Captain Kirk

De Italiaanse mededingingsautoriteit AGCM heeft Facebook met een nieuwe miljoenenboete gedreigd. Eind 2018 oordeelde de toezichthouder dat Facebook haar gebruikers niet goed informeerde over het verzamelen en gebruiken van hun persoonlijke data voor commerciële doeleinden. Facebook stelt dat het platform gratis is te gebruiken, terwijl het eigenlijk data van gebruikers voor commerciële doeleinden verzamelt. Daardoor maakt Facebook zich schuldige aan een oneerlijke commerciële handeling, waarbij gebruikers worden verleid tot het maken van een "transactionele beslissing" die ze anders niet zouden maken, aldus de AGCM. Naast een boete van 5 miljoen euro die de toezichthouder Facebook destijds oplegde werd de sociale netwerksite ook verboden om op deze manier door te gaan. Facebook moest daarnaast op de website, binnen de app en persoonlijke pagina van elke geregistreerde Italiaanse gebruiker een verklaring plaatsen. Facebook verwijderde de "it’s free and always will be!" vermelding van de eigen website. Toch worden nieuwe gebruikers nog altijd niet goed geïnformeerd over het verzamelen en gebruiken van hun gegevens voor commerciële doeleinden, laat de toezichthouder verder weten. Ook heeft Facebook de verklaring over de werkwijze nooit gepubliceerd. Doordat Facebook dit niet heeft gedaan, terwijl het wel was verzocht, kan de AGCM opnieuw een boete van 5 miljoen dollar opleggen. bron: security.nl

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor een toename van aanvallen met de beruchte Emotet-malware. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. Vanwege de toegenomen aanvallen met Emotet geeft het CISA systeembeheerders het advies om verschillende best practices te volgen, zoals het blokkeren van bepaalde e-mailbijlagen zoals .dll, .exe, .zip en andere bestansextensies. Tevens moeten gebruikers zo min mogelijk rechten krijgen, moeten netwerken en functies worden gescheiden en onnodige laterale communicatie worden beperkt. Tevens pleit het CISA voor het implementeren van Domain-Based Message Authentication, Reporting & Conformance (DMARC) en het blokkeren van verdachte ip-adressen door de firewall. bron: security.nl

Softwarebedrijf Citrix heeft samen met securitybedrijf FireEye een gratis opensourcetool beschikbaar gemaakt waarmee organisaties kunnen controleren of hun Citrix-systemen door aanvallers zijn gecompromitteerd. Het gaat dan speciaal om aanvallen die misbruik van een kwetsbaarheid in Citrix maken waarvoor afgelopen zondag een eerste beveiligingsupdate verscheen. Organisaties kunnen met de gratis tool lokaal hun Citrix-systemen scannen en zo snel achterhalen of die zijn gecompromitteerd. De tool, die compatibel is met alle ondersteunde versies van de Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP, maakt hiervoor gebruik van informatie over bekende aanvallen en exploits. Naast het toepassen van de mitigatiemaatregelen en installeren van de updates die op 19 januari verschenen en nog op 24 januari zullen verschijnen adviseert Citrix dat alle klanten deze tool draaien. Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt. In het geval er wel aanwijzingen van een gecompromitteerd systeem worden aangetroffen krijgen organisaties het advies om een forensisch onderzoek uit te laten voeren. De "Indicator of Compromise Scanner for CVE-2019-19781" is te downloaden via GitHub. bron: security.nl

Microsoft heeft via een onbeveiligde database miljoenen klantgegevens gelekt. Volgens het techbedrijf was de klantensupportdatabase door een misconfiguratie 25 dagen lang voor iedereen op internet toegankelijk. De database, die 250 miljoen records bevatte, werd door een zoekmachine geïndexeerd en vervolgens door beveiligingsonderzoeker Bob Diachenko ontdekt. De miljoenen records bleken logs te bevatten van gesprekken tussen Microsoftmedewerkers en klanten van over de gehele wereld. Het ging om een periode van 14 jaar, van 2005 tot december 2019. De data was voor iedereen op internet met een browser toegankelijk. Er was geen wachtwoord of andere vorm van authenticatie vereist. Microsoft en Diachenko stellen dat de meeste persoonlijke identificeerbare informatie, zoals e-mailnamen, contractnummers en betaalinformatie, was verwijderd. In veel records werden echter toch persoonlijke gegevens aangetroffen, zoals e-mailadressen, ip-adressen, locaties, oplossingen, interne notities gemarkeerd als vertrouwelijk en andere zaken. Diachenko waarschuwde Microsoft op 29 december. Een dag later was de database beveiligd. In een verklaring stelt Microsoft dat door een misconfiguratie in de network security group van de database die sinds 5 december voor iedereen toegankelijk was. "Misconfiguraties zijn helaas een veelgemaakte fout in de industrie. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas stonden die voor deze database niet ingeschakeld", zegt Ann Johnson van Microsoft. Johnson stelt dat onderzoek naar de database geen misbruik heeft aangetoond. Microsoft zal alle getroffen klanten informeren. bron: security.nl

Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Miami meerdere zerodaylekken in industriële controlesystemen (ICS) aangetoond. Via de kwetsbaarheden, waarvoor nog geen beveiligingsupdate beschikbaar is, is het mogelijk om systemen plat te leggen of over te nemen. Pwn2Own is een jaarlijks terugkerend evenement dat sinds 2007 tijdens de CanSecWest-conferentie in Vancouver plaatsvindt. In eerste instantie richtte de wedstrijd zich alleen op browsers. Onderzoekers en hackers die onbekende kwetsbaarheden in browsers demonstreerden ontvingen hiervoor geldprijzen. Niet alleen werden meer programma's als doelwit toegevoegd, er volgde ook een tweede competitie genaamd Mobile Pwn2Own, die sinds 2013 in Tokyo wordt gehouden en is gericht op smartphones. Nu is er een derde competitie in Miami toegevoegd waar ICS-systemen het doelwit zijn. De wedstrijd, die door het Zero Day Initiative (ZDI) wordt georganiseerd, richt zich op acht producten in vijf categorieën: controleservers, OPC Unified Architecture (OPC UA) servers, DNP3 gateways, human machine interfaces (HMI) en engineering workstation software (EWS). Het gaat om producten van onder andere Rockwell Automation en Schneider Electric. Op de eerste dag van het evenement werden er dos-aanvallen tegen de Triangle Microworks SCADA data gateway en Iconics Genesis64 controleserver gedemonstreerd. Tevens lukte het onderzoekers om op afstand willekeurige code uit te voeren op de Rockwell Automation FactoryTalk View SE, de Iconics Genesis64 controleserver en Inductive Automation Ignition controleserver. Dergelijke systemen worden onder andere in de vitale infrastructuur en industriële processen gebruikt. In totaal ontvingen de onderzoekers voor de demonstratie van de onbekende kwetsbaarheden 110.000 dollar. Informatie over de kwetsbaarheden worden nu met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Nadat er patches zijn ontwikkeld zal het ZDI details over de beveiligingslekken vrijgeven. Vandaag vindt de tweede dag van het evenement plaats. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor een malware-exemplaar genaamd Starslord dat via e-mailbijlagen wordt verstuurd. Het gaat om een variant van de sLoad-malware waar vorige maand al voor werd gewaarschuwd. De naam Starslord verwijst naar een string in de malwarecode en is volgens Microsoft waarschijnlijk afgeleid van een stripheld. De malware zit in een zip-bestand dat via e-mail wordt verstuurd. Het zip-bestand bevat weer een wsf-bestand dat het systeem uiteindelijk infecteert. Eenmaal actief steelt de malware informatie van het systeem, waaronder screenshots, en kan aanvullende malware downloaden. Voor het versturen van de gestolen informatie maakt de malware gebruik van Microsofts Background Intelligent Transfer Service (BITS). Windows maakt gebruik van BITS voor het downloaden van updates. De service kan echter ook door malware worden gebruikt. Om analyse door onderzoekers tegen te gaan past de Starslord-malware verschillende trucs toe. De "polymorfische aard" van Starslord en de manier waarop die werkt zorgen ervoor dat de malware lastig is te detecteren, aldus Microsoft. bron: security.nl

Vpn-dienst ProtonVPN heeft de broncode en security-audits van de software openbaar gemaakt. ProtonVPN werd in 2017 gelanceerd en biedt apps voor verschillende platformen. De broncode van de software voor Android, iOS, macOS en Windows is nuopen source gemaakt en via GitHub te bekijken. Daarnaast heeft de vpn-aanbieder securitybedrijf SEC Consult een security-audit van de software laten uitvoeren. In de Windows-versie werden twee "medium" en twee "low" kwetsbaarheden aangetroffen. De Android-app bevatte één medium-lek en vier laag geclassificeerde beveiligingslekken, terwijl de iOS-app twee van dergelijke kwetsbaarheden bevatte. In de macOS-versie van de software werden geen beveiligingslekken aangetroffen. "Hoewel er binnen de versleutelde communicatie tussen de mobiele applicatie en backend-systemen problemen met certificaatvalidatie zijn aangetroffen, was het niet mogelijk om het versleutelde vpn-verkeer te ontsleutelen", aldus de onderzoekers. Die stellen verder dat er geen problemen zijn gevonden waarmee een aanvaller ongeautoriseerde toegang tot data van andere gebruikers had kunnen krijgen, tenzij er fysieke toegang tot het systeem van het slachtoffer was verkregen. ProtonVPN heeft verschillende van de gevonden kwetsbaarheden verholpen. "Vpn-diensten kunnen zeer gevoelige gebruikersgegevens benaderen", zegt Andy Yen, oprichter en ceo van Proton Technologies, het bedrijf achter ProtonVPN. Volgens Yen is het belangrijk dat vpn-diensten het vertrouwen van hun gebruikers winnen en wil ProtonVPN dit doen door broncode te publiceren. Daarnaast zullen er op periodieke basis security-audits van de apps worden uitgevoerd. bron: security.nl

Een beveiligingslek in verschillende virusscanners zorgt ervoor dat aangepaste RAR-bestanden die malware bevatten niet kunnen worden gescand, maar wel door de gebruiker zijn te openen. Het gaat om virusscanners die de scan-engine van Bitdefender gebruiken, waaronder Bullguard, G Data en Emsisoft. "De engine is via een speciaal geprepareerd RAR-archief te omzeilen, zodat de eindgebruiker die kan openen, maar niet de antivirussoftware. De engine kan het archief niet scannen en geeft het een "schoon" beoordeling", zegt onderzoeker Thierry Zoller die het probleem ontdekte. Bitdefender heeft inmiddels een beveiligingsupdate uitgebracht. Dat geldt nog niet voor alle andere partijen die van de scan-engine gebruikmaken. Bitdefender stelt dat 38 procent van de beveiligingsoplossingen wereldwijd met de scan-engine van het bedrijf werkt. Zodra de overige antivirusbedrijven het probleem hebben verholpen zal Zoller meer details vrijgeven. Het is niet de eerste keer dat de onderzoeker een dergelijke kwetsbaarheid in de engine van Bitdefender ontdekt. Via BZIP-bestanden was het eerder ook al mogelijk om de scan-engine te omzeilen. Volgens Zoller kostte het de nodige moeite om Bitdefender die kwetsbaarheid te laten patchen. bron: security.nl

Een bug in een recente versie van LastPass heeft ervoor gezorgd dat een onbekend aantal gebruikers een aantal dagen niet op de online wachtwoordmanager kon inloggen. In eerste instantie stelde LastPass nog dat het probleem niet aan de kant van het bedrijf lag. De fout is inmiddels verholpen. Tijdens het weekend klaagden gebruikers op Reddit en Twitter dat ze een foutmelding kregen tijdens het inloggen op LastPass, de populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Daardoor konden deze gebruikers niet op hun online accounts inloggen, tenzij ze het wachtwoord van die accounts zouden resetten. Het probleem speelde zowel bij de app als browserextensie. LastPass stelde in een reactie dat het geen probleem in de eigen dienst had gevonden. Verder onderzoek wees echter uit dat het probleem wel aan de kant van LastPass lag. In een blogpost stelt het bedrijf dat een bug in een recente release ervoor zorgde dat een "klein aantal" gebruikers met een "bepaalde geschiedenis" niet meer kon inloggen. Verdere details worden niet gegeven, behalve dat het euvel is verholpen. LastPass heeft naar eigen zeggen 13,5 miljoen gebruikers en zou door 47.000 organisaties worden gebruikt. bron: security.nl

LastPass is een onderzoek gestart naar aanleiding van gebruikers die niet op de online wachtwoordmanager kunnen inloggen. Verschillende gebruikers melden op Twitter en Reddit dat ze zowel via de smartphone-app als browserextensies hun in de cloud opgeslagen wachtwoorden niet kunnen benaderen. Gebruikers krijgen tijdens het inloggen een foutmelding te zien dat de server niet te bereiken is. Via Twitter meldt LastPass dat een "zeer klein aantal klanten" last van de foutmelding heeft, maar dat er geen problemen aan de kant van LastPass zijn vastgesteld. De wachtwoordmanager heeft ook een apart Twitteraccount waarmee de status wordt weergegeven. Daar laat het bedrijf weten dat sommige LastPass-klanten tijdens het inloggen met problemen te maken hebben. Er zouden echter nog geen problemen in de servers of diensten van LastPass zijn gevonden. LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Doordat mensen niet kunnen inloggen bij LastPass hebben ze geen toegang tot hun wachtwoorden en kunnen daardoor ook niet op andere online accounts inloggen, tenzij ze daarvan het wachtwoord resetten. Sommige van de getroffen gebruikers melden dat ze al een aantal dagen niet bij LastPass kunnen inloggen en dat de door LastPass aanbevolen stappen niet helpen. bron: security.nl

Google heeft een aanpassing aan de downloadcontrole van Chrome doorgevoerd waardoor de browser voortaan alle downloads controleert. Chrome maakt gebruik van Google Safe Browsing-dienst om te bepalen of een bestand kwaadaardig is. Hiervoor stuurt de browser de checksum en wat andere informatie van het bestand naar Google en ontvangt vervolgens een oordeel of het om een goedaardig of kwaadaardig bestand gaat. Voorheen werden echter niet alle downloads gecontroleerd. Chrome maakte gebruik van een lijst met extensies die het wel en niet moest controleren. Extensies die niet op de lijst stonden werden genegeerd. De aanpassing die Google heeft doorgevoerd zorgt ervoor dat alle extensies worden gecontroleerd, behalve die op de whitelist staan. "Dit houdt in dat bij bijna alle bestanden die je downloadt, de checksum en wat andere informatie over het bestand naar Google worden gestuurd. Het is nog onduidelijk wat dit voor de privacy inhoudt", aldus Yakov Shafranovich van securitybedrijf Nightwatch Cybersecurity. Gebruikers kunnen de downloadcontrole uitschakelen door Safe Browsing in zijn geheel uit te schakelen. De browser zal dan ook niet meer voor phishingsites en dergelijke waarschuwen. Er is geen optie om de downloadcontrole los van de controle van bezochte websites uit te schakelen. bron: security.nl

Microsoft heeft een nieuwe versie van Edge gelanceerd en belooft dat de browser meer privacy dan de oude Edge biedt. De nieuwste Edge-versie is op Chromium gebaseerd, de opensourcebrowser die ook de basis voor Google Chrome, Opera en andere browsers vormt. Vorig jaar verscheen al een testversie van Edge Chromium, maar nu is de definitieve versie uitgebracht. De browser biedt volgens Microsoft betere prestaties en meer privacy dan de oudere versie. Het techbedrijf heeft het zelfs over een "privacybelofte". Standaard blokkeert Edge Chromium trackers van websites die gebruikers nog nooit hebben bezocht en schadelijke trackers. Daarnaast kunnen gebruikers de browser strenger instellen zodat de meeste trackers worden geblokkeerd. Edge Chromium is beschikbaar voor macOS en Windows. In de toekomst zal de browser automatisch op Windows 10-computers worden geïnstalleerd en de oude Edge-versie vervangen. De komende weken zal deze migratie beginnen, waarbij er wordt begonnen met Windows Insiders. Vooralsnog zal de automatische upgrade naar de nieuwe Edge niet binnen bedrijven en onderwijsinstellingen plaatsvinden. bron: security.nl

Nog geen twee dagen na het verschijnen van een beveiligingsupdate voor het crypto-lek in Windows 10 en Server 2016/2019 zijn er proof-of-concept exploits verschenen. Door de kwetsbaarheid is het mogelijk om man-in-the-middle-aanvallen op versleutelde verbindingen uit te voeren, en zo vertrouwelijke informatie te achterhalen, en malware te signeren waardoor het van een betrouwbare partij afkomstig lijkt. Het beveiligingslek werd door de Amerikaanse geheime dienst NSA ontdekt. Volgens de dienst zullen aanvallers op korte termijn misbruik van de kwetsbaarheid maken. Inmiddels zijn ook twee proof-of-concept exploits online verschenen om de kwetsbaarheid te demonstreren. Via de exploits, onder andere van een Deense beveiligingsonderzoeker, is het mogelijk om bestanden in naam van een andere partij te signeren. Volgens Yolan Romailler van securitybedrijf Kudelski Security, dat één van de proof-of-concept exploits en een uitgebreide uitleg van de kwetsbaarheid online publiceerde, zal het lek niet door scriptkiddies of ransomware worden gebruikt. Het grootste probleem is de mogelijkheid voor het uitvoeren van man-in-the-middle-aanvallen. In deze gevallen moet de aanvaller nog steeds controle over het netwerk van het slachtoffer hebben. Onderzoeker Saleem Rashid demonstreerde op Twitter al een man-in-the-middle-aanval tegen GitHub. Romailler stelt dat de kwetsbaarheid niet eenvoudig is te misbruiken en er daarom is besloten de proof-of-concept exploit vrij te geven. De onderzoeker merkt op dat de kwetsbaarheid "niet goed genoeg" voor een plotselinge ransomware-uitbraak is, zoals bij WannaCry het geval was. "Dat is waarschijnlijk ook de reden waarom de NSA besloot om hun ontdekking niet zelf voor aanvallen te gebruiken, maar te rapporteren. Voor hen is het waarschijnlijk beter dat de VS is gepatcht, dan het risico te nemen dat het tegen de VS wordt ingezet, aangezien het aanvalsoppervlak zo groot is", besluit Romailler. bron: security.nl

Terwijl het crypto-lek in Windows 10 uitgebreid in het nieuws komt zijn er gisterenavond twee andere Windows-kwetsbaarheden verholpen die volgens Microsoft veel ernstiger zijn. Aanleiding voor het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid om hier een aparte waarschuwing voor te versturen. Het gaat om twee kwetsbaarheden in de Windows Remote Desktop Gateway. De Remote Dekstop Gateway laat gebruikers via de Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Via twee kwetsbaarheden in de Remote Dekstop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610, kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Het door de NSA ontdekte cryptolek is volgens Microsoft minder ernstig, aangezien deze kwetsbaarheid als "belangrijk" is bestempeld en een score van 8,1 krijgt. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Dekstop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen. Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zo waarschuwt het Zero Day Initiative (ZDI). Een aanvaller compromitteert eerst de Remote Desktop Gateway. Vervolgens worden alle gebruikers die op de gateway inloggen gecompromitteerd. Volgens Dustin Childs zijn de kwetsbaarheden in de Remote Desktop Gateway een aantrekkelijk doelwit voor aanvallers. bron: security.nl

Google zou voor 2022 third-party cookies in Chrome willen uitfaseren, zo heeft het techbedrijf in een blog bekendgemaakt. De maatregel zou de privacy van internetgebruikers moeten verbeteren. Adverteerders zijn echter al lang niet meer gevonden aan third-party cookies. Tegenwoordig worden namelijk ook first-party trackers gebruikt. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website waren van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Safari en Firefox besloten daarop om third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken. Volgens Google heeft de beslissing van Apple en Mozilla om third-party cookies te blokkeren onbedoelde gevolgen die nadelig voor gebruikers en het web kunnen zijn. Zo zou het inkomen van websites en adverteerders worden geschaad en zouden trackers in plaats van cookies gebruikers via fingerprinting volgen. Hierbij wordt er een unieke "vingerafdruk" van het systeem van de gebruiker gemaakt zodat die over het web te volgen is. De Amerikaanse burgerrechtenbeweging EFF en onderzoekers stelden eerder al dat Google het eigen businessmodel verdedigt en er juist moet worden ingezet op het beschermen van de privacy van gebruikers door zowel third-party cookies als fingerprinting aan te pakken. Daarnaast liet de Ster onlangs weten dat cookieloos adverteren voor een hogere kwaliteit verkeer naar adverteerders zorgt. Verder stelt Google dat het de maatregel niet alleen kan doorvoeren, maar dat het gehele ecosysteem zich hiermee moet bezighouden. In het verleden is Google vaker bekritiseerd omdat het allerlei plannen aankondigt die jaren in beslag kunnen nemen, waardoor het bedrijf nu niets hoeft te doen. Wat betreft het uitfaseren van third-party cookies laat Google weten dat het van plan is om eind dit jaar een eerste proef uit te voeren. bron: security.nl

Een ernstig lek in een populaire WordPressplug-in maakt het mogelijk voor aanvallers om meer dan 130.000 websites over te nemen. De kwetsbaarheid bevindt zich in de plug-in "InfiniteWP Client". Via deze plug-in kunnen gebruikers vanaf hun eigen server een onbeperkt aantal WordPress-sites beheren. Volgens de ontwikkelaars van de plug-in is die door meer dan 513.000 websites geïnstalleerd, terwijl WordPress het op mee dan 300.000 actieve installaties houdt. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om als beheerder op de website in te loggen. Alleen het versturen van een speciaal geprepareerd request is voldoende, aldus securitybedrijf Wordfence. De ontwikkelaars van de InfiniteWP Client kwamen vorige week met een update voor het lek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 is beoordeeld. De update is sindsdien door ruim 168.000 WordPress-sites geïnstalleerd, wat inhoudt dat meer dan 132.000 sites nog risico lopen. Beheerders krijgen dan ook het dringende advies om de update met versienummer 1.9.4.5 te installeren. Details over het beveiligingslek zijn inmiddels openbaar gemaakt en Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken. bron: security.nl

Microsoft heeft vanavond meerdere beveiligingsupdates uitgebracht, waaronder voor een kwetsbaarheid in Windows 10 die door de NSA is gevonden en het mogelijk maakte om digitale handtekeningen van bestanden te vervalsen. Het lek is door Microsoft als "belangrijk" bestempeld. De kwetsbaarheid geeft aanvallers niet de mogelijkheid om zonder interactie van gebruikers het systeem over te nemen, zoals bij "kritieke" kwetsbaarheden het geval is. Het probleem bevindt zich in de manier waarop de Windows Crypto API Elliptic Curve Cryptography (ECC) certificaten valideert. Ontwikkelaars kunnen hun Windows-bestanden signeren, zodat gebruikers weten van wie het programma afkomstig is. Door het beveiligingslek had een aanvaller malware van een digitale handtekening kunnen voorzien die van een legitieme bron afkomstig leek. "De gebruiker zou geen manier hebben om te weten dat het bestand kwaadaardig was, omdat de digitale handtekening van een vertrouwde aanbieder afkomstig leek te zijn", aldus Microsoft. Via de kwetsbaarheid zou een aanvaller ook man-in-the-middle-aanvallen kunnen uitvoeren en vertrouwelijke informatie kunnen ontsleutelen op verbindingen tussen de gebruiker en betreffende software. Het techbedrijf verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken. De beveiligingsupdate van Microsoft zorgt ervoor dat de Windows CryptoAPI, die door Windows-gebaseerde applicaties wordt gebruikt en zorgt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten, ECC-certificaten nu wel volledig controleert. Het beveiligingslek is aanwezig in Windows 10, Server 2016 en Server 2019. Op de meeste Windowssystemen wordt de beveiligingsupdate automatisch geïnstalleerd. Het beveiligingslek, aangeduid als CVE-2020-0601, werd door de Amerikaanse geheime dienst NSA aan Microsoft gerapporteerd. De dienst wordt in het beveiligingsbulletin dan ook bedankt door het techbedrijf. Update Microsoft meldt in een aparte blogposting dat de kwetsbaarheid voor zover bekend nog niet door aanvallers is gebruikt. Nu informatie over het lek openbaar is zou dit echter slechts een kwestie van tijd zijn. Eerder gingen nog geruchten dat Microsoft updates voor de kwetsbaarheid al aan belangrijke klanten zou hebben aangeboden. Daarop stelt Microsoft dat het voor patchdinsdag aan geen enkele organisatie updates verstrekt die binnen productieomgevingen mogen worden gebruikt. Update 2 "Het is niet moeilijk voor te stellen hoe aanvallers van dit lek misbruik kunnen maken. Bijvoorbeeld ransomware of spyware is veel eenvoudiger te installeren wanneer het een geldig certificaat lijkt te hebben", zegt Dustin Childs van het Zero Day Initiative (ZDI). Daarnaast zorgt de update ervoor dat bij gebruik van een vervalst certificaat tegen een gepatcht Windows 10-systeem er een melding in de Windows Event-log wordt gemaakt, wat systeembeheerders kan helpen om te achterhalen of ze zijn aangevallen. Update 3 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat elke software, waaronder third-party non-Microsoft software, die van een specifieke functie gebruikmaakt om te bepalen of een X.509-certificaat van een vertrouwde partij afkomstig is, de fout in kan gaan bij het beoordelen van de betrouwbaarheid van de certificaatketen. Door de kwetsbaarheid kan een aanvaller certificaten spoofen, waardoor het mogelijk is om met TLS versleutelde communicatie te onderscheppen en aan te passen of een digitale handtekening te vervalsen. bron: security.nl

Microsoft mag vanavond dan de ondersteuning van Windows 7 stoppen, antivirusbedrijf Avast zal de eigen antivirussoftware op het platform nog zeker tot 2022 van updates blijven voorzien. "In het belang van de veiligheid en privacy van onze gebruikers blijft Avast virusdefinities voor Windows 7 uitbrengen voor diegenen die niet naar een nieuwere Windowsversie willen of kunnen overstappen", aldus Martin Zima van Avast. Wanneer Avast de ondersteuning precies zal stoppen is nog niet bekend. Er is geen harde deadline gesteld. Het antivirusbedrijf claimt dat het wereldwijd meer dan 400 miljoen gebruikers heeft. Uit eigen onderzoek blijkt dat meer dan een derde van de Avast-gebruikers op de pc nog met Windows 7 werkt. "We verwachten geen snelle toename van het aantal gebruikers dat naar nieuwere Windowsversies overstapt en hebben nog geen harde deadline voor onze support vastgesteld", zo laat de virusbestrijder weten. bron: security.nl

De beruchte Ryuk-ransomware maakt gebruik van Wake-on-Lan (WoL) om uitgeschakelde computers aan te zetten zodat die vervolgens zijn te versleutelen. Wake-on-Lan is een standaard waarmee uitgeschakelde computers door het versturen van een "magic packet" zijn in te schakelen. De machine in kwestie moet WoL wel ondersteunen en ook hebben ingeschakeld. De functie is vooral bedoeld voor systeembeheerders, maar wordt ook door de criminelen achter Ryuk toegepast. Zodra Ryuk een machine besmet heeft leest het de Address Resolution Protocol (ARP) cache van de computer uit. In de ARP-cache staan ip-adressen van computers in het netwerk. Ryuk stuurt vervolgens naar alle adressen het magic packet. Zodra de machine is ingeschakeld probeert Ryuk de administrative share te mounten. Wanneer dit lukt versleutelt Ryuk bestanden op de betreffende computer. De WoL-feature van de Ryuk-ransomware werd afgelopen november door securitybedrijf Crowdstrike beschreven. Volgens onderzoeker Kurt Baumgartner van antivirusbedrijf Kaspersky is de functie er al sinds september 2019. Ook de nieuwste versie van Ryuk maakt gebruik van Wake-on-Lan. Volgens Crowdstrike probeert de ransomware met deze feature het aantal te versleutelen machines te maximaliseren. "Dit is hoe de groep het netwerkbrede ransomwaremodel heeft aangepast om meer machines via een enkele infectie te raken en de machines via WoL en ARP te bereiken", laat beveiligingsonderzoeker Vitali Kremez tegenover Bleeping Computer weten. "Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen." bron: security.nl

Oracle komt later vandaag met belangrijke beveiligingsupdates die in totaal 334 kwetsbaarheden in een groot aantal producten verhelpen. Het is daarmee één van de grootste Critical Patch Updates in de geschiedenis van het softwarebedrijf. In tegenstelling tot veel andere softwarebedrijven brengt Oracle vier keer per jaar beveiligingsupdates uit. Tijdens de eerste patchronde van dit jaar verhelpt Oracle in totaal 334 beveiligingslekken. Dertien van de kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De meeste beveiligingslekken, vijftig in totaal, zijn in Enterprise Manager verholpen. Tien van de kwetsbaarheden laten een aanvaller zonder inloggegevens het systeem overnemen. In Fusion Middleware zijn 38 kwetsbaarheden opgelost, waarvan er dertig op afstand en zonder authenticatie waren te gebruiken. Andere programma met veel verholpen beveiligingslekken zijn Financial Services (24), Oracle Retail (24), E-Business Suite (23), Oracles virtualisatiesoftware zoals VirtualBox (22) en Oracle Communications (21). In Oracle Java, dat op veel computers van eindgebruikers draait, zijn twaalf kwetsbaarheden opgelost. De volgende Critical Patch Update staat gepland voor 14 april. Het grootste aantal beveiligingslekken dat Oracle ooit via één patchronde heeft opgelost bedroeg 334. Die patchronde vond plaats in 2018. Update In de aankondiging stonden 333 kwetsbaarheden vermeld, maar in de uiteindelijke release blijkt het om 334 lekken te gaan. bron: security.nl

Onderzoekers van Microsoft hebben een malafide npm-package ontdekt die data van Unix-systemen steelt. Dat blijkt uit een advisory van het npm Security Team. Npm is een package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. Onderzoekers van Microsoft Security Vulnerability Research ontdekten dat alle versies van de npm-package met de naam 1337qq-js kwaadaardige code bevat die gevoelige informatie van Unix-systemen steelt. Het gaat om informatie over omgevingsvariabelen, draaiende processen, /etc/hosts, uname -a en het npmrc-bestand. Volgens cijfers van npm-stat.com was de malafide package 32 keer gedownload voordat die door de beheerders van het npm registry werd verwijderd. Personen die 1337qq-js hebben gedownload wordt aangeraden om de package te verwijderen en gecompromitteerde inloggegevens te wijzigen. bron: security.nl

Microsoft komt vanavond met een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid in een module die cryptografische functies uitvoert, zo laten bronnen aan it-journalist Brian Krebs weten. Het beveiligingslek in "crypt32.dll" zou in alle ondersteunde versies van Windows aanwezig zijn. De crypt32-module is verantwoordelijk voor de certificaat- en cryptografische functies in de CryptoAPI van Windows. Deze API wordt door Windows-gebaseerde applicaties gebruikt en zorgt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten. Wat het beveiligingslek precies inhoudt is nog onbekend, maar een ernstige kwetsbaarheid in de module kan verstrekkende gevolgen hebben, zoals het spoofen van digitale handtekeningen. Bronnen laten aan Krebs weten dat Microsoft de update al aan onderdelen van het Amerikaanse leger en andere belangrijke klanten en organisaties heeft verstrekt die voor de kritieke internetinfrastructuur verantwoordelijk zijn. Eerder stelde Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit dat mensen de beveiligingsupdates van vanavond nauwlettend in de gaten moeten houden. Het CERT/CC publiceert informatie over kwetsbaarheden. bron: security.nl

Onderzoekers hebben in Nederland honderden Citrix-servers ontdekt die kwetsbaar zijn voor aanvallen en aanvallers zoeken inmiddels actief naar kwetsbare machines. Wereldwijd gaat het om meer dan 25.000 Citrix-servers die risico lopen. De servers zijn kwetsbaar door een beveiligingslek in de Citrix Application Delivery Controller (ADC) en Citrix Gateway die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway. Via het beveiligingslek kan een aanvaller op afstand willekeurige code op het systeem uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Citrix maakte het beveiligingslek op 17 december bekend, maar een beveiligingsupdate is nog niet beschikbaar gemaakt. Wel kunnen organisaties maatregelen nemen om aanvallen te voorkomen. Onderzoekers van securitybedrijf Bad Packets besloten meer dan 60.000 Citrix-servers te scannen om te kijken welk deel daarvan kwetsbaar is. De scan leverde meer dan 25.000 unieke servers op. Bijna tienduizend daarvan bevinden zich in de Verenigde Staten. In Nederland werden 713 kwetsbare machines geteld. Via de kwetsbaarheid is het mogelijk om organisaties met ransomware te infecteren. Exploits om misbruik van de kwetsbaarheid te maken zijn inmiddels online verschenen. De kwetsbare Citrix-servers werden bij Fortune 500-bedrijven, overheidsinstanties, banken, ziekenhuizen en energiemaatschappijen aangetroffen. Onderzoeker Troy Mursch van Bad Packets zegt dat hij de informatie met overheidsinstanties wereldwijd heeft gedeeld, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. bron: security.nl

Vorig jaar maart liet Mark Zuckerberg weten dat alle communicatieplatformen van Facebook end-to-endencryptie zullen gaan gebruiken, maar in het geval van Facebook Messenger zal dit nog jaren duren. Dat liet Facebook-engineer Jon Millican tijdens de Real World Crypto-conferentie in New York weten, zo meldt Wired. Volgens Millican is het toevoegen van end-to-endencryptie aan een bestaand systeem een grote uitdaging en vereist het fundamentele aanpassingen. Onlangs stuurden de Verenigde Staten, het Verenigd Koninkrijk en Australië een brief naar Facebook waarin de sociale netwerksite werd opgeroepen om Facebook Messenger en Instagram Messenger niet van end-to-endencryptie te voorzien. Facebook reageerde door te stellen dat het geen backdoor zou toevoegen om toegang tot versleutelde berichten te geven. Met end-to-endencryptie is de communicatie alleen door de afzender en ontvanger in te zien. Wanneer de feature echter aan Messenger wordt toegevoegd kon Millican niet zeggen. Volgens de engineer gaat het om een "lang proces" dat Facebook liever goed dan snel doet. "We voegen geen end-to-endencryptie toe aan een product, we bouwen een end-to-end versleuteld product", aldus Millican. De engineer is ervan overtuigd dat de feature vroeger of later zal verschijnen. bron: security.nl

De Amerikaanse overheid heeft een waarschuwing afgegeven voor aanvallen op ongepatchte Pulse Secure vpn-servers. Aanvallers maken gebruik van een beveiligingslek waar vorig jaar april een beveiligingsupdate voor verscheen. Ondanks de beschikbaarheid van een update blijft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid grootschalig misbruik van de kwetsbaarheid zien. Geldwisselaar GWK Travelex is mogelijk door ongepatchte Pulse Secure vpn-servers met ransomware besmet geraakt. Het bedrijf werd op 31 december door ransomware getroffen. Onderzoekers ontdekten dat de geldwisselaar meerdere ongepatchte Pulse Secure vpn-servers in het netwerk had staan en hierover was gewaarschuwd, maar geen actie had ondernomen. Het CISA verwacht dat aanvallers ongepatchte vpn-servers zullen blijven aanvallen en roept systeembeheerders dan ook op om de kwetsbaarheid te patchen. De Amerikaanse overheid heeft een waarschuwing afgegeven voor aanvallen op ongepatchte Pulse Secure vpn-servers. Aanvallers maken gebruik van een beveiligingslek waar vorig jaar april een beveiligingsupdate voor verscheen. Ondanks de beschikbaarheid van een update blijft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid grootschalig misbruik van de kwetsbaarheid zien. Geldwisselaar GWK Travelex is mogelijk door ongepatchte Pulse Secure vpn-servers met ransomware besmet geraakt. Het bedrijf werd op 31 december door ransomware getroffen. Onderzoekers ontdekten dat de geldwisselaar meerdere ongepatchte Pulse Secure vpn-servers in het netwerk had staan en hierover was gewaarschuwd, maar geen actie had ondernomen. Het CISA verwacht dat aanvallers ongepatchte vpn-servers zullen blijven aanvallen en roept systeembeheerders dan ook op om de kwetsbaarheid te patchen. bron: security.nl