beveiligingslek kunnen aanvallers op afstand volledige controle over kwetsbare systemen krijgen. Alleen het versturen van een speciaal geprepareerd http-request volstaat. De Linear eMerge is een systeem dat wordt gebruikt om personen via codes en toegangspasjes toegang tot gebouwen te geven. De systemen zijn via een browser op afstand te beheren. Vorig jaar mei maakte securitybedrijf Applied Risk melding van verschillende kwetsbaarheden in de Nortek Linear eMerge e3-Series. Op het moment dat de beveiligingslekken openbaar werden gemaakt was er volgens Applied Risk nog geen beveiligingsupdate beschikbaar. Afgelopen november verschenen er exploits voor de kwetsbaarheid op internet. Sinds begin januari worden kwetsbare systemen ook daadwerkelijk aangevallen, aldus securitybedrijf Bad Packets. Aanvallers weten toegang tot de systemen te krijgen en installeren vervolgens malware die het systeem ddos-aanvallen laat uitvoeren. Ook securitybedrijf Sonicwall laat weten dat de kwetsbaarheid actief wordt aangevallen. De meeste aanvallen werden in de Verenigde Staten waargenomen. Bijna 2400 Nortek-toegangssystemen zijn via internet te vinden. Op de website van Nortek is nog altijd geen nieuwe firmware te vinden. bron: security.nl