Captain Kirk

Gebruikers van Firefox die willen zien welke telemetriegegevens de browser verzamelt kunnen dit nu via een aparte pagina bekijken. Het gaat om niet-persoonlijke informatie zoals de hardware van het systeem waarop Firefox draait, de prestaties van de browser, gebruiksgegevens en geïnstalleerde add-ons. Volgens Mozilla helpen de gegevens zowel engineers als beleidsmakers bij de browserontwikkelaar om te zien hoe Firefox in de "echte wereld" presteert. Bij de installatie van Firefox laat Mozilla weten dat het telemetriegegevens verzamelt. Gebruikers kunnen dit vervolgens ook uitschakelen. Daarnaast geeft de opensource-ontwikkelaar via het Firefox Public Data Report een overzicht van de verzamelde telemetriegegevens. Via de optie "about:telemetry" in de adresbalk kunnen gebruikers nu ook zelf zien wat de browser naar Mozilla stuurt. Wanneer gebruikers het verzamelen en doorsturen van telemetriegegevens uitschakelen zal Firefox eerder verzamelde telemetriegegevens verwijderen. Een optie die met de lancering van Firefox 72 vorige maand werd geïntroduceerd. bron: security.nl

Onderzoekers hebben een nieuwe versie van de beruchte Trickbot-malware ontdekt die adminrechten weet te verkrijgen zonder dat gebruikers een melding van Windows 10 User Account Control (UAC) krijgen. UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als een programma met adminrechten wordt uitgevoerd, bijvoorbeeld om systeemwijzigingen door te voeren. Het UAC-venster is afhankelijk van de rechten van de ingelogde gebruiker. Is de gebruiker ingelogd als administrator, dan zal het UAC-venster om toestemming vragen voor het uitvoeren van de software in kwestie. Is de gebruiker met verminderde rechten ingelogd, dan moet het adminwachtwoord worden ingevoerd. Bij het uitvoeren van vertrouwde Windows-bestanden zal er geen UAC-venster worden getoond. Sommige van deze programma's kunnen andere applicaties starten die met adminrechten worden uitgevoerd zonder dat de gebruiker een UAC-waarschuwing te zien krijgt. Onlangs waarschuwde beveiligingsonderzoeker Vitali Kremez dat de Trickbot-malware het programma Fodhelper.exe gebruikte om adminrechten te verkrijgen, zonder dat gebruikers een UAC-venster te zien kregen. Dat UAC via Fodhelper is te omzeilen is al sinds 2017 bekend. Nu blijkt dat de makers van Trickbot een nieuwe "Windows 10 UAC bypass" gebruiken, zo melden securitybedrijf Morphisec en Kremez. Dit keer maakt Trickbot gebruik van het vertrouwde Windows-programma Wsreset.exe, waarmee de Windows Store-cache is te resetten. Het is mogelijk om Wsreset zo aan te roepen dat het ook een aanvullende commando uitvoert, zoals het laden van malware. De malware draait hierdoor met adminrechten en de gebruiker krijgt hiervan geen melding te zien. Zodra Trickbot adminrechten heeft gekregen kunnen er wachtwoorden en andere gegevens worden gestolen waarmee de malware zich lateraal door het netwerk kan bewegen. Vervolgens kan erop de besmette machines ransomware worden geïnstalleerd. Er zijn meerdere gevallen bekend waarbij Trickbot-infecties binnen organisaties tot grootschalige besmettingen met de Ryuk-ransomware hebben geleid. Volgens Bleeping Computer hebben UAC bypasses geen hoge prioriteit voor Microsoft en kan het enige tijd duren voordat ze worden verholpen, als Microsoft al met een oplossing komt. bron: security.nl

Google heeft firmware die voor een fysieke beveiligingssleutels is te gebruiken open source gemaakt. OpenSK is een in de programmeertaal Rust geschreven opensource-implementatie voor beveiligingssleutels die de FIDO U2F- en FIDO2-standaarden ondersteunt. De beveiligingssleutel fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Volgens Google bieden fysieke beveiligingssleutels de beste bescherming tegen phishing. Steeds meer websites ondersteunen het gebruik van beveiligingssleutels, zoals Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe en Twitter. Door de firmware open source te maken hoopt Google dat onderzoekers, sleutelfabrikanten en andere partijen er gebruik van zullen maken, wat voor nieuwe features en een hogere adoptiegraad moet zorgen. De eerste versie van OpenSK werkt met een dongle van Nordic Semiconductor. Gebruikers kunnen zo hun eigen "developer key" maken. Google stelt dat het bewust voor de dongle van Nordic als referentiehardware heeft gekozen omdat het alle transportprotocollen ondersteunt, een aparte "hardware crypto core" heeft en betaalbaar is. Hoewel het nu mogelijk is om met de OpenSK-firmware en dongle een FIDO-authenticator te maken, waarschuwt Google dat de eerste versie van de firmware als een experimenteel onderzoeksproject moet worden beschouwd en alleen voor test- en onderzoeksdoeleinden is bedoeld. bron: security.nl

Avast sluit databedrijf Jumpshot na ophef over dataverzameling Antivirusbedrijf Avast sluit databedrijf Jumpshot na ophef over het verzamelen en verwerken van gegevens van Avast-gebruikers. Dat heeft het bedrijf vandaag bekendgemaakt. Jumpshot verwerkte gegevens van Avast-gebruikers die via de extensies en software van het antivirusbedrijf werden verzameld. Vervolgens werd de geanonimiseerde data aan klanten verkocht, waaronder Google en Microsoft. Die konden zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website ging. Het ging onder andere om zoekopdrachten, bekeken locaties op Google Maps, bezochte LinkedIn-pagina's, bekeken YouTube-video's en andere zaken. Avast kwam vorig jaar al in het nieuws omdat het de gegevens via de Avast- en AVG-browserextensies verzamelde. Na ophef besloot de virusbestrijder de hoeveelheid verzamelde data te beperken. Deze week werd bekend dat gegevens nu via de virusscanner van Avast worden verzameld. Naar aanleiding van de ontstane ophef meldde Avast gisteren dat het gebruikers nadrukkelijk om toestemming ging vragen voor het verzamelen van data. Vandaag meldt het bedrijf dat er geen data meer aan Jumpshot wordt verstrekt en het bedrijf zal worden opgeheven. De verkoop van de data leverde Avast vele miljoen dollars op. In de eerst helft van 2019 had het antivirusbedrijf een omzet van 430 miljoen dollar. Twintig miljoen daarvan was afkomstig van de verkoop van gebruikersgegevens. "Het is de missie van Avast om gebruikers te beschermen en controle over hun privacy te geven. Elke praktijken die het vertrouwen van gebruikers in gevaar brengen zijn onacceptabel voor Avast", aldus Avast-ceo Ondrej Vlcek. Hoeveel mensen precies door het opheffen van Jumpshot op straat komen te staan is nog niet bekend.

Antivirusbedrijf Avast gaat het verzamelen van gebruikersdata via de virusscanner opt-in maken. Een update die gebruikers om toestemming vraagt zal worden uitgerold. Dat laat de virusbestrijder weten na ophef over het verzamelen en verkopen van gebruikersdata. Vorig jaar werd bekend dat Avast miljoenen verdient aan gebruikers die de extensies van Avast of AVG hebben geinstalleerd. AVG is al enige tijd onderdeel van Avast. De verzamelde data, die volgens Avast niet naar personen is te herleiden, wordt geanalyseerd door het bedrijf Jumpshot, waar Avast een meerheidsbelang in heeft. Vervolgens wordt de data aan klanten verkocht. Het gaat dan om investeerders en "brand managers". Die kunnen zo zien hoe mensen van het internet gebruikmaken. Onder andere Google en Microsoft zijn klant Jumpshot. Naar aanleiding van deze onthulling besloten Google en Mozilla de browserextensies uit hun extensie-stores te verwijderen. Daarop maakte Avast bekend dat het de hoeveelheid gebruikersdata die de extensies verzamelen ging beperken. Deze week bleek uit gelekte documenten waar PCMag en Vice Magazine over berichtten dat Avast de gebruikersgegevens nu direct via de antivirussoftware verzamelt, in plaats van de eigen extensies hiervoor te gebruiken. In een reactie op de nieuwe ontstane ophef laat Avast weten dat in het privacybeleid duidelijk staat vermeld welke gegevens het verzamelt. Ook benadrukt de virusbestrijder dat het geen persoonlijke identificeerbare gegevens aan derde partijen heeft gekocht. Naar aanleiding van alle commotie heeft Avast nu wel besloten verschillende aanpassingen door te voeren. "In juli 2019 hebben we een expliciete opt-in-keuze voor alle nieuwe downloads van onze desktop-antivirus getest die het legacy opt-out-mechanisme zal vervangen, en we zijn bezig om dit onder al onze bestaande gebruikers uit te rollen die proactief zullen worden gevraagd om hun keuze te maken", aldus de verklaring van Avast. Het antivirusbedrijf merkt verder op dat het naar andere aanpassingen kijkt om de transparantie en keuze voor gebruikers te verbeteren. bron: security.nl

Op internet zijn duizenden SharePoint 2007-servers te vinden die door een ernstig beveiligingslek kwetsbaar zijn voor aanvallen, maar geen beveiligingsupdates meer ontvangen omdat de software end-of-life is. Daarnaast worden deze servers niet door zogeheten vulnerability-scanners gedetecteerd. Daardoor lopen organisaties risico omdat kwetsbare servers niet door beheerders worden opgemerkt, zo laat de Britse beveiligingsonderzoeker Kevin Beaumont weten. Het beveiligingslek is onder andere gebruikt om op servers van de Verenigde Naties in te breken. Sinds vorig jaar mei wordt er gewaarschuwd voor aanvallen op kwetsbare servers. SharePoint biedt organisaties een platform om intern of via internet gegevens te delen. Het product zou volgens Microsoft 190 miljoen gebruikers over 200.000 organisaties hebben. Vorig jaar februari en maart patchte Microsoft een ernstige kwetsbaarheid in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 en 2013 en SharePoint Server 2010, 2013 en 2019. Beaumont stelt dat ook SharePoint 2007 kwetsbaar is. Deze versie stond echter niet in het beveiligingsbulletin van Microsoft vermeld. SharePoint 2007 is namelijk sinds 10 oktober 2017 end-of-life en wordt niet meer door Microsoft ondersteund. Toch bevat ook deze versie de eerder genoemde kwetsbaarheid en ook de exploit die misbruik van het lek maakt werkt tegen SharePoint 2007. De Britse beveiligingsonderzoeker laat weten dat erop internet nog duizenden SharePoint 2007-servers zijn te vinden zijn, onder andere bij overheden. Organisaties kunnen via vulnerability-scanners kwetsbare systemen in hun netwerken vinden, maar in het geval van SharePoint 2007-servers zouden die niet worden gedetecteerd. Microsoft heeft organisaties die met SharePoint 2007 werken eerder al opgeroepen om naar een wel ondersteunde versie te upgraden. bron: security.nl

Aanvallers zijn vorig jaar juli erin geslaagd om op tientallen servers van de Verenigde Naties in te breken omdat een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid niet door beheerders was geinstalleerd. De kwetsbaarheid werd in februari en maart vorig jaar door Microsoft gepatcht. In mei werd bekend dat de kwetsbaarheid actief werd aangevallen en kwam de Canadese overheid zelfs met een waarschuwing voor deze aanvallen. De servers bij de Verenigde Naties werden echter niet gepatcht. Volgens VN-beleid moeten updates binnen een maand zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten. Aanvallers konden zo toegang tot een kwetsbare SharePoint-server krijgen en daarvandaan andere servers in het VN-netwerk benaderen. Het zou om minstens 42 servers op locaties in Genève en Wenen gaan. Vijfentwintig andere servers zijn mogelijk door de aanvallers gecompromitteerd. Bij de aanval zou 400GB aan data zijn buitgemaakt, waaronder gegevens van VN-medewerkers, aldus een bron. VN-personeel werd na ontdekking van de inbraak wel gevraagd hun wachtwoord te wijzigen, maar kreeg niets over de inbraak en gestolen data te horen. bron: security.nl

Microsoft stopt volgende maand de ondersteuning van Internet Explorer 10. Op 11 februari zal de allerlaatste beveiligingsupdate verschijnen. Daarna zullen nieuwe kwetsbaarheden niet meer worden gepatcht. Ook bij klanten die betaalde supportopties hebben, zo waarschuwt het techbedrijf. Organisaties die met Internet Explorer 10 op Windows Server 2012 en Windows Embedded 8 Standard werken en beveiligingsupdates willen blijven ontvangen moeten dan ook upgraden naar Internet Explorer 11. Om organisaties hiermee te helpen zal de Internet Explorer 11 standalone update door Microsoft worden veranderd van optionele update naar aanbevolen update. Zodra IE11 is geïnstalleerd adviseert Microsoft om de laatste cumulatieve update voor de browser te installeren, zodat de browser over alle beveiligingsupdates beschikt. Later dit jaar zullen beveiligingsupdates voor IE11 ook aan de Monthly Rollup-update worden toegevoegd. Voor organisaties die met applicaties werken die alleen in IE10 worden ondersteund biedt Internet Explorer 11 een "compatibility mode". Internet Explorer 10 wordt in de praktijk nog nauwelijks gebruikt. De browser heeft op de desktop een marktaandeel van 0,1 procent. bron: security.nl

Voor duizenden op Magento-gebaseerde webwinkels is een belangrijke beveiligingsupdate verschenen die meerdere ernstige kwetsbaarheden verhelpt waardoor aanvallers de webshop kunnen overnemen. Ook is het mogelijk om code toe te voegen die de creditcardgegevens van klanten steelt. De kwetsbaarheden zijn aanwezig in Magento Commerce, Magento Open Source, Magento Enterprise Edition en Magento Community Edition. Via de beveiligingslekken kan een aanvaller gevoelige gegevens van de webwinkel achterhalen en willekeurige code uitvoeren. De afgelopen maanden wisten criminelen via beveiligingslekken in Magento op duizenden webwinkels kwaadaardige code te plaatsen die creditcardgegevens van klanten stal. Updates voor de aangevallen kwetsbaarheden waren wel beschikbaar, maar niet door de beheerders van de webshops geïnstalleerd. Adobe, dat eigenaar van Magento is, heeft de kwetsbaarheden een "prioriteit 2" gegeven. Het gaat dan om producten die in het verleden zijn aangevallen. Op dit moment zijn er echter geen kwetsbaarheden bekend die van de kwetsbaarheden misbruik maken en Adobe verwacht niet dat die op korte termijn zullen verschijnen. Adobe adviseert om de beveiligingsupdate "snel" te installeren, waarbij als voorbeeld "binnen 30 dagen" wordt genoemd. bron: security.nl

Opnieuw is er een groot Belgisch bedrijf getroffen door ransomware. Dit keer wisten criminelen de systemen van de Belgische it-leverancier SPIE ICS met ransomware te infecteren, waardoor de dienstverlening aan klanten verstoord raakte. Bij diverse klanten zijn de it-systemen niet bruikbaar. Vanwege de infectie zag het it-bedrijf zich genoodzaakt om zestig van de drieduizend klanten af te koppelen, zo meldt De Tijd. DataNews spreekt over 75 klanten. In een update op de eigen website meldt de it-dienstverlener dat het "behoorlijke voortgang" heeft geboekt bij het herstel van systemen, waardoor sommige diensten weer voor klanten beschikbaar zijn. Binnen de komende twee dagen hoopt SPIE ICS meer diensten online te krijgen. Hoe het bedrijf besmet kon raken is niet bekendgemaakt. Wel hebben de aanvallers losgeld gevraagd voor het ontsleutelen van bestanden. Om wat voor bedrag het gaat wil de it-dienstverlener niet zeggen. Drie weken geleden waarschuwde SPIE ICS nog dat bedrijven met Windows 7 moesten overstappen naar Windows 10, mede vanwege het risico op ransomware. "De kosten kunnen zeer hoog oplopen als uw netwerk moet worden opgekuist na een geslaagde aanval met ransomware of bij een gedwongen stillegging van de activiteiten door een virus." SPIE ICS heeft 1850 medewerkers in dienst en zeventien vestigingen. De it-dienstverlener is onderdeel van de Franse multinational SPIE, die bijna 47.000 medewerkers telt en in 36 landen actief is. Het concern had in 2017 een omzet van 6,1 miljard euro. Het is de tweede grote ransomware-infectie in België in korte tijd die in de media komt. Twee weken geleden werd de Belgische weefmachinebouwer Picanol nog door een ransomware-aanval platgelegd. bron: security.nl

De helft van alle WordPress-sites die vorig jaar door malware besmet raakte draaide een verouderde versie van het contentmanagementsysteem (cms). Daarnaast raakte een aanzienlijk deel via verouderde plug-ins besmet, zo stelt securitybedrijf Sucuri op basis van 60.000 opgeschoonde websites. Van de besmette websites die het bedrijf opschoonde draaide 94,2 procent op WordPress. Vier procent meer dan in 2018. Maar liefst 56 procent van alle besmette websites draaide op het moment van de infectie een verouderde cms-versie. Wordt er specifiek naar WordPress gekeken, dan is dit 49 procent. Sinds WordPress 3.7 biedt het cms de mogelijkheid om automatisch updates te installeren. WordPress doet het daardoor beter dan andere platformen. Zo waren bij Drupal, Magento en Joomla, drie andere populaire cms-platformen, respectievelijk 77, 87 en 90 procent van de besmette websites op het moment van de infectie out-of-date. Waar het bij WordPress-sites wel misgaat zijn de plug-ins. Ruim veertig procent van de besmette sites draaide een verouderde plug-in waardoor aanvallers toegang tot de website konden krijgen. Verder ontdekten de onderzoekers dat veel websites kwetsbare versies van PHP draaien. Meer dan tweederde van de sites maakt gebruik van een PHP-versie die end-of-life is en geen beveiligingsupdates meer ontvangt. In de meeste gevallen proberen aanvallers bij een succesvolle aanval spamcontent op de site te plaatsen of code toe te voegen die bezoekers van de gecompromitteerde site automatisch naar een spamsite doorstuurt. "Alleen in 2019 was 60 procent van de cms-applicaties out-of-date op het moment van de infectie, waardoor verouderde onderdelen en cms-bestanden de voornaamste oorzaak van gehackte websites zijn. Verouderde plug-ins, modules en extensies, misbruikte inloggegevens, slecht geconfigureerde applicaties en servers en een gebrek aan kennis over security best practices blijven een oorzaak van infecties", aldus Sucuri, dat voor dit jaar een zelfde beeld verwacht. bron: security.nl

De NSA heeft een waarschuwing afgegeven voor de beveiligingsrisico's van clouddiensten. Dergelijke diensten kunnen de security van een organisatie volgens de Amerikaanse geheime dienst verbeteren, maar ook risico's introduceren waarbij het kiezen en gebruik van de cloud rekening moet worden gehouden. Cloudkwetsbaarheden worden door de NSA in vier klassen verdeeld, namelijk misconfiguratie, slechte toegangscontrole, kwetsbaarheden door gedeelde cloudplatformen en supplychainkwetsbaarheden. Volgens de NSA spelen cloudgebruikers een belangrijke rol bij het voorkomen van misconfiguraties en slechte toegangscontrole, maar kunnen ze ook stappen ondernemen om misbruik van de ander twee klasse kwetsbaarheden te voorkomen. In de waarschuwing beschrijft de NSA verschillende maatregelen die organisaties kunnen nemen, waarbij het kiezen van clouddiensten op moet worden gelet en de verschillende aanvallers waar cloudklanten mee te maken kunnen krijgen. Het gaat onder andere om kwaadwillende beheerders aan de kant van de provider, kwaadwillende beheerders aan de kant van de klant, cybercriminelen en statelijke actoren en ongetrainde of nalatige beheerders van de klant. Misconfiguraties komen het meest voor en zijn eenvoudig door aanvallers uit te buiten, aldus de NSA. Om dergelijke aanvallen tegen te gaan wordt het gebruik van scantools, het auditen van logs en het instellen van de juiste policies aangeraden, alsmede het volgen van best practices die misbruik van geprivilegieerde accounts moeten voorkomen. Tevens wordt het identificeren en elimineren van "Shadow IT" aangeraden. "Klanten moeten beseffen dat ze samen met de cloudprovider een gedeelde verantwoordelijkheid hebben in het beschermen van de cloud", concludeert de NSA (pdf). "Security in de cloud is een continu proces en klanten moeten continu hun clouddiensten monitoren en hun 'security posture' proberen te verbeteren." bron: security.nl

De ondersteuning van Windows 7 is officieel door Microsoft gestopt, maar een groot aantal antivirusbedrijven blijft het besturingssysteem ondersteunen. Het Duitse testlab AV-Test houdt een overzicht bij van antivirusleveranciers en wat erover de ondersteuning van Windows 7 bekend is. Van de 24 partijen in het overzicht zullen er 18 hun producten op Windows 7 in ieder geval nog twee jaar blijven ondersteunen. Avira heeft wel een harde einddatum aangekondigd, namelijk november 2022. Sophos stopt de ondersteuning in december van dit jaar voor "on-premise" klanten, terwijl de support van "cloud-managed" klanten volgend jaar juli afloopt. Microsoft biedt zelf voor Windows 7 de gratis virusscanner Security Essentials aan. De antivirussoftware ontvangt geen productupdates meer, maar zal wel signature-updates blijven ontvangen om nieuwe malware te kunnen detecteren. Volgens schattingen draaien meer dan tweehonderd miljoen computers nog op Windows 7. Bedrijven en organisaties die een apart onderhoudscontract afsluiten zullen nog wel beveiligingsupdates blijven ontvangen. bron: security.nl

Internetprovider Freedom Internet die op 29 maart van start gaat overweegt om standaard een vpn en wachtwoordmanager aan te bieden. Dat laat ceo Anco Scholte ter Horst in een interview met de Stichting Internet Domeinregistratie Nederland (SIDN) weten. Freedom Internet is gelanceerd door het actiecomité XS4ALL moet blijven. De provider zegt in te zullen zetten op privacy en veiligheid. "Geen meekijkers, geen winstmaximalisatie en geen afhankelijkheid", zo liet het actiecomité bij de aankondiging weten. Ook Scholte ter Horst benadrukt dit. "We werken volgens de privacy-by-design-filosofie. Voor de meeste isp's heeft privacy te maken met compliance, met voldoen aan de wet. Voor ons is het de basis voor alles wat we doen." Klanten gaan dit mogelijk ook in het aanbod terugzien. "We denken over andere zaken, zoals standaard vpn en een password-manager. Maar wat het uiteindelijke aanbod wordt, wordt pas duidelijk in maart als we starten", aldus de ceo. Wel is al zeker dat klanten een "meekijk-vrij e-mailadres" krijgen. "Als je bij ons een e-mailadres krijgt, zorgen wij ervoor dat we helemaal niet mee kúnnen kijken naar de inhoud van e-mails. E-mail hoort veilig te zijn. Ook veilig voor misbruik door ons", stelt Scholte ter Horst. Freedom Internet hoopt aan het einde van dit jaar 25.000 klanten te hebben. bron: security.nl

De afgelopen vijf maanden zijn meer dan 150.000 systemen met de REvil-ransomware besmet geraakt. De aanvallers achter deze ransomware, die ook bekendstaat als Sodinokibi, eisen gemiddeld 260.000 dollar losgeld. Dat meldt het KPN Security Research Team op basis van eigen onderzoek. Onderzoekers van KPN wisten meerdere domeinen in handen te krijgen waarmee besmette systemen communiceren en konden zo het aantal infecties tellen, alsmede het soort getroffen organisaties. "In de afgelopen vijf maanden analyseerden we meer dan 150.000 unieke infecties, en zagen losgeldeisen van 148 exemplaren die bij elkaar meer dan 38 miljoen dollar losgeld eisten", zo stellen de onderzoekers. Het gemiddelde gevraagde losgeld bedraagt 260.000 dollar. Er zijn echter grote verschillen. Bij sommige slachtoffers vroegen de aanvallers 777 dollar, bij anderen 3 miljoen dollar. Daarnaast is er ook een verschil bij de "network only" en computergerichte aanvallen. Bij het versleutelen van een compleet netwerk vragen de aanvallers 470.000 dollar losgeld. Wanneer het alleen om een enkele computer gaat bedraagt het losgeld gemiddeld 47.000 dollar. Sommige van de aanvallen zijn zeer omvangrijk. Alleen in de afgelopen zeven dagen telde KPN bij twee grote aanvallen meer dan 6500 besmette systemen. Verder blijkt dat de ransomware vooral actief is in de Verenigde Staten, Zuid-Korea, China en Canada. In Nederland werden in totaal 250 besmette systemen geteld. Wereldwijd raken er elke dag gemiddeld 500 systemen met REvil besmet. De aanvallers achter REvil maken onder ander gebruik van kwetsbaarheden in Citrix, Pulse Secure VPN en Oracle WebLogic om hun ransomware te verspreiden. Ook lukte het de aanvallers om bij meerdere managed serviceproviders in te breken en vervolgens klanten van deze providers te infecteren. Op deze manier kunnen bij één aanval honderden organisaties worden getroffen. Sommige van de aanvallen met REvil komen in het nieuws, maar veel bedrijven houden hun mond, aldus de onderzoekers. Die merken verder op dat ze slechts beperkt zicht op de activiteiten van de REvil-ransomware hebben en het werkelijke aantal slachtoffers veel groter is. bron: security.nl

Microsoft publiceerde op 14 januari een beveiligingsupdate voor twee ernstige kwetsbaarheden in de Windows Remote Desktop Gateway, maar twee weken later zijn er nog altijd meer dan 1100 kwetsbare servers in Nederland via het internet toegankelijk. Dat meldt het Nederlands Security Meldpunt op basis van een scan. Wereldwijd gaat het om 16.000 servers waar de beschikbare beveiligingsupdate niet is geïnstalleerd. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Twee kwetsbaarheden in de software maken het mogelijk voor een aanvaller om kwetsbare gateways over te nemen. Alleen het versturen van speciaal geprepareerde requests is voldoende. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP volstaat. Inmiddels is er ook een proof-of-concept exploit ontwikkeld waarmee kwetsbare gateways zijn over te nemen. Een exploit waarmee gateways zijn plat te leggen staat inmiddels online. De onderzoeker die de remote code execution-exploit ontwikkelde komt binnenkort met een blogposting waarin hij meer informatie zal geven. Organisaties krijgen het advies om de update zo snel als mogelijk te installeren en anders de gateway niet direct aan het internet te hangen en bijvoorbeeld een vpn te gebruiken. Vooralsnog zijn er geen aanvallen waargenomen die misbruik van de kwetsbaarheid maken, maar dat lijkt een kwestie van tijd. "Er is een grote waarschijnlijkheid dat de kwetsbaarheid misbruikt gaat worden door kwaadwillenden", aldus het Security Meldpunt. bron: security.nl

Onderzoekers van onder andere de Vrije Universiteit Amsterdam hebben een nieuwe cpu-aanval ontwikkeld waarmee het mogelijk is om vertrouwelijke informatie uit Intel-processors te stelen. De aanval wordt CacheOut genoemd en is een "speculative execution side channel" zoals Meltdown en Spectre. Via de aanval is het mogelijk om data van het slachtoffer uit het cachegeheugen van de processor naar een "lekkend cpu-buffer" te sturen en vervolgens te laten lekken. De CacheOut-aanval is gebaseerd op aanvallen zoals Meltdown en Spectre, maar kan de hardwarematige beveiliging die Intel sindsdien ontwikkelde omzeilen. Een ander verschil met eerdere aanvallen is dat een aanvaller via de CacheOut-aanval kan bepalen welke informatie hij wil laten lekken, in plaats van eerdere aanvallen waarbij er moest worden gewacht totdat de informatie beschikbaar kwam. Verder verschilt de CacheOut-aanval van eerdere aanvallen doordat het niet vanuit de browser is uit te voeren. In hun paper beschrijven de aanvallers een scenario waarbij de aanvaller en het slachtoffer hun code op dezelfde processorcore uitvoeren (pdf). Iets wat bijvoorbeeld in shared hosting-omgeving of virtual machine het geval kan zijn. Het probleem speelt alleen bij Intel-processoren. Processors van AMD zijn niet kwetsbaar. Ook een aantal Intel-processors die na het vierde kwartaal van 2018 zijn verschenen zijn niet kwetsbaar. Intel heeft het probleem in deze processors "per ongeluk" deels verholpen, aldus de onderzoekers. Daarnaast heeft de chipfabrikant micro-updates uitgebracht om de kwetsbaarheid te verhelpen. bron: security.nl

Het aantal slachtoffers dat vorig jaar bij de Fraudehelpdesk aanklopte is sterk gestegen ten opzichte van de jaren daarvoor, zo laat de organisatie in een persbericht weten. Het aantal slachtoffers ging van 70 in 2017 naar 482 in 2019. De schade steeg van 141.000 euro naar 853.000 euro. Over de gehele linie genomen ontving de Fraudehelpdesk in 2019 meer meldingen van mensen die het slachtoffer van cybercrime zijn geworden. Maakten in 2018 nog 2800 slachtoffers melding die voor bijna 21 miljoen euro waren gedupeerd. Vorig jaar was dit naar 4600 slachtoffers gestegen met een schadebedrag van 26 miljoen euro. De meeste slachtoffers (1570) vielen in de categorie marktplaats/webwinkel. Een stijging van bijna 600 ten opzichte van het aantals slachtoffers in 2018. De schade die slachtoffers in deze categorie opliepen is met een totaal bedrag van 480.000 euro echter beperkt. Het grootste schadebedrag is voor de categorie beleggingsfraude (10,7 miljoen euro), gevolgd door datingfraude (3,7 miljoen euro) en advanced fee/bitcoinfraude (2,9 miljoen euro). De categorie cybercrime, waar ook phishing deel van uitmaakt, was goed voor 922 slachtoffers en een schadebedrag van bijna 1,5 miljoen euro. De Fraudehelpdesk waarschuwt internetgebruikers om alert te zijn, in het bijzonder bij schriftelijke verzoeken om geld (via e-mail, WhatsApp of sms) en wanneer men ongevraagd wordt benaderd met een betaalverzoek, een mooi aanbod of een onbekend 'probleem'. Bij de cijfers van de Fraudehelpdesk, dat door de overheid wordt gesubsidieerd, moet worden opgemerkt dat het hier alleen gaat om mensen die bij deze organisatie een melding maakten. Cijfers van slachtoffers die aangifte bij de politie doen zijn niet meegeteld. bron: security.nl

De Britse overheid wil dat elk IoT-apparaat dat in het Verenigd Koninkrijk wordt verkocht over een uniek wachtwoord beschikt. Daarnaast moeten Iot-fabrikanten tijdig reageren op meldingen van beveiligingslekken en moet duidelijk worden aangegeven hoelang een IoT-apparaat beveiligingsupdates ontvangt. Een wetsvoorstel dat dit mogelijk moet maken is vandaag aangekondigd. "Hoewel de Britse overheid altijd de industrie heeft aangemoedigd om met een vrijwillige aanpak te komen, is het nu duidelijk dat daadkrachtig optreden is vereist om ervoor te zorgen dat deze producten by design over sterke cybersecurity beschikken", zegt de Britse minister van Digitale Zaken en Breedband Matt Warman. Volgens Warman moet het wetsvoorstel miljoenen gebruikers tegen "cyber hacks" beschermen door drie beveiligingseisen aan IoT-apparaten te stellen. Ten eerste moeten alle IoT-apparaten over een uniek wachtwoord beschikken dat niet naar een universeel wachtwoord is te resetten. Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren. Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen. "Onze nieuwe wet houdt IoT-fabrikanten verantwoordelijk en stopt hackers die de privacy en veiligheid van mensen bedreigen", aldus Warman. "Het houdt in dat robuuste beveiligingsstandaarden in het ontwerp worden verwerkt en geen bijzaak zijn." De Britse regering hoopt het wetsvoorstel binnenkort voor te leggen aan het parlement. De eisen zijn volgens Warham samen met het bedrijfsleven en het Britse National Cyber Security Centre (NCSC) opgesteld. bron: security.nl

Een beveiligingslek in software die door managed serviceproviders wordt gebruikt geeft aanvallers op afstand toegang tot opgeslagen domeinbeheerderswachtwoorden. Een volledige beveiligingsupdate is nog niet voorhanden, wel een hotfix. Het gaat om de software N-Central van softwarebedrijf SolarWinds. Managed serviceproviders kunnen via N-Central de netwerken van hun klanten beheren. In het verleden zijn aanvallers erin geslaagd om bij managed serviceproviders die hun eigen beveiliging niet op orde hadden in te breken en daarvandaan klanten van de provider met ransomware te infecteren. Op 10 oktober 2019 werd een lek in N-Central aan SolarWinds gerapporteerd. Hierdoor kan een aanvaller de configuratie van klanten uitlezen en zo opgeslagen domeinbeheerderswachtwoorden achterhalen. SolarWinds had negentig dagen de tijd gekregen om de kwetsbaarheid te verhelpen. Het softwarebedrijf kwam niet binnen de gestelde tijd met een update. Vervolgens werd informatie over het beveiligingslek en een tool om daar misbruik van te maken op 21 januari openbaar gemaakt. Niet veel later werden de tool en informatie weer offline gehaald, zo meldt securitybedrijf Huntress. Tevens was er een screenshot online verschenen hoe kwetsbare servers via zoekmachine Shodan waren te vinden. Volgens de zoekmachine ging het om meer dan vierduizend N-Central-servers van een onbekend aantal managed serviceproviders. Op 24 januari publiceerde SolarWinds mitigatiemaatregelen om wachtwoorden uit N-Central te verwijderen die mogelijk door aanvallers zijn buitgemaakt. Dezelfde dag verscheen ook een hotfix die de auto-import feature tijdelijk uitschakelt. De feature zal met een toekomstige beveiligingsupdate weer worden ingeschakeld. Securitybedrijf Huntress meldt dat er managed serviceproviders zijn die uit voorzorg alle in N-Central opgeslagen accounts hebben uitgeschakeld. Daarnaast hebben deze providers van elke klant die via de softwaretool wordt beheerd een nieuw wachtwoord ingesteld dat niet aan een domeinaccount is gekoppeld. bron: security.nl

Onderzoekers hebben op internet ruim 16.000 Windows Remote Desktop Gateways gevonden die kwetsbaar voor aanvallen zijn. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Microsoft kwam eerder deze maand met updates voor twee ernstige kwetsbaarheden in de Remote Desktop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610. Via deze lekken kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Desktop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen. Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zodat aanvallers niet alleen kwetsbare Gateways kunnen overnemen, maar ook gebruikers die daarmee verbinding maken. Op 14 januari publiceerde Microsoft zoals gezegd beveiligingsupdates voor de kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid besloot zelfs een aparte waarschuwing voor de kwetsbaarheden te versturen. Inmiddels is er een exploit online verschenen waarmee kwetsbare Gateways op afstand zijn over te nemen. Het Dutch Institute for Vulnerability Disclosure voerde een scan uit op internet en ontdekte nog ruim 16.000 kwetsbare, ongepatchte Remote Desktop Gateways, zo meldt beveiligingsonderzoeker Victor Gevers. bron: security.nl

Er zijn verschillende groepen cybercriminelen die op dit moment kwetsbare Citrix-systemen aanvallen, maar één groep maakt daarbij ook gebruik van de EternalBlue-exploit die de NSA ontwikkelde. Dat meldt securitybedrijf FireEye. De aanvallers gebruiken een kwetsbaarheid in de Citrix Gateway om daarvandaan het achtergelegen bedrijfsnetwerk aan te vallen. Naast het installeren van een backdoor op het Citrix-systeem maken de aanvallers ook gebruik van de EternalBlue-exploit om achtergelegen machines aan te vallen. Deze door de Amerikaanse geheime dienst NSA ontwikkelde exploit maakt gebruikt van een beveiligingslek in Windows waarvoor sinds maart 2017 een beveiligingsupdate beschikbaar is. Lukt het de aanvallers om toegang tot de overige machines in het bedrijfsnetwerk te krijgen dan wordt de Ragnarok-ransomware geïnstalleerd. De ransomware versleutelt bestanden en vraagt vervolgens losgeld voor het ontsleutelen van de data. In het geval van Ragnarok gaat het om een bedrag van 8.000 euro voor één computer en 40.000 euro voor alle machines. Wanneer organisaties niet binnen vijf dagen betalen dreigen de aanvallers alle data te verwijderen en op internet te publiceren. Hoewel er nu een groep is ontdekt die het Citrix-lek gebruikt om ransomware te verspreiden gebruiken de meeste aanvallers de kwetsbaarheid om systemen met cryptominers te infecteren, aldus FireEye. Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn op internet nog altijd 10.000 kwetsbare Citrix-systemen te vinden, zo blijkt uit cijfers. Daarnaast is een veel groter aantal mogelijk al gecompromitteerd omdat de mitigaties niet op tijd werden doorgevoerd. bron: security.nl

Mozilla heeft de afgelopen weken een groot aantal malafide Firefox-extensies geblokkeerd die wachtwoorden en andere gegevens van gebruikers probeerden te stelen, instellingen wijzigden, geobfusceerde code gebruikten en gebruikers schadelijke software probeerden te laten installeren. Dat blijkt uit een overzicht van geblokkeerde Firefox-extensies. Mozilla houdt een overzicht bij van de Firefox-extensies die het bij gebruikers heeft geblokkeerd en van addons.mozilla.org heeft verwijderd. Firefox-extensies moeten zich aan bepaalde regels houden, anders worden ze verwijderd. Normaliter gaat het om een paar vermeldingen per week in het overzicht, maar alleen op 19 december ging het opeens om 61 vermeldingen, die vaak meerdere Firefox-extensies betreffen. De voornaamste reden was het zonder toestemming wijzigen van zoekinstellingen en het verzamelen van allerlei soorten gegevens, zonder dat gebruikers hier iets aan kunnen doen. Ook was er een extensie, Tamo Junto Caixa, die op afstand code uitvoerde. De add-ons vallen in verschillende categorieën, zoals extensies om YouTube-filmpjes te downloaden, documenten naar pdf om te zetten en pdf-bestanden te bekijken. Het gaat onder andere om extensies met de naam 2Ring, Rolimons Plus, RoliTrade, FromDocToPDF, WeatherPool en Your Social. Daarnaast blokkeert Mozilla ook nog altijd oudere versies van Adobe Flash Player omdat ze kwetsbaarheden bevatten. Later dit jaar wordt de ondersteuning van Flash Player gestopt. "Verrassingen kunnen in veel gevallen gepast zijn, maar ze zijn niet welkom wanneer het gaat om de security, privacy en controle van gebruikers. Het is zeer belangrijk om zo transparant als mogelijk te zijn bij het inzenden van een add-ons. De gebruiker moet eenvoudig kunnen zien wat de functionaliteit van je add-on is en niet na de installatie met onverwachte gebruikerservaringen worden geconfronteerd", aldus Mozilla aan ontwikkelaars. Aangezien Mozilla de extensies bij gebruikers blokkeert hoeven die hier zelf geen actie voor te ondernemen. bron: security.nl

Softwarebedrijf Citrix betreurt de gevolgen die de ernstige kwetsbaarheid in de Application Delivery Controller (ADC) en Gateway heeft gehad op klanten. Dat stelt het bedrijf bij het uitbrengen van de laatste beveiligingsupdate voor de kwetsbaarheid die sinds 17 december bekend is. Via het beveiligingslek kunnen aanvallers kwetsbare Citrix-systemen overnemen en daarvandaan bijvoorbeeld het bedrijfsnetwerk aanvallen. De eerste updates verschenen op 19 januari, hoewel Citrix in de aankondiging op 17 december mitigatiemaatregelen had gepubliceerd. Veel organisaties hadden deze maatregelen die bescherming tegen aanvallen boden niet op tijd doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen. "klantveiligheid is een topprioriteit voor Citrix", zegt Citrix-cio Fermin Serna bij de aankondiging van de laatste beveiligingsupdate voor de kwetsbaarheid. Deze patch is voor Citrix ADC en Gateway versie 10.5. "We betreuren de impact die deze kwetsbaarheid op getroffen klanten heeft gehad", voegt Serna toe. Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben. bron: security.nl

Criminelen maken gebruik van het ernstige beveiligingslek in Citrix om organisaties met ransomware te infecteren. De Duitse auto-onderdelenfabrikant Gedia zou op deze manier met de Sodinokibi-ransomware besmet zijn geraakt. Dit is dezelfde ransomware die eerder GWK Travelex infecteerde. Dat melden verschillende beveiligingsonderzoekers op Twitter. Aanvallers zouden eerst het Citrix-systeem overnemen en daarvandaan de achtergelegen computers in het netwerk van de organisatie infecteren. Citrix wordt onder andere gebruikt voor thuiswerken. Zo kunnen medewerkers vanuit huis toegang tot het intranet van een organisatie krijgen. Al bij het bekend worden van de kwetsbaarheid werd gewaarschuwd dat die voor de verspreiding van ransomware was te gebruiken. Dergelijke aanvallen waren echter tot nu toe niet waargenomen. Volgens een onderzoeker met het alias Under the Breach hebben de aanvallers achter de Sodinokibi-ransomware, die ook bekendstaat als REvil, niet alleen Gedia via het Citrix-lek geïnfecteerd, maar ook andere organisaties. Vanwege de infectie besloot de Duitse auto-onderdelenfabrikant het volledige netwerk uit te schakelen. "Het zal nog weken tot maanden duren voordat alle processen volledig zijn hersteld", zo liet Gedia in een verklaring weten. Volgens de Nederlandse beveiligingsonderzoeker Victor Gevers zijn erop internet nog 11.000 kwetsbare Citrix-systemen te vinden. Citrix heeft inmiddels beveiligingsupdates voor de kwetsbaarheid beschikbaar gemaakt. Vanavond verschijnt de laatste patch, bedoeld voor de oudste versie van de Citrix-software. Daarnaast biedt het softwarebedrijf een gratis scantool aan waarmee organisaties kunnen controleren of hun Citrix-systemen zijn gecompromitteerd. bron: security.nl