Captain Kirk

Honderden interne servicedesks van bedrijven en organisaties zijn door configuratiefouten openbaar, waardoor aanvallers allerlei aanvallen kunnen uitvoeren en toegang tot vertrouwelijke gegevens kunnen krijgen. Daarvoor waarschuwt de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Veel bedrijven maken gebruik van ticketsystemen zoals Jira en Asana voor het verwerken van verzoeken van medewerkers. Volgens De Ceukelaire is een toenemend aantal Jira-servicedesks door configuratiefouten openbaar. Hierdoor kunnen aanvallers accounts aanmaken, zich voordoen als medewerkers en allerlei verzoeken indienen. Doordat mensen vanwege de coronauitbraak thuiswerken is het lastiger om deze verzoeken te controleren, zo stelt De Ceukelaire. De Belgische onderzoeker was benieuwd bij hoeveel bedrijven hun interne servicedesks openbaar waren. Voor zijn onderzoek maakte De Ceukelaire gebruik van een lijst met tienduizend populaire domeinnamen. Hij vond 1972 Jira-servicedesks, waarvan er 288 (15 procent) voor iedereen op internet toegankelijk waren. "Dit was een toename van twaalf procent ten opzichte van de tests die voor de coronacrisis werden uitgevoerd", merkt de onderzoeker op. Bij sommige van deze servicedesks maakte De Ceukelaire een account aan en kon zo toegang tot allerlei ticketportals krijgen over onderwerpen als HR, informatiebeveiliging, marketing en andere zaken. Een aanvaller zou via deze portals informatie over medewerkers en klanten kunnen opvragen, multifactorauthenticatie kunnen laten resetten, declaraties indienen, database queries laten uitvoeren, code op de webserver laten uitvoeren, vpn's laten whitelisten en toegang tot interne tools en socialmediakanalen kunnen aanvragen. Ook was het mogelijk om tickets aan andere medewerkers toe te kennen, waarbij hun e-mailadres en naam werd getoond. De Ceukelaire waarschuwde verschillende bedrijven, maar meer dan 85 procent had geen manier om op "verantwoorde wijze" kwetsbaarheden te rapporteren. Verschillende bedrijven beloonden de onderzoeker voor zijn melding, variërend van 50 dollar tot 10.000 dollar. In dit laatste geval was het mogelijk geweest om via een verzoek aan de helpdesk kwaadaardige code uit te laten voeren. Eén van de bedrijven erkende dat er naast het account van De Ceukelaire een ander ongeautoriseerd account was aangemaakt. bron: security.nl

Videoconferentiesoftware Zoom erkent dat de software met privacy- en veiligheidsproblemen te maken heeft. Tevens zijn voor verschillende kwetsbaarheden gisteren updates uitgerold en is er excuses gemaakt voor het onterecht beweren dat de communicatie end-to-end versleuteld was. Zoom is naar eigen zeggen overweldigd door de toestroom van het aantal gebruikers. Door de uitbraak van het coronavirus maken opeens tal van organisaties, scholen en bedrijven gebruik van Zoom voor meetings en lessen. Door de groei van het aantal gebruikers kreeg de videoconferentiesoftware ook de aandacht van allerlei onderzoekers. Zo kwam het privacybeleid van Zoom onder vuur te liggen. Het bedrijf bleek ook data van gebruikers naar Facebook te sturen. Iets waarvoor het in de VS inmiddels is aangeklaagd. Tevens bleek dat Zoom claimde van end-to-end encryptie gebruik te maken, terwijl dit niet het geval was. Daarnaast klaagden gebruikers dat Zoom e-mailadressen, namen en profielfoto's aan onbekenden lekt. Beveiligingsonderzoeker Mitch Hines ontdekte dat het via de Zoom-chatfunctie mogelijk was om NTLM-hashes van gebruikers te stelen als die op een kwaadaardige link in de chat klikten. En de gifbeker was nog niet leeg voor Zoom, beveiligingsonderzoeker Patrick Wardle toonde namelijk twee kwetsbaarheden in de macOS-app aan waardoor een aanvaller met toegang tot een systeem zijn rechten zou kunnen verhogen en toegang tot de microfoon en camera zou kunnen krijgen. In twee blogpostings gaat Zoom op de problemen in. Ten eerste wordt er excuses gemaakt voor het onterecht gebruik van de term end-to-end encryptie. Daarbij kunnen alleen de ontvanger en afzender de inhoud van berichten zien. Zoom past een dergelijke vorm van encryptie niet toe, maar claimde van wel. Zoom versleutelt wel de video, audio en chats van gebruikers, maar kan die nog steeds inzien. Zoom stelt dat het nog nooit voor opsporingsdiensten een mechanisme heeft ontwikkeld om de inhoud van live meetings te ontsleutelen, of dat medewerkers met meetings hebben meegekeken zonder dat ze in de deelnemerslijst te zien waren. Kwetsbaarheden Daarnaast erkent Zoom de gevonden privacy- en veiligheidsproblemen. Zo is de attentietracker van deelnemers, waarbij hosts werden gewaarschuwd als een deelnemer het Zoom-venster niet actief had, verwijderd. Tevens zijn de door Hines en Wardle gevonden kwetsbaarheden verholpen. Verder is de LinkedIn Sales Navigator verwijderd omdat daardoor onnodig data werd blootgesteld. Zoom kondigt ook een plan voor de komende negentig dagen aan. Zo worden er geen nieuwe features meer ontwikkeld en zullen alle ontwikkelaars op het verhelpen van veiligheids- en privacyproblemen worden gezet. Er zullen externe partijen worden ingeschakeld om de veiligheid van de software te controleren en Zoom zal een transparantierapport publiceren met dataverzoeken van overheidsinstanties. Daarnaast wordt het beloningsprogramma voor onderzoekers en hackers onderhanden genomen. Als laatste zal ceo Eric Yuan wekelijks een webinar met informatie over security- en privacyupdates houden. bron: security.nl

Een initiatief van 130 Europese onderzoekers werkt aan een privacyvriendelijke bluetooth traceer-app om de verspreiding van het coronavirus tegen te gaan. Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), zoals het initiatief zichzelf noemt, hoopt deze week een technisch platform gereed te hebben dat als basis voor smartphone-apps kan dienen. De eerste apps die van het platform gebruikmaken zouden halverwege april kunnen verschijnen, zo meldt persbureau Reuters. De PEPP-PT-app zorgt ervoor dat de telefoon een anonieme identifier uitzendt die niet naar een gebruiker is te herleiden. Zodra gebruikers van de app bij elkaar komen wordt de identifier opgeslagen. "Geen geolocatiegegevens, geen persoonlijke informatie of andere data worden opgeslagen waarmee de gebruiker zou zijn te identificeren. Deze anonieme nabijheidsgeschiedenis is door niemand te bekijken, zelfs niet door gebruiker van de telefoon. Oudere gebeurtenissen in de nabijheidsgeschiedenis worden verwijderd zodra ze epidemiologisch niet meer belangrijk zijn", aldus de uitleg van PEPP-PT. Wanneer een gebruiker met corona besmet blijkt te zijn zullen de gezondheidsautoriteiten hem of haar benaderen en een code verstrekken. De gebruiker kan met deze code vrijwillig informatie aan een vertrouwde partij verstrekken die gebruikers kan waarschuwen die in aanraking met de besmette persoon zijn gekomen. Aangezien de geschiedenis van de besmette gebruiker anonieme identifiers bevat kent niemand elkaars identiteit. Volgens de onderzoekers voldoet PEPP-PT aan de AVG. Om effectief te zijn zou de app door 60 procent van de bevolking moeten worden gebruikt. Personen zonder smartphone zouden bluetooth-armbanden kunnen gebruiken. bron: security.nl

Internetbedrijf Cloudflare heeft vandaag vpn-dienst Warp, die vorig jaar voor Android en iOS verscheen, nu ook voor macOS en Windows aangekondigd. Warp maakt gebruik van het op UDP-gebaseerde WireGuard vpn-protocol. UDP is een eenvoudiger protocol dan het TCP-protocol dat normaliter voor het laden van websites wordt gebruikt. TCP is echter betrouwbaarder en zal een niet afgeleverd pakket opnieuw versturen. Bij UPD is dit niet het geval. Toch is dit geen probleem, aldus Cloudflare. Warp verstuurt namelijk UDP-pakketten waar de volledige TCP-pakketten in zitten. In de door WireGuard versleutelde payload bevindt zich een complete TCP-header met alle informatie om de data betrouwbaar af te leveren. De manier waarop Warp is ontwikkeld zou ervoor moeten zorgen dat gebruikers sneller kunnen browsen. Net als bij de mobiele versie zal ook de standaardversie van Warp voor macOs en Windows gratis zijn. Naast de gratis versie is er ook Warp Plus dat een hogere snelheid biedt. Binnenkort zal Cloudflare uitnodigingen versturen om aan de betatest van Warp voor macOS en Windows deel te nemen. Zodra de macOS- en Windows-clients zijn uitgebracht is Cloudflare van plan om een Linux-versie te ontwikkelen. bron: security.nl

Google heeft een update voor Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt. Het is de eerste Chrome-update nadat het techbedrijf wegens de corona-uitbraak een pauze van nieuwe versies aankondigde. Dit vanwege aangepaste werkschema's van de Chrome-ontwikkelaars. Chrome 80.0.3987.162 voor Linux, Mac en Windows verhelpt acht kwetsbaarheden, waarvan er drie door externe onderzoekers aan Google waren gerapporteerd. Het gaat om beveiligingslekken in de onderdelen van Chrome die verantwoordelijk zijn voor het verwerken van media en webaudio. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar Chrome 80.0.3987.162 zal op de meeste systemen automatisch gebeuren. Volgens StatCounter heeft Google Chrome op de desktop een wereldwijd marktaandeel van 70 procent. In Nederland zouden zes op de tien desktopgebruikers via Chrome browsen. bron: security.nl

Microsoft heeft besloten om het uitschakelen van TLS-versies 1.0 en 1.1 in Internet Explorer, Edge en Chromium Edge vanwege de uitbraak van het coronavirus uit te stellen. Dat heeft het techbedrijf bekendgemaakt. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. TLS 1.0 en 1.1 zijn kwetsbaar voor verschillende aanvallen zoals BEAST, CRIME en POODLE. Microsoft was dan ook van plan om de ondersteuning van deze oude TLS-versies in de eerste helft van dit jaar uit te schakelen. Vanwege de corona-uitbraak is dit plan nu gewijzigd. Voor Chromium Edge zal de TLS-support op zijn vroegst met de lancering van Chromium Edge 84 in juli worden uitgeschakeld. Bij Internet Explorer en de oude versie van Edge zal dit op 8 september plaatsvinden. Toch raadt Microsoft alle organisaties aan om te stoppen met het gebruik van TLS 1.0 en 1.1 en naar een nieuwere versie over te stappen. Begin maart besloot Mozilla om met de lancering van Firefox 74 de ondersteuning van de oude TLS-versies uit te schakelen, maar kwam hier later op terug. Verschillende overheidssites met informatie over het coronavirus bleken namelijk nog van TLS 1.0 of 1.1 gebruik te maken. Daarop werd de ondersteuning van deze TLS-versies weer in Firefox ingeschakeld. bron: security.nl

Videoconferentiesoftware Zoom heeft van duizenden gebruikers hun naam, e-mailadres en profielfoto aan andere gebruikers van het platform gelekt die elkaar niet kennen. Het probleem wordt veroorzaakt door de "Company Directory" instelling van Zoom, die automatisch mensen aan de contactenlijst van de gebruiker toevoegt die zich met een e-mailadres met hetzelfde domein hebben aangemeld. Onlangs maakte een XS4ALL-klant op Twitter nog melding dat Zoom alle XS4ALL-gebruikers als haar bedrijfscontacten beschouwde. Zoom dacht dat alle mensen die zich met een @xs4all.nl-mailadres hadden aangemeld onderdeel van hetzelfde bedrijf zijn. Vervolgens krijgen deze gebruikers van elkaar de profielfoto, naam en e-mailadres te zien. Alleen voor publiek gebruikte domeinen, zoals bijvoorbeeld gmail.com, yahoo.com en hotmail.com, maakt Zoom standaard een uitzondering. In het geval van de Nederlandse domeinen xs4all.nl, dds.nl en quicknet.nl is dat niet het geval en worden gebruikers, zodra ze zich met een e-mailadres van deze domeinen aanmelden, als medewerkers van hetzelfde "bedrijf" gezien. Zoom laat in een verklaring tegenover Vice Magazine weten dat gebruikers een verzoek kunnen indienen om domeinen uit de Company Directory te laten verwijderen. bron: security.nl

Nederland is voorstander van een verplichte "hacktest" van Europese banken door ethische hackers. Dat heeft minister Hoekstra van Financiën in een brief aan de Tweede Kamer laten weten. De Europese Commissie had EU-landen naar ideeën gevraagd om de cyberweerbaarheid van banken te versterken. De Nederlandse inbreng benoemt verschillende maatregelen die kunnen worden genomen. Zo is het normaliseren en delen van rapportages over cyberincidenten volgens Hoekstra van belang. "Ook dragen eisen omtrent toetsen van cyberweerbaarheid door instellingen, waaronder verplichte deelname aan hacktesten door ethische hackers, bij aan versterking van de weerbaarheid", merkt de minister op. Als basis voor de penetratietests zou van het "TIBER-EU framework" gebruik moeten worden gemaakt. TIBER, ontwikkeld door de Europese Centrale Bank (ECB), staat voor Threat Intelligence-based Ethical Red Teaming en moet de Europese aanpak voor het simuleren van aanvallen "harmoniseren". Via de test kunnen banken en financiële instellingen kijken hoe goed ze zijn voorbereid om aanvallen te detecteren, te voorkomen en op te reageren. Daarbij worden niet alleen de systemen getest, maar ook zaken als mensen en processen. Verder vindt Hoekstra dat er aandacht moet worden besteed aan maatregelen om de risico's te beperken die kunnen ontstaan in geval van uitbesteding door financiële instellingen, zeker waar sprake is van grote leveranciers met een concentratierisico. bron: security.nl

Videoconferentiesoftware Zoom is in de Verenigde Staten aangeklaagd voor het delen van data met Facebook. Daarnaast is de Amerikaanse staat New York een onderzoek naar het bedrijf gestart. Onlangs werd bekend dat de iOS-app van Zoom data naar Facebook stuurt. De Zoom-app laat Facebook weten wanneer de gebruiker de app opent, verstuurt informatie over het toestel van de gebruiker, zoals model, tijdszone en stad waarvandaan wordt ingelogd, gebruikte telecomprovider en een uniek advertentie-id waarmee gebruikers gerichte advertenties kunnen krijgen. Zoom bracht een nieuwe iOS-app uit om het delen van data met Facebook te stoppen. Gebruikers moeten deze nieuwe versie wel installeren, anders worden hun gegevens nog steeds naar Facebook gestuurd. Volgens de aanklacht werd in het privacybeleid van zoom niet uitgelegd dat de app code bevatte die data naar Facebook en mogelijk andere derde partijen doorstuurde. "De gedaagde wist of had moeten weten dat de de beveiligingsmaatregelen van de Zoom-app onvoldoende waren om de persoonlijke informatie van deelnemers aan de massaclaim te beschermen en dat het risico van het ongeautoriseerd verstrekken aan Facebook zeer waarschijnlijk was. De gedaagde heeft nagelaten om gezien de aard van de informatie redelijke beveiligingsprocedures en -maatregelen te implementeren om de persoonlijke informatie van de klager en deelnemers aan de massaclaim te beschermen", aldus de aanklacht. Verder stelt de aanklacht dat Zoom geen maatregelen heeft genomen om oudere versies van de app te blokkeren. Tenzij gebruikers hun Zoom-app updaten blijven ze zonder hun toestemming of medeweten informatie naar Facebook sturen. "Zoom had alle iOS-gebruikers kunnen dwingen om naar de nieuwe Zoom-app te updaten, maar Zoom heeft ervoor gekozen dit niet te doen", zo stelt de aanklacht. Tevens geeft Zoom geen garantie dat Facebook de ontvangen informatie heeft verwijderd. De klager eist nu een schadevergoeding, zo melden Bloomberg en Vice Magazine. Onderzoek Naast de aanklacht heeft het privacybeleid van Zoom ook de aandacht van de staat New York. Minister van Justitie Letitia James verstuurde Zoom gisteren een brief waarin ze opheldering vraagt over de maatregelen die Zoom heeft genomen om met het toegenomen aantal gebruikers om te gaan en aanvallers buiten de deur te houden. In de brief uit Letitia ook haar zorgen dat Zoom in het verleden traag op beveiligingslekken reageerde en zijn er zorgen dat het huidige beveiligingsbeleid onvoldoende is om te reageren op zowel de volume als de gevoeligheid van de data die via de dienst wordt verwerkt. De minister wijst ook naar het delen van data met Facebook en vraagt wat voor soort gegevens Zoom verzamelt, alsmede voor welke doeleinden en aan welke partijen Zoom de gegevens van gebruikers verstrekt. Mogelijk dat Zoom de regels voor het beschermen van leerlingengegevens overtreedt. Zo moet het bedrijf laten weten hoe het toestemming voor leerlingen verkrijgt en controleert, alsmede welke partijen gegevens met betrekking tot kinderen ontvangen, zo laat The New York Times weten. bron: security.nl

De FBI heeft een waarschuwing afgegeven waarin het organisaties en onderwijsinstellingen wijst op personen die online vergaderingen verstoren, ook wel "Zoom-bombing" genoemd. Vanwege de coronauitbraak wordt er veel meer gebruik gemaakt van videoconferentiesoftware zoals Zoom. Bij het opzetten van een meeting genereert Zoom een link die met deelnemers kan worden gedeeld. Zonder de juiste voorzorgsmaatregelen kan iedereen die de link kent aan de meeting deelnemen. Op Twitter en andere kanalen zijn allerlei organisaties te vinden die hun Zoom-link delen. Vervolgens zijn er personen die zo toegang tot de meeting krijgen en die vervolgens verstoren. Onder andere verschillende scholen kregen hiermee te maken Vanwege het misbruik kwam Zoom zelf met een uitleg voor organisaties en scholen hoe de meetings zijn te beveiligen, zoals het gebruik van een wachtwoord of het instellen van een "wachtkamer". Ook verschillende universiteiten kwamen met adviezen om Zoom-meetings te beveiligen. Nu laat ook de FBI weten dat bij verschillende scholen de Zoom-meetings zijn verstoord. Onderwijsinstellingen en bedrijven krijgen van de Amerikaanse opsporingsdienst daarom het advies om hun meetings en online lessen niet publiek te maken. Tevens wordt afgeraden om links voor meetings via social media te delen. In plaats daarvan is het verstandiger ze direct aan deelnemers te verstrekken. Ook moet screensharing op "Host Only" worden ingesteld, anders kunnen binnendringers allerlei ongepaste beelden aan andere deelnemers tonen. Afsluitend krijgen slachtoffers van Zoom-bombing het advies dit aan de FBI te melden. bron: security.nl

Microsoft heeft een nieuwe feature voor Chromium Edge aangekondigd die gebruikers waarschuwt als één van hun wachtwoorden bij een website is gestolen. De feature heet Password Monitor en vergelijkt wachtwoorden die in de browser zijn opgeslagen met wachtwoorden die bij websites zijn gestolen. Wanneer Chromium Edge ontdekt dat het wachtwoord van de gebruiker is gestolen krijgt die een waarschuwing te zien. In de waarschuwing staat informatie over de website in kwestie en een link om het betreffende gestolen wachtwoord te wijzigen. Via een dashboard is het mogelijk om een overzicht van alle gestolen wachtwoorden te krijgen en van welke websites gebruikers de waarschuwing hebben genegeerd. Gebruikers moeten de feature straks wel zelf inschakelen. Standaard staat die namelijk uitgeschakeld. Microsoft verwacht dat Password Monitor de komende maanden aan de testversie van Chromium Edge wordt toegevoegd. De nieuwste Edge-versie is op Chromium gebaseerd, de door Google ontwikkelde opensourcebrowser die de basis voor Chrome en andere browsers vormt. De feature zal niet in de oude Edge-versie verschijnen, die standaard met Windows 10 wordt geleverd. Waar Microsoft de informatie over gestolen wachtwoorden vandaan haalt is nu nog niet bekendgemaakt, alsmede hoe de feature technisch werkt. Google Chrome en Mozilla Firefox beschikken al over een dergelijke feature. Mozilla maakt hiervoor gebruik van de datalekzoekmachine Have I Been Pwned. Google liet alleen weten dat de dataset die het gebruikt meer dan 4 miljard gestolen wachtwoorden bevat. Wanneer gebruikers bij Chrome inloggen verstuurt de browser een "anonieme hash-prefix" van de inloggegevens naar Google. Vervolgens wordt in een database naar alle anonieme hash-prefixes gezocht die overeen komen met die van de gebruiker. Vervolgens wordt er lokaal op het systeem van de gebruiker naar de volledige hashes gekeken en welk wachtwoord hierbij hoort. Als laatste krijgt de gebruiker de waarschuwing te zien en het verzoek om zijn wachtwoord te wijzigen. bron: security.nl

Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is. Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software. Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren. De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt. bron: security.nl

Twee zerodaylekken in routers van Draytek zijn zeker al sinds december gebruikt voor het afluisteren van het netwerkverkeer van organisaties en het installeren van backdoors. De netwerkfabrikant heeft inmiddels beveiligingsupdates uitgebracht. Dat meldt securitybedrijf Qihoo 360. Onderzoekers van het bedrijf ontdekten op 4 december de eerste zeroday-aanvallen. Die maakten gebruik van een kwetsbaarheid in de Vigor3900-, Vigor2960- en Vigor300B-routers waardoor ongeautoriseerde gebruikers op afstand commando's op de netwerkapparatuur konden uitvoeren. Op 28 januari werd er een tweede zerodaylek ontdekt dat actief door aanvallers werd gebruikt en ook het op afstand uitvoeren van commando's mogelijk maakte. Aanvallers gebruiken de kwetsbaarheden voor het installeren van scripts waarmee al het e-mail- en ftp-verkeer op poorten 21, 25, 143 en 110 wordt onderschept. Tevens installeren de aanvallers verschillende backdoors en maken ook backdoor-accounts aan. Onderzoekers van Qihoo 360 waarschuwden Draytek op 8 december vorig jaar voor het eerste zerodaylek, maar ontdekten later pas dat het communicatiekanaal niet bleek te werken. Op 25 december verstrekte Qihoo 360 wat details over de aanvallen op Twitter, zonder de naam van Draytek te noemen. Uiteindelijk kwam Draytek op 10 februari met beveiligingsupdates. Daarop hebben de onderzoekers nu de details over de kwetsbaarheden openbaar gemaakt. Organisaties krijgen het advies om de firmware-updates te installeren en te controleren dat hun netwerkapparaten niet zijn gecompromitteerd. Op het moment dat de eerste aanvallen werden ontdekt waren er volgens Qihoo 360 zo'n 100.000 kwetsbare Draytek-routers online. bron: security.nl

Vanaf volgende week zullen er weer updates voor Chrome verschijnen, zo heeft Google aangekondigd. Vorige week liet het techbedrijf nog weten dat het vanwege "aangepaste werkschema's" door het coronavirus tijdelijk geen nieuwe Chrome-versies zou uitbrengen. Google is echter van plan om de updates voor Chrome volgende week te hervatten. Als eerste verschijnt er een nieuwe versie van Chrome 80 die beveiligingsupdates en kritieke bugfixes bevat. Vervolgens zal in de week van 7 april Chrome 81 uitkomen. Vanwege het aangepaste schema besloot Google om Chrome 82 te schrappen. In plaats daarvan zal er verder worden gegaan met Chrome 83, die drie weken eerder dan gepland uitkomt. Dit zou halverwege mei moeten zijn. Informatie over Chrome 84 zal Google op een later moment delen. "We blijven nauwlettend in de gaten houden dat Chrome en Chrome OS stabiel, veilig en betrouwbaar blijven werken", aldus het Chrome-team. Naar aanleiding van Googles beslissing om een pauze in te lassen besloot ook Microsoft om nieuwe versies van Edge Chromium tijdelijk uit te stellen. Of Microsoft nu ook het updateschema hervat is nog onbekend. bron: security.nl

Google Chrome krijgt een optie waardoor standaard de volledige url wordt weergegeven. Op dit moment laat de browser zowel het protocol als het www-subdomein niet in de url zien. Gebruikers konden dit via een aparte optie instellen, maar met de lancering van Chrome 79 verdween deze optie uit de browser. Gebruikers die het protocol en www-subdomein willen zien moeten nu twee keer in de adresbalk klikken of Googles Chrome-extensie "Suspicious Site Reporter" installeren. Tegenstanders van de maatregel noemden het een beveiligingsrisico. Zo zou het voor een aanvaller veel eenvoudiger worden om zich als het hoofddomein voor te doen. Google werkt echter aan een optie zodat de volledige url in de adresbalk weer wordt weergegeven, zo blijkt uit een ticket van de Chromium-bugtracker en een toevoeging aan de Chromium-code. Er is zelfs al een ontwerp gemaakt van hoe de optie eruit komt te zien. Daarnaast is die in een vroege testversie van Chrome 83 te testen. Eerder liet Chrome-manager Adrienne Porter Felt in een interview met Wired weten dat veel eindgebruikers url's niet snappen en dat het daarom niet geschikt is als middel om een website te identificeren. bron: security.nl

Mozilla zal Firefox 76 die voor mei van dit jaar gepland staat voorzien van een optionele https-only mode die websites alleen nog via https laadt. Dat meldt webontwikkelaar Sören Hentzschel en blijkt ook uit een melding op Bugzilla. Wanneer gebruikers in deze mode in de adresbalk een domein invoeren zal Firefox het domein automatisch via https laden. Voert de gebruiker een url in die met http begint, dan verandert Firefox het protocol automatisch naar https. Ook zal de browser alle content op websites die via http wordt aangeboden automatisch via https proberen te laden. De feature werkt alleen als de website en overige content ook via https wordt aangeboden. Inmiddels maken de meeste websites gebruik van https. In het geval een website toch nog alleen via http bereikbaar is of content via http aanbiedt zullen die in de https-only mode niet worden geladen. Alleen websites en content toegankelijk via https zullen in de https-only mode werken. De feature is nu in de meest recente versie van Firefox Nightly te testen en zal in de definitieve versie van Firefox 76 aanwezig zijn, die voor 5 mei gepland staat. bron: security.nl

Aanvallers zijn erin geslaagd om kwaadaardige code aan de website van keukengereifabrikant Tupperware toe te voegen die creditcardgegevens van klanten steelt. De code werd aan de betaalpagina van de Tupperware-webshop toegevoegd en zorgt ervoor dat zodra klanten hun bestelling willen afrekenen er een vals betaalformulier wordt geladen. Zodra slachtoffers hun creditcardgegevens in het valse betaalformulier hebben ingevuld verschijnt er een foutmelding, waarna het legitieme betaalformulier wordt geladen. Slachtoffers vullen vervolgens hun gegevens voor een tweede keer in. Op dat moment zijn de gegevens al naar de criminelen gestuurd, zo meldt antimalwarebedrijf Malwarebytes in een analyse. Onderzoekers van het bedrijf probeerden Tupperware te waarschuwen, maar zonder succes. De keukengereifabrikant werd verschillende keren gebeld, via e-mail, Twitter en LinkedIn benaderd, maar op het moment dat de analyse online verscheen was de website nog steeds gecompromitteerd en hadden de onderzoekers geen reactie gekregen. Hoe de aanvallers toegang tot de Tupperware-site wisten te krijgen is onbekend. bron: security.nl

Onderzoekers hebben een nieuwe aanvalscampagne ontdekt waarbij criminelen weten in te breken op Linksys-routers om die vervolgens naar een "corona-app" te laten wijzen. In werkelijkheid gaat het om malware die wachtwoorden uit de browser en cryptowallet-wachtwoorden steelt. Ook in Nederland zijn er slachtoffers, aldus antivirusbedrijf Bitdefender. Hoe de aanvallers precies op de Linksys-routers weten in te breken is onbekend, maar onderzoekers denken dat dit via bruteforce-aanvallen gebeurt. De aanvallen zouden zijn gericht tegen de beheerdersconsole van de router of het Linksys-cloudaccount. Zodra de aanval succesvol is wijzigen de aanvallers de dns-instellingen van de router. Hierdoor worden bepaalde domeinen naar een locatie van de aanvallers doorgestuurd. Het gaat onder andere om aws.amazon.com, goo.gl, bit.ly, disney.com en doubleclick.net. Zodra slachtoffers een dergelijk domein bezoeken verschijnt er in de browser een melding die van de Wereldgezondheidsorganisatie afkomstig lijkt te zijn. Volgens de melding moeten gebruikers de aangeboden applicatie installeren om de laatste adviezen over het coronavirus te ontvangen. In werkelijkheid gaat het om een malware-downloader die de Oski-infostealer downloadt en op het systeem installeert. Deze malware kan onder andere wachtwoorden uit de browser stelen, alsmede wachtwoorden voor cryptowallets. De meeste slachtoffers van de aanval werden door Bitdefender in de Verenigde Staten waargenomen, gevolgd door Duitsland en Frankrijk. Nederland volgt op de vierde plek. "Door de dns-instellingen van de router te wijzigen denken gebruikers dat ze op een legitieme webpagina zijn beland, alleen dat het van een ander ip-adres wordt geladen", zegt onderzoeker Liviu Arsene. Gebruikers krijgen het advies om standaardwachtwoorden te wijzigen en de laatste firmware-update te installeren. bron: security.nl

De afgelopen weken zijn tientallen organisaties aangevallen via kwetsbaarheden in producten van Citrix, Cisco en Zoho, zo stelt securitybedrijf FireEye. In alle gevallen waren er updates of oplossingen beschikbaar om aanvallen tegen te gaan, maar waren die niet door alle organisaties uitgerold. De aanvallen waren gericht tegen onder andere banken, defensiebedrijven, universiteiten, advocatenkantoren, mediabedrijven, energiesector, farmaceutische bedrijven, telecombedrijven en verschillende andere sectoren over de hele wereld. Volgens FireEye is een groep genaamd APT41 voor de aanvallen verantwoordelijk. Deze groep zou vanuit China opereren en zich met cyberspionage en aanvallen voor persoonlijke financieel gewin bezighouden. De nieuwste campagne van de groep begon op 20 en 21 januari en maakte misbruik van een ernstig beveiligingslek in de Citrix Netscaler/ADC-oplossingen. Citrix had toen al mitigatiemaatregelen beschikbaar gesteld om aanvallen te voorkomen. Op 20 januari verscheen daarnaast een eerste beveiligingsupdate voor bepaalde versies van de kwetsbare producten. Op 21 februari van dit jaar zag FireEye een succesvolle aanval tegen een Cisco RV320-router van een niet nader genoemde telecomorganisatie. Welke exploit de aanvallers gebruikten is onbekend, maar vermoedelijk maakte die misbruik van twee kwetsbaarheden die op 4 april 2019 door Cisco werden gepatcht. Daarnaast heeft FireEye ook aanvallen van APT41 gezien waarbij er een kwetsbaarheid in de Zoho ManageEngine Desktop Central werd gebruikt. Desktop Central is een oplossing om computers en mobiele apparaten mee te beheren. Het beveiligingslek was op 12 december aan ManageEngine gerapporteerd. Het bedrijf kwam op 20 januari met een tijdelijke oplossing. Op 7 maart verscheen er een beveiligingsupdate. Een dag later zag FireEye dat APT41 de kwetsbaarheid bij tien klanten probeerde aan te vallen. Bij vijf organisaties was de aanval succesvol. Organisaties krijgen dan ook het advies om beschikbare patches te installeren en mitigatiemaatregelen door te voeren. bron: security.nl

De nieuwste versie van Safari die Apple gisterenavond uitbracht blokkeert alle third-party cookies. Een maatregel die de privacy en security van gebruikers moet verbeteren, zo stelt John Wilander van Apple. De maatregel voorkomt onder andere dat gebruikers via third-party cookies zijn te volgen. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Apples browser beschikt sinds 2017 over Intelligent Tracking Prevention (ITP) waarmee third-party trackingcookies worden geblokkeerd. Safari maakt hiervoor gebruik van een lijst van bekende trackingdomeinen. Nu is de privacymaatregel uitgebreid naar alle third-party cookies. Safari is na Tor Browser de eerste grote browser die third-party cookies volledig blokkeert, merkt Wilander op in een blogposting over de maatregel. Dit moet niet alleen de privacy ten goede komen, maar gebruikers ook tegen cross-site request forgery (CSRF) beschermen. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Doordat third-party cookies worden geblokkeerd is deze aanval niet meer mogelijk. Verder zorgt het blokkeren van alle third-party cookies ervoor dat een website niet meer kan detecteren op welke websites een gebruikers allemaal is ingelogd. Wilander hoopt dat andere browsers de maatregel ook zullen doorvoeren. Apple zal daarom de bevindingen met het volledig blokkeren van third-party cookies met andere browserontwikkelaars gaan delen. De maatregel is aanwezig in Safari op iOS en iPadOS versie 13.4 en Safari 13.1 voor macOS. bron: security.nl

De FBI heeft het cybercrimeplatform Deer.io uit de lucht gehaald en de vermeende beheerder aangehouden. Deer.io bood een webwinkelplatform aan waarmee cybercriminelen allerlei producten en diensten aan andere cybercriminelen konden aanbieden. De website was sinds 2013 operationeel en claimde meer dan 24.000 "shops" te hebben die bij elkaar voor een omzet van meer dan 17 miljoen dollar verantwoordelijk waren. De shops boden gestolen bedrijfsgegevens en financiële data aan, alsmede persoonlijke identificeerbare informatie en gecompromitteerde accounts. Het ging onder andere om data die via malware was verkregen, zo stelt het Amerikaanse ministerie van Justitie. Via Deer.io konden cybercriminelen eenvoudig een eigen webshop lanceren en hun producten en diensten adverteren. Volgens de aanklacht bood Deer.op webshopeigenaren een gebruiksvriendelijke interface voor de automatische aanschaf en levering van criminele goederen en diensten. Voor iets meer dan 9 euro per maand konden cybercriminelen een webshop op het platform huren. Daarnaast was het via Deer.io ook eenvoudig om naar gestolen inloggegevens of andere diensten te zoeken. In het onderzoek naar het platform kocht de FBI op 4 maart 1100 gecompromitteerde accounts. Een dag later werden er bijna 3700 gecompromitteerde accounts met persoonlijke informatie aangeschaft. Het ging onder andere om namen, geboortedata en social-securitynummers van Amerikaanse burgers. Het platform zou door een 28-jarige Rus zijn beheerd. Hij werd op 7 maart door de FBI in New York City aangehouden en is aangeklaagd voor het zonder toestemming aanbieden van "access devices", waarop een gevangenisstraf van maximaal 10 jaar en een boete van 250.000 dollar staat. bron: security.nl

Door een fout kunnen verschillende SAS SSD-schijven van Hewlett Packard Enterprise (HPE) na 40.000 uur onherstelbaar defect raken waardoor alle data op de schijf verloren gaat. Om dit te voorkomen is een kritieke firmware-update uitgebracht. Afgelopen november had HPE met een soortgelijk probleem te maken. Toen konden schijven na 32.768 uur onherstelbaar defect raken. Het nieuwe probleem, dat los van het eerdere probleem staat, doet zich na 40.000 uur voor. HPE adviseert om de firmware-update meteen te installeren. Wanneer dit niet wordt gedaan zal er na 40.000 uur dataverlies ontstaan. Nadat het probleem zich voordoet is zowel de SSD als data niet meer te herstellen. Wanneer de SSD-schijven op hetzelfde moment zijn gebruikt zullen ze waarschijnlijk ook gelijktijdig stukgaan waarschuwt het bedrijf, wat gevolgen kan hebben als ze in een RAID-setup zijn gebruikt. HPE verwacht, gezien de levertijd van de eerste van deze schijven, dat dit op zijn vroegst in oktober van dit jaar is. Daarnaast meldt het bedrijf dat het probleem niet alleen bij HPE speelt, maar ook bij andere fabrikanten en klanten die deze SSD-schijven van de betreffende leverancier hebben aangeschaft. Via deze pagina legt HPE uit hoe de SSD-uptime kan worden bekeken. bron: security.nl

De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is. Deze library is in alle Windows-versies sinds Vista aanwezig. Verdere details over de aanvallen werden niet gegeven. Nu meldt Microsoft in een update van de security advisory dat Windows 7-systemen het doelwit waren. Via de twee beveiligingslekken kan een aanvaller in het ergste geval volledige controle over systemen krijgen. Hiervoor moet het slachtoffer wel eerst een speciaal geprepareerd document openen of dit document in het Windows-voorbeeldvenster (preview pane) bekijken. Volgens Microsoft is de dreiging voor systemen die op Windows 10 draaien klein, vanwege beveiligingsmaatregelen die al sinds de eerste versie in 2015 aanwezig zijn. Het techbedrijf is ook niet bekend met aanvallen tegen Windows 10-systemen en stelt dat de mogelijkheid om op afstand code uit te voeren op deze Windowsversie verwaarloosbaar is en aanvallers de kwetsbaarheden niet kunnen gebruiken om hun rechten op het systeem te verhogen. Wanneer de beveiligingsupdate voor de twee kwetsbaarheden zal verschijnen is nog altijd onbekend. Microsoft heeft wel verschillende tijdelijke oplossingen genoemd die gebruikers beschermen, maar raadt beheerders van Windows 10-systemen af om die door te voeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen. bron: security.nl

Met de lancering van Firefox 77 in juni van dit jaar zal de browser het onveilige ftp-protocol niet langer meer standaard ondersteunen. Gebruikers kunnen ftp-support nog wel zelf inschakelen, maar begin volgend jaar zal ook dit niet meer mogelijk zijn. Zeven maanden geleden deed een Mozilla-ontwikkelaar al het verzoek om ftp-support uit de browser te verwijderen, omdat ftp een onveilig protocol is. Het protocol maakt geen gebruik van versleuteling, waardoor inloggegevens als platte tekst naar de ftp-server worden verstuurd. Vorig jaar maakte ook Google bekend dat het de ondersteuning van ftp in Chrome ging stoppen. De ondersteuning wordt stopgezet in Chrome 81 en met de lancering van Chrome 82 wordt alle ftp-gerelateerde code verwijderd. Mozilla-ontwikkelaar Michal Novotny laat aan ZDNet weten dat er nu ook een planning voor Firefox is. Met de lancering van Firefox 77 op 2 juni van dit jaar wordt de ondersteuning standaard gestopt. Gebruikers kunnen het via de instellingen van de about:config pagina nog wel inschakelen. Begin 2021 wordt echter alle code uit de browser verwijderd die met het ftp-protocol verband houdt. "We doen dit voor beveiligingsredenen. Ftp is een onveilig protocol en er is geen reden om het boven https te gebruiken voor het downloaden van bestanden. Een deel van de ftp-code is ook oud, onveilig en lastig te onderhouden en in het verleden hebben we er tal van kwetsbaarheden in gevonden", aldus Novotny. bron: security.nl

Google heeft vanwege de uitbraak van het coronavirus besloten om tijdelijk geen nieuwe versies van Chrome en Chrome OS uit te brengen. Beveiligingsupdates zullen nog wel verschijnen. "Vanwege aangepaste werkschema's pauzeren we op dit moment nieuwe Chrome- en Chrome OS-versies. Ons belangrijkste doel is ervoor te zorgen dat ze stabiel, veilig en betrouwbaar blijven werken voor iedereen die ervan afhankelijk is", aldus het ontwikkelteam. Beveiligingsgerelateerde updates krijgen prioriteit en zullen nog wel worden aangeboden. Zo heeft Google kort na deze aankondiging Chrome 80.0.3987.149 uitgerold. Het gaat om een desktopversie van de browser die dertien kwetsbaarheden verhelpt. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De kwetsbaarheden bevonden zich in WebGL, de audio- en mediafunctionaliteit van de browser, de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript en de controle van extensies. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl