Captain Kirk

Een recordaantal van ruim 12.000 Belgen is vorig jaar opgelicht via phishing, waarbij criminelen toegang tot bankrekeningen wisten te krijgen en miljoenen euro's konden stelen. Het ging in totaal om 12.400 slachtoffers, wat neerkomt op 34 slachtoffers per dag. In 2018 wisten criminelen via phishing nog 9700 slachtoffers te maken, zo meldt Febelfin, de overkoepelende organisatie van Belgische banken vandaag. Ondanks de sterke toename van het aantal slachtoffers kende het schadebedrag een lichte daling. Slachtoffers werden vorig jaar voor 7,5 miljoen euro bestolen, wat neerkomt op gemiddeld zo'n 600 euro per slachtoffer. Een jaar eerder ging het nog om een bedrag van 8 miljoen euro, waarbij slachtoffers gemiddeld 820 euro verloren. "Dat heeft wellicht te maken met verbeterde fraudedetectiesystemen bij de banken en mogelijk een hogere alertheid bij consumenten als het over grotere bedragen gaat, maar de strijd is zeker nog niet gestreden", stelt Febelfin. "Het aantal fraudegevallen en de ontvreemde bedragen blijven onaanvaardbaar hoog, terwijl het in principe mogelijk is om phishing te vermijden." bron: security.nl

Certificaatautoriteit Let's Encrypt heeft besloten om 1 miljoen tls-certificaten die het oorspronkelijk wilde intrekken omdat erbij de controle iets was misgegaan toch niet in te trekken. Afgelopen dinsdag maakte Let's Encrypt bekend dat de software die bij de uitgifte van tls-certificaten werd gebruikt een fout bevatte. Certificaten van Let's Encrypt zijn negentig dagen geldig en worden bij de meeste gebruikers automatisch vernieuwd als de huidige certificaten minder dan dertig dagen geldig zijn. Gebruikers die over meerdere certificaten beschikken kunnen die op hetzelfde moment laten vernieuwen. Tijdens dit proces voert Let's Encrypt verschillende controles uit, waaronder de controle van Certification Authority Authorization (CAA) records. In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven. Bij de controle van deze CAA-records ging de software van Let's Encrypt in de fout. Wanneer een gebruiker bijvoorbeeld tien certificaten wilde laten vernieuwen, zorgde de bug ervoor dat het CAA-record van één domein tien keer werd gecontroleerd en van de andere negen certificaten niet. Aangezien er geen fouten bij het uitgifteproces mogen worden gemaakt moeten alle certificaten die gedurende de aanwezigheid van de bug zijn uitgegeven worden ingetrokken. De bug werd vermoedelijk op 25 juli 2019 geïntroduceerd. Volgens Let's Encrypt zouden er meer dan drie miljoen certificaten moeten worden ingetrokken, waarbij 5 maart als deadline was gegeven. Sinds de aankondiging van Let's Encrypt zijn in minder dan 48 uur meer dan 1,7 miljoen getroffen certificaten vervangen. De certificaatautoriteit verwacht dat meer dan één miljoen certificaten echter niet op tijd zullen worden vervangen door hun eigenaren. "In het belang van de gezondheid van het internet hebben we besloten dat het beter is om deze certificaten niet na het verstrijken van de deadline in te trekken", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG), de partij achter Let's Encrypt. Aas merkt op dat Let's Encrypt-certificaten slechts negentig dagen geldig zijn en de certificaten in kwestie dan ook snel zullen verdwijnen. De meer dan 1,7 miljoen certificaten die inmiddels zijn vervangen zullen vandaag worden ingetrokken. Daarnaast gaat het om 445 certificaten waarvan de eigenaren in de CAA-records hadden vermeld dat Let's Encrypt voor die domeinen geen certificaten mocht uitgeven. bron: security.nl

Al jarenlang maken criminelen gebruik van zogenaamde browser- en Flash Player-updates om malware te verspreiden, maar nu worden ook nep-certificaatwaarschuwingen ingezet. Dat laat antivirusbedrijf Kaspersky weten. De zogenaamde certificaatwaarschuwing verschijnt op gecompromitteerde websites waar de aanvallers kwaadaardige code aan hebben toegevoegd. Deze code toont een waarschuwing aan bezoekers dat een beveiligingscertificaat is verouderd en er een aangeboden certificaat moet worden geïnstalleerd om de pagina te laden. In werkelijkheid gaat het om een Trojan-downloader genaamd Buerak en een backdoor genaamd Mokes, die allerlei informatie van systemen steelt. Volgens Kaspersky is de nep-certificaatwaarschuwing op allerlei websites verschenen, waaronder die van een dierentuin en een leverancier van auto-onderdelen. bron: security.nl

Om de privacy van gebruikers verder te beschermen gaat Mozilla in Firefox 75 het gebruik van first-party trackers aanpakken. Dat heeft de browserontwikkelaar bekendgemaakt. Firefox beschikt al enige tijd over trackingbescherming, gebaseerd op een lijst van bekende trackers. Het gaat dan om domeinen waarvan bekend is dat ze worden gebruikt om internetgebruikers over het web te volgen. Aangezien het alleen om bekende domeinen gaat worden niet alle trackers geblokkeerd. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website zijn van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Safari en Firefox besloten daarop om via een lijst van bekende trackingdomeinen third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken. Eind vorig jaar kwam de browserextensie UBlock Origin al met een update om first-party trackers bij Firefoxgebruikers te blokkeren. Nu is Mozilla van plan om dergelijke functionaliteit standaard aan Firefox toe te voegen. De browser zal websites controleren die trackingcookies plaatsen. Wanneer de gebruiker binnen dertig dagen geen interactie met deze website heeft gehad, zullen de cookies en andere sitegegevens automatisch worden verwijderd. De feature is nu aanwezig in een vroege testversie van Firefox 75. De definitieve versie van Firefox 75 staat gepland voor 7 april. bron: security.nl

Fortune 500-bedrijf Emcor, dat wereldwijd systemen voor de vitale infrastructuur levert, is vorige maand getroffen door de Ryuk-ransomware. Dat heeft het bedrijf bij de presentatie van de kwartaal- en jaarcijfers bekendgemaakt (pdf1, pdf2). De infectie werd ontdekt op zaterdag 15 februari. Na ontdekking van de aanval besloot Emcor, dat vorig jaar een geschatte omzet van 9 miljard dollar had en meer dan 33.000 medewerkers telt, bepaalde it-systemen uit te schakelen. Dit moest verdere verspreiding van de ransomware voorkomen. Twee weken later waren sommige systemen nog steeds offline. Volgens het bedrijf zijn er geen aanwijzingen dat de aanvallers klant- of personeelsgegevens hebben gestolen. Hoeveel de aanval het bedrijf heeft gekost is nog onduidelijk. Emcor meldt dat het de kosten in de prognose voor 2020 heeft meegenomen. Verdere details over de aanval zijn niet gegeven. Onlangs liet de FBI nog weten dat Ryuk de meest succesvolle ransomware van de afgelopen jaren is geweest. De Amerikaanse opsporingsdienst baseert zich op de bitcoinwallets waar slachtoffers het losgeld voor het ontsleutelen van bestanden naar toe moesten overmaken. Van 1 oktober 2013 tot 7 november 2019 ging het om een bedrag van meer dan 144 miljoen dollar die door slachtoffers van allerlei ransomware werd betaald. 61 miljoen dollar van dat bedrag was afkomstig van Ryuk-slachtoffers. De Ryuk-ransomware verschilt van veel andere ransomware doordat aanvallers de malware handmatig installeren. De aanvallers proberen ook zoveel mogelijk systemen binnen een getroffen organisatie te infecteren en aanwezige back-ups te verwijderen. Vervolgens worden hoge bedragen gevraagd voor het ontsleutelen van getroffen systemen. Ryuk wordt onder andere geïnstalleerd via de Emotet- en Trickbot-malware die via kwaadaardige Microsoft Office-macro's worden verspreid. De Britse beveiligingsonderzoeker Kevin Beaumont laat op Twitter weten dat ook de internationale juridische dienstverlener Epiq door de Ryuk-ransomware is getroffen. bron: security.nl

De Google Authenticator-app die voor tweefactorauthenticatie (2FA) wordt gebruikt staat het toe dat er screenshots van OTP-codes worden gemaakt. Het probleem is al sinds 2014 bekend en het is onwaarschijnlijk dat Google met een oplossing zal komen. De Authenticator-app is namelijk al sinds 27 september 2017 niet meer bijgewerkt. Onlangs werd bekend dat de Cerberus-malware voor Android in staat is om OTP-codes van Google Authenticator te stelen. Een probleem dat in 2017 al door securitybedrijf Nightwatch Cybersecurity aan Google was gerapporteerd. Het bedrijf waarschuwde dat als het toestel van de gebruiker met een kwaadaardige app besmet raakt, die app gegenereerde OTP-codes kan vastleggen. Daarmee wordt de tweefactorauthenticatie gebroken, aldus Nightwatch Cybersecurity. Dergelijke activiteiten van kwaadaardige apps zijn via een bepaalde optie te voorkomen, maar daar maakt Google Authenticator geen gebruik van. Op 10 mei 2017 rapporteerde Nightwatch Cybersecurity het probleem bij Google. Een oplossing werd echter nooit doorgevoerd. Nu onlangs bekend werd dat de Cerberus-malware van deze omissie gebruikmaakt besloot het securitybedrijf de details van de bugmelding te openbaren. "Het is prima om de ontwikkeling van software te staken. Het is oké om te bepalen dat je beperkte middelen ergens anders beter zijn te gebruiken. Het is niet oké om een open beveiligingsstandaard te promoten, mensen te overtuigen om je propriëtaire app te gebruiken en die dan te verlaten", zegt Terence Eden, hoofd open technologie van NHSX, een speciale techafdeling van de Britse gezondheidszorg NHS. bron: security.nl

Kwaadaardige code die vorige week op de website van de Amerikaanse zorgverzekeraar Blue Shield of California verscheen kwam daar via een gecompromitteerde Chrome-extensie. Dat heeft de verzekeraar, die meer dan vier miljoen mensen bedient, aan it-journalist Brian Krebs laten weten. Een medewerker die de website van Blue Shield of California onderhield maakte gebruik van de Chrome-extensie Page Ruler. Deze extensie maakt het mogelijk om elementen van een website te meten en is door meer dan 400.000 Chrome-gebruikers geïnstalleerd. De extensie werd een aantal jaren geleden door de originele ontwikkelaar aan een andere partij verkocht. Sindsdien zijn er meerdere meldingen verschenen dat de extensie kwaadaardige code verspreidt. Desondanks is die nog steeds in de Chrome Web Store te vinden. De aangepaste extensie kijkt of de gebruiker bijvoorbeeld van WordPress of Joomla gebruikmaakt voor het bewerken van een website. Vervolgens wordt er kwaadaardige JavaScript-code aan de pagina toegevoegd die in bepaalde gevallen advertenties in de browser van bezoekers laadt. Zo kon het gebeuren dat vorige week verschillende antivirusprogramma's een waarschuwing gaven op de website van Blue Shield dat die kwaadaardige code bevatte. De code is inmiddels van de website verwijderd. Gebruikers krijgen het advies om de extensie te verwijderen. bron: security.nl

Certificaatautoriteit Let's Encrypt gaat morgen vanwege een fout bij het uitgeven van TLS-certificaten meer dan 3 miljoen certificaten intrekken. Dat heeft de organisatie bekendgemaakt. De software van Let's Encrypt bevatte een fout bij het controleren van Certification Authority Authorization (CAA) records. In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven. De software van Let's Encrypt controleert eventueel aanwezige CAA-records en kan die in sommige gevallen net voor de uitgifte van het certificaat voor een tweede keer controleren. Een bug zorgde ervoor dat als de software meerdere domeinen moest controleren, één domein meerdere keren werd gecontroleerd en de andere domeinen niet. De bug werd op 29 februari van dit jaar ontdekt. Twee minuten na de ontdekking werd de uitgifte van certificaten gestopt. Twee uur later was er een oplossing uitgerold en konden er weer certificaten worden uitgegeven. Uit voorlopig onderzoek blijkt dat de bug vermoedelijk op 25 juli 2019 is geïntroduceerd. Als gevolg worden morgen 3 miljoen certificaten ingetrokken, waarvan ongeveer 1 miljoen dubbele van andere getroffen certificaten, die dezelfde set domeinnamen beslaan. Vanwege de manier waarop de bug zich kon voordoen zijn voornamelijk certificaten getroffen die vaak opnieuw werden uitgegeven, wat verklaart waarom zoveel getroffen certificaten dubbele zijn. Gedupeerde gebruikers van wie Let's Encrypt een e-mailadres heeft zijn door de certificaatautoriteit ingelicht. bron: security.nl

Deze maand zullen de Chrome en Firefox zo'n 850.000 websites gaan blokkeren die nog van een TLS 1.0 en 1.1 gebruikmaken. Het TLS (Transport Layer Security)-protocol, dat onder andere wordt gebruikt voor het opzetten van een beveiligde verbinding, bestaat inmiddels meer dan 20 jaar. Vanwege veiligheidsredenen wordt de ondersteuning van TLS 1.0 en 1.1 gestopt. Dit is in het verleden al geregeld gecommuniceerd, toch zijn er nog altijd meer dan 850.000 websites die van de oude TLS-protocollen gebruikmaken, zo meldt internetbedrijf Netcraft. Daardoor krijgen gebruikers straks een waarschuwing in de browser te zien als ze deze websites proberen te bezoeken. Het gaat onder andere om websites van Huawei, telecomprovider O2, de Zuid-Afrikaanse overheid, de Amerikaanse staat Californië en andere instanties. Door van TLS 1.0 en 1.1 gebruik te maken lopen bezoekers van deze sites risico op aanvallen zoals BEAST, CRIME en POODLE. "Het verwijderen van de client-side ondersteuning van deze oudere protocollen is de meest effectieve manier om ervoor te zorgen dat hun gerelateerde kwetsbaarheden niet langer een risico vormen", zegt Ashley Newson van Netcraft. Beheerders krijgen het advies om voor de beveiligde verbinding van hun websites TLS 1.2 of 1.3 te gebruiken. bron: security.nl

Beveiligingsonderzoeker Troy Hunt, bedenker van de datalekzoekmachine Have I Been Pwned, zoekt niet langer naar een overnamekandidaat. De zoekmachine zal namelijk niet worden verkocht, zo heeft Hunt vandaag in een blogposting bekendgemaakt. Internetgebruikers kunnen hun e-mailadres op de website invoeren en krijgen vervolgens te zien of die ooit onderdeel van een datalek is geweest. Inmiddels bevat Have I Been Pwned meer dan 9,5 miljard gecompromitteerde accounts, afkomstig van meer dan 430 websites. Hunt beheert de dienst in zijn eentje, maar dat was volgens de Australiër niet langer houdbaar, zo liet hij vorig jaar juni weten. Zo zat hij begin vorig jaar naar eigen zeggen dicht tegen een burn-out aan. Hij startte daarom een zoektocht naar een overnamekandidaat. Hunt had verschillende voorkeurspartijen en werkte samen met KPMG om te kijken welke organisaties in aanmerking voor het overnemen van Have I Been Pwned zouden komen. Na een proces van elf maanden, waarbij Hunt maanden met één partij overlegde waarvan hij dacht dat die de datalekzoekmachine zou overnemen, liepen de onderhandelingen op niets uit. "Onverwachte veranderingen aan hun businessmodel maakte de deal onhaalbaar", laat Hunt weten. De onderzoeker had in totaal gesprekken met 141 bedrijven die in Have I Been Pwned geïnteresseerd waren. Uit deze groep werden 43 partijen gekozen die aan de door Hunt gestelde eisen voldeden. Ook met deze bedrijven voerden Hunt en KPMG gesprekken. Vervolgens konden deze partijen een niet-bindend bod doen. Dit leidde uiteindelijk tot één partij die als bieder exclusiviteit kreeg. Wie deze partij is mag Hunt niet zeggen. Vanuit het niets veranderde het businessmodel van deze partij, waarop Hunt en het bedrijf besloten om van de overname af te zien. Hunt merkt op dat het een zeer intensief proces was en hij enige tijd nodig zal hebben om te herstellen. Daarnaast merkt hij op dat het gehele proces hem heeft laten zien dat hij meer mankracht nodig heeft. "Ik kan niet de enige zijn die voor alles verantwoordelijk is", aldus de onderzoeker, die binnenkort nieuwe plannen voor Have I Been Pwned bekend zal maken. bron: security.nl

Facebook biedt gebruikers een tool waarmee ze kunnen downloaden en zien wat de sociale netwerksite over hen weet, maar deze oplossing is niet volledig, zo stelt Privacy International. De privacyorganisatie baseert zich op eigen onderzoek. Via de optie "Je gegevens downloaden" kunnen Facebookgebruikers onder andere zien welke adverteerders zich met welke advertenties op hen hebben gericht en onder welke omstandigheden. "We ontdekten dat de aangeboden informatie onnauwkeurig is. Anders gezegd, deze tool is niet wat Facebook beweert. De lijst met adverteerders is onvolledig en verandert in de loop der tijd", aldus Cody Doherty van Privacy International. Daarnaast is de wel verstrekte informatie zeer beperkt. Er staat alleen een naam van de adverteerder, maar geen contactgegevens. Daardoor kunnen gebruikers volgens Privacy International niet hun rechten uitoefenen. Adverteerders kunnen met persoonlijke data van internetgebruikers hen op Facebook benaderen. Het gaat dan bijvoorbeeld om een e-mailadres, telefoonnummer of Facebook-ID. De adverteerder uploadt deze informatie zodat hij de Facebookgebruiker gerichte advertentie kan tonen. Facebook moet aan gebruikers laten weten hoe ze door adverteerders worden benaderd. Zo kunnen gebruikers zien of de adverteerder in kwestie wel een juridische basis heeft voor het verwerken van deze gegevens. De Facebooktool is echter ondoorzichtig voor gebruikers, aldus Privacy International. Die kunnen zo niet goed zien en controleren hoe hun gegevens worden gebruikt op het platform. Zo kunnen gebruikers niet achterhalen welke bedrijven informatie over hen naar Facebook hebben geüpload om gerichte advertenties te tonen. "Het gebrek aan informatie en de moeilijkheden bij het uitoefenen van rechten versterkt een ondoorzichtige omgeving waar mensen niet weten hoe hun data wordt verzameld, gedeeld en gebruikt om te profileren en hen met gerichte advertenties te bestoken", stelt Doherty. Volgens Privacy International moet Facebook ervoor zorgen dat de tools die het gebruikers aanbiedt nauwkeurig en effectief zijn en is de huidige situatie onacceptabel. bron: security.nl

Een aanbieder van gratis wifi op Britse treinstations heeft via een onbeveiligde database 160 miljoen records gelekt. De database van wifi-provider C3UK werd gevonden door beveiligingsonderzoeker Jeremiah Fowler van securitybedrijf Security Discovery. De database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte allerlei details van reizigers die van de gratis wifi-dienst gebruik hebben gemaakt. Het ging onder andere om e-mailadressen, leeftijdsgroep, apparaatgegevens, ip-adres en reden om te reizen. Deze informatie moest worden opgegeven om met het gratis wifi-netwerk verbinding te maken. Verder werden er ook interne logs, ip-adressen, poortnummers en andere interne data van de provider zelf aangetroffen. C3UK laat in een reactie tegenover de BBC weten dat het om een back-up van een database ging. De database bevatte volgens de wifi-aanbieder zo'n tienduizend e-mailadressen en zou alleen door de onderzoeker zijn benaderd. "Aangezien de database geen wachtwoorden of andere belangrijke data bevatte, zoals financiële gegevens, is dit als een klein potentieel beveiligingslek geïdentificeerd", zo stelt het bedrijf. C3UK heeft geen datalek bij de Britse privacytoezichthouder gemeld, omdat de database alleen door de onderzoeker zou zijn benaderd. bron: security.nl

Microsoft heeft bedrijven opnieuw opgeroepen om te stoppen met het gebruik van het onveilige SMBv1-protocol. Het SMB (Server Message Block)-protocol wordt door Windows gebruikt voor het delen van bestanden en printers op een lokaal netwerk. De eerste SMB-versie stamt uit 1983 en is daarmee bijna veertig jaar oud. Desondanks zijn er nog steeds bedrijven die er gebruik van maken. Microsoft krijgt zelfs vragen van klanten waarom Windows 10 standaard niet met SMBv1 werkt. De enige Windowsversies die SMBv1 vereisen zijn Windows 2000 Server en Server 2003 die respectievelijk sinds juli 2010 en juli 2015 niet meer door Microsoft worden ondersteund. Ook Samba- en Linux-distributies ondersteunen SMBv1 niet meer. "Stop alsjeblieft met het gebruik van SMBv1. Doe die oude legacy systemen die alleen SMBv1 ondersteunen weg. We krijgen continu vragen van klanten waarom Windows 10 standaard geen SMBv1 ondersteunt zodat het met hun oude, onveilige systemen werkt", zegt Microsofts James Kehr. "Door Microsoft te vragen om een niet meer ondersteunde Windowsversie te ondersteunen vragen mensen ons om een besturingssysteem te supporten dat zo oud is dat de moderne smartphone niet eens bestond." Volgens Kehr is het draaien van een dergelijk oud besturingssysteem niet alleen een beveiligingsrisico, het is ook beangstigend omdat deze bedrijven een besturingssysteem gebruiken dat voor een compleet ander computertijdperk is gemaakt. Aan het einde van zijn betoog herhaalt Kehr dat er geen reden is om SMBv1 te blijven gebruiken. "Managers noemen vaak kosten als reden, maar als je denkt aan de potentiële kosten van een datalek, is het dan echt het risico waard?" bron: security.nl

Microsoft heeft een nieuwe optie aan Chromium Edge toegevoegd die potentieel ongewenste programma's (PUA's) blokkeert. "Potentieel ongewenste applicaties kunnen de gebruiker minder productief maken, de machine slechter laten presteren en voor een verminderde Windowservaring zorgen", zegt Juli Hooper van Microsoft. Het gaat dan bijvoorbeeld om programma's die adware of cryptominers bevatten en software met een slechte reputatie. De nieuwste Chromium Edge-versie (beginnend met 80.0.338.0) beschikt over een features die downloads met mogelijke PUA's kan blokkeren. Wanneer gebruikers een dergelijke applicatie downloaden geeft de browser een waarschuwing. Gebruikers hebben echter de mogelijkheid om het bestand te bewaren en aan Microsoft te laten weten dat het om een betrouwbare app gaat. Afsluitend geeft Hooper het advies aan gebruikers om alleen maar software van vertrouwde locaties te downloaden, zoals de website van een uitgever of een betrouwbare appstore, en de reputatie en reviews van de app voor het downloaden te controleren. bron: security.nl

Maar liefst vier zeroday-lekken in vier verschillende WordPressplug-ins zijn de afgelopen dagen gebruikt om websites over te nemen en van kwaadaardige code voorzien. Voor twee plug-ins zijn inmiddels beveiligingsupdates verschenen, maar voor de overige twee plug-ins is het wachten op een patch. Afgelopen dinsdag verscheen er een update voor een zerodaylek in de plug-in Flexible Checkout Fields for WooCommerce. WooCommerce is een zeer populaire plug-in voor op WordPress-gebaseerde webwinkels. De Checkout Fields-plug-in is een uitbreiding voor WooCommerce waarmee extra invoervelden aan een bestelpagina zijn toe te voegen. Meer dan 20.000 websites maken er gebruik van. Tevens is er gisteren een patch voor Async JavaScript uitgekomen, een plug-in die op meer dan 100.000 websites draait. Voor de plug-ins Modern Events Calendar Lite en 10Web Map Builder for Google Maps, die bij elkaar op meer dan 60.000 websites actief zijn, is nog geen update beschikbaar De kwetsbaarheden in deze vier plug-ins maken het mogelijk om cross-site scripting (XSS) uit te voeren. Een aanvaller kan hierdoor een WordPressbeheerder aan de website toevoegen en kwaadaardige plug-ins met backdoors installeren. Vervolgens kan er kwaadaardige code aan de website worden toegevoegd die bezoekers bijvoorbeeld naar malafide websites doorstuurt. Aangezien er voor Modern Events Calendar Lite en 10Web Map Builder for Google Maps nog geen patch beschikbaar is, krijgen WordPressbeheerders het advies om die uit te schakelen. bron: security.nl

Aanvallers zoeken actief naar kwetsbare Exchange-servers die een belangrijke update missen die eerder deze maand door Microsoft werd uitgebracht. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Het beveiligingslek werd via het Zero Day Initiative (ZDI), een programma dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, aan Microsoft gemeld. Inmiddels heeft het ZDI ook een technische analyse van het lek gepubliceerd. Kort na de publicatie werden er al "grootschalige scans" op internet waargenomen die naar Exchange servers zochten, zo meldt beveiligingsonderzoeker Kevin Beaumont. Ook securitybedrijf Bad Packets meldt dat aanvallers naar Exchange-servers zoeken. Doordat een aanvaller moet kunnen inloggen op een e-mailaccount op de server heeft Microsoft de kwetsbaarheid als "belangrijk" bestempeld in plaats van "kritiek". Volgens het ZDI is die beoordeling onterecht. "Binnen een bedrijf kan bijna elke gebruiker zich op de Exchange-server authenticeren. Daarnaast kan een externe aanvaller die de inloggegevens of het systeem van een gebruiker heeft gecompromitteerd de Exchange-server overnemen. Beheerders moeten dit dan ook als een kritieke patch beschouwen en zo snel als mogelijk na het testen uitrollen", aldus Simon Zuckerbraun van het ZDI. Microsoft verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken. bron: security.nl

Een kwetsbaarheid in de wifi-chips van fabrikanten Broadcom en Cypress maakt het mogelijk voor aanvallers om sommige wifi-pakketjes te ontsleutelen. Het beveiligingslek, date Kr00k wordt genoemd, zorgt ervoor dat kwetsbare apparaten een "all-zero" encryptiesleutel gebruiken om een deel van het wifi-verkeer te versleutelen. Bij een succesvolle aanval zou een aanvaller hierdoor een deel van het wifi-verkeer kunnen ontsleutelen. Een wifi-apparaat kan zijn verbinding met een wifi-netwerk verliezen, bijvoorbeeld door slecht bereik, en weer opnieuw verbinding maken. Zowel de "association", wanneer de client verbinding maakt, en de "disassociation", wanneer de verbinding is verbroken, worden via ongeauthenticeerde, onversleutelde management frames verzorgd. Een aanvaller kan via een vervalst management frame een disassociation veroorzaken. Het Kr00k-lek doet zich voor bij disassociation. Zodra een wifi-sessie wordt verbroken zal de sessiesleutel van de wifi-chip naar nul worden gezet. Dit is normaal gedrag, aangezien er geen verdere data na de disassociation zou moeten worden verstuurd. Onderzoekers van ESET ontdekten dat resterende dataframes in de buffer van de wifi-chip met deze "all-zero" sleutel worden versleuteld en alsnog worden verstuurd. Een aanvaller kan deze dataframes onderscheppen en ontsleutelen. Volgens de onderzoekers kan deze data kilobytes aan mogelijk gevoelige informatie bevatten. Een aanvaller hoeft niet met het wifi-netwerk zijn verbonden om de dataframes te onderscheppen. Het probleem speelt niet alleen bij client-apparaten, zoals de Amazon Echo en Kindle, Apple iPhone, iPad en MacBook, Google Nexus- en Samsung Galaxy-telefoons, maar ook wifi-routers, waaronder die van Asus en Huawei. De onderzoekers informeerden Broadcom en Cypress die inmiddels met beveiligingsupdates zijn gekomen. Gebruikers krijgen dan ook het advies om te controleren of ze de laatste updates geïnstalleerd hebben. Bij chips van Qualcomm, Realtek, Ralink en Mediatek werd het probleem niet aangetroffen. bron: security.nl

Hardwarefabrikant Zyxel heeft hotfixes uitgebracht voor een zeer ernstige kwetsbaarheid in de verschillende firewalls van het bedrijf waardoor een aanvaller in het ergste geval volledige controle over het apparaat kan krijgen. Firmware-updates om het probleem te verhelpen verschijnen in maart. Eerder deze week kwam Zyxel al met een patch voor een beveiligingslek in verschillende NAS-systemen. Aanvallers maken actief van dit lek gebruik om NAS-systemen met ransomware te infecteren die bestanden vervolgens versleutelt. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Nu blijkt dat dit specifieke beveiligingslek ook in de UTM-, ATP- en VPN-firewalls van Zyxel aanwezig is. Het gaat om firewalls met firmware versies ZLD V4.35 Patch 0 tot en met ZLD V4.35 Patch 2. Modellen met versienummers voor ZLD V4.35 Patch 0 zijn niet kwetsbaar. Volgens beveiligingsonderzoeker Alex Holden is het beveiligingslek zeer eenvoudig te misbruiken. Zyxel heeft voor 23 verschillende modellen firewalls updates uitgebracht. Mogelijk dat het werkelijke aantal kwetsbare apparaten groter is, aangezien Zyxel alleen de modellen noemt die het nog ondersteunt. Bij de beveiligingsupdates voor de NAS-systemen bleek dat meerdere modellen geen update krijgen omdat ze niet langer worden ondersteund. bron: security.nl

Onderzoekers hebben een rootkit ontdekt die firewalls weet te omzeilen door verkeer met instructies als legitiem verkeer te vermommen. De rootkit werd aangetroffen op een server gehost in de Amazon Web Services (AWS) cloud, aldus antivirusbedrijf Sophos. Hoe de server besmet kon raken is onbekend, maar mogelijk wisten de aanvallers via een zwak SSH-wachtwoord in te breken. Vervolgens werd de server met malware geïnfecteerd. De infectie bestond uit een rootkit die netwerkverkeer inspecteert en een backdoor installeert. Deze backdoor gebruikte de rootkit weer om met de aanvallers te communiceren en gestolen data te versturen. De besmette server maakte gebruik van AWS security groups om het inkomende en uitgaande verkeer van en naar de server te filteren. De firewall was zo ingesteld dat alleen verkeer naar poort 80 HTTP en poort 443 HTTPS werd toegestaan. Om de AWS security groups te omzeilen stuurden de aanvallers onschuldig lijkende requests naar de webserver op de normale webserverpoorten. Een malwaremodule die het inkomende verkeer inspecteerde voordat het de webserver bereikte onderschepte de speciaal geprepareerde requests van de aanvallers en stuurde de instructies daarin door naar de malware. Deze instructies waren vermomd als het source poortnummer. "Firewalls voorkomen dat machines achter de firewall verkeer ontvangen dat naar willekeurige bestemmingspoorten wordt gestuurd, maar ze letten niet op de source poorten, omdat die niet relevant voor de server zijn of de diensten die erop draaien", aldus de onderzoekers. In het geval van de besmette server luisterde die naar inkomende verbindingen op TCP-poorten 2053 en 2080. Ook bij het stelen van data werd er van deze methode gebruik gemaakt. De onderzoekers van Sophos merken op dat de techniek niet alleen tegen AWS-servers werkt, maar tegen nagenoeg elke firewall. Afsluitend stellen de onderzoekers dat in het geval van AWS de aanwezigheid van een firewall niet inhoudt dat updates niet meer moeten worden geïnstalleerd. Daarnaast krijgen beheerders het advies om de standaard installatie van de SSH-server extra te beveiligen. bron: security.nl

Om gebruikers tegen aanvallen te beschermen heeft Mozilla een nieuwe sandboxtechnologie aan Firefox toegevoegd. Een sandbox moet voorkomen dat een beveiligingslek in de browser meteen tot een volledige compromittering van het onderliggende systeem kan leiden. Op dit moment verdeelt Firefox al code in verschillende gesandboxte processen met verminderde rechten en wordt de browsercode in een veiligere taal zoals Rust herschreven. "Rust is een lichtgewicht programmeertaal, maar het herschrijven van miljoenen regels van bestaande C++ code is een arbeidsintensief proces", zegt Mozillas Nathan Froyd. Om de browser verder te beschermen is er nu een derde technologie toegevoegd, namelijk RLBox. RLBox isoleert third-party libraries die kwetsbaar zijn voor aanvallen van de rest van de browser, om zo eventuele schade te beperken. Firefox maakt uitgebreid gebruik van dergelijke third-party libraries voor bijvoorbeeld het decoderen van media. Deze libraries zijn vaak in de programmeertaal C geschreven. "Helaas zijn fouten in C-code vaak kwetsbaarheden. En aanvallers zijn erg goed in het misbruiken van deze kwetsbaarheden", zegt Deian Stefan van de University of California San Diego. De universiteit was bij de ontwikkeling van RLBox betrokken. De technologie zorgt ervoor dat libraries en andere onderdelen van Firefox in een WebAssembly (wasm)-sandbox draaien. Hiervoor wordt de C++ en C-code naar wasm-code omgezet. Vervolgens kan de wasm-code naar native code worden omgezet. Volgens Mozilla is RLBox is een lichtgewicht techniek en eenvoudig te gebruiken. De browserontwikkelaar verwacht dan ook de komende maanden meer onderdelen van Firefox op deze manier in een sandbox te plaatsen. Als eerste zal RLBox in Firefox 74 voor Linux worden verscheept, gevolgd door Firefox 75 voor macOS. De Windowsversie volgt daarna. bron: security.nl

Elke week controleert Google meer dan 300 miljard e-mailbijlagen die Gmail-gebruikers ontvangen op malware. Dat heeft het techbedrijf tijdens de RSA Conferentie in San Francisco laten weten. Met name overheden en de transportsector zijn volgens Google vaak het doelwit van kwaadaardige documenten. Verder blijkt dat aanvallers steeds verschillende soorten e-mailbijlagen gebruiken om doelwitten aan te vallen. 63 procent van de besmette bijlagen die Gmail blokkeert verschillen namelijk van dag tot dag. "Elke seconden moeten we miljoenen documenten in milliseconden verwerken", zegt Google-onderzoeker Elie Bursztein. Om de detectie van malafide documenten te verbeteren heeft Google onlangs een "nieuwe generatie" van scanners toegevoegd die van "deep learning" gebruikmaken. Hierdoor is de detectie van malafide bijlagen verbeterd. In het geval van .doc-bestanden is de detectie met 10,5 procent toegenomen, in het geval van .xls-bestanden met 14,5 procent. "Het versterken van onze documentdetectie is één van onze prioriteiten, aangezien malafide documenten goed zijn voor 58 procent van de malware die het op Gmail-gebruikers heeft voorzien. We zijn nog bezig om deze technologie te ontwikkelen en op dit moment gebruiken we het alleen om Office-documenten te scannen", aldus Bursztein over de inzet van de nieuwe scanners (pdf). bron: security.nl

Pop-ups en advertenties die internetgebruikers lieten geloven dat hun computer met malware was besmet en direct het opgegeven telefoonnummer moest worden gebeld hebben voor tienduizenden slachtoffers in de Verenigde Staten gezorgd. Dat laat de Amerikaanse toezichthouder FTC weten. De advertenties die bij de zoekmachine van Google werden getoond en pop-ups die op websites verschenen leken van Apple en Microsoft afkomstig te zijn. Volgens de meldingen was er een urgent probleem dat direct moest worden opgelost door het opgegeven telefoonnummer te bellen. Het nummer was van oplichters die slachtoffers allerlei onnodige reparatiediensten verkochten. Dergelijke scams worden ook wel helpdeskfraude genoemd. Eén partij die zich hieraan schuldig maakte was "Click4Support". Het bedrijf trof eerder een schikking met de FTC en besloot zo'n 1,8 miljoen dollar af te staan. Dat geld wordt nu over slachtoffers van de scam verdeeld. De FTC zal de komende weken bijna 58.000 vergoedingen naar slachtoffers overmaken met een gemiddeld bedrag van 30 dollar. Dit zal gebeuren via PayPal en cheques. bron: security.nl

Wie een privacyvriendelijke browser zoekt is het beste uit bij Brave, zo stelt hoogleraar en onderzoeker Douglas Leith van het Trinity College Dublin op basis van onderzoek. Voor het onderzoek werd er gekeken welke gegevens Chrome, Firefox, Safari, Brave, Edge en Yandex naar "huis" sturen bij het starten, sluiten en herstarten van de browser, het plakken van een url in de adresbalk, het typen van een url in de adresbalk en wanneer de browser inactief is (pdf). Aan de hand van de onderzoeksresultaten werden de browsers in drie categorieën verdeeld. Brave zit als enige in de kopgroep en is volgens het onderzoek de meest privacyvriendelijke browser. In de tweede groep zitten Chrome, Firefox en Safari en als derde volgen Edge en Yandex. In de standaardinstelling blijkt dat Brave geen identifiers gebruikt waarmee ip-adressen zijn te volgen. Ook werden details over bezochte websites niet gedeeld. Chrome, Firefox en Safari maken wel gebruik van identifiers die aan de browserinstallatie zijn gekoppeld. De drie browsers delen via de search autocomplete feature details over bezochte websites. Deze feature verstuurt in real-time url's naar de backend-servers zodra ze worden ingetypt. Gebruikers kunnen deze functie wel uitschakelen, maar standaard staat die ingeschakeld. Firefox gebruikt daarnaast identifiers voor het versturen van telemetrie. Wederom kunnen gebruikers deze feature uitschakelen, maar standaard staat die ingeschakeld. Verder blijkt dat Firefox gebruikmaakt van een open websocket voor pushnotificaties die aan een unieke identifier is gekoppeld. In het geval van Safari lekt de startpagina van de browser informatie aan verschillende derde partijen, waaronder Facebook en Twitter, en kunnen die zonder toestemming van de gebruiker cookies plaatsen. De onderzoekers stellen dat Chrome, Firefox en Safari zo zijn in te stellen dat de privacy beter is beschermd, maar dat gebruikers hier wel de kennis voor moeten hebben. Edge en Yandex eindigen onderaan. Beide browsers maken gebruik van identifiers die aan de hardware van het systeem zijn gekoppeld. Naast de autocomplete feature die details over bezochte websites deelt, versturen beide browsers informatie over websites die los van deze functie lijken te staan, aldus het onderzoek. Volgens de onderzoekers hebben de onderzoeksresultaten geleid tot gesprekken over het aanpassen van browsers, waaronder het bieden van een opt-out voor de autocomplete functie bij de eerste start een aantal browserspecifieke aanpassingen. De gesprekken zijn echter nog gaande. bron: security.nl

Vandaag begint Mozilla bij Amerikaanse Firefoxgebruikers met het inschakelen van DNS over HTTPS (DoH). Standaard zal er gebruik worden gemaakt van de dns-servers van internetbedrijf Cloudflare, maar het is ook mogelijk om NextDNS of een eigen dns-provider die DoH ondersteunt te kiezen. Standaard worden dns (domain name system)-verzoeken, waarmee de browser het adres van een website opvraagt, onversleuteld verstuurd. "Omdat er geen versleuteling is, kunnen apparaten onderweg deze data verzamelen, blokkeren of aanpassen. Dns-lookups worden naar servers gestuurd die je surfgedrag kunnen bespioneren zonder dat ze je hierover informeren of dat ze duidelijk maken wat ze met die informatie doen", zegt Mozillas Selena Deckelmann. DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Er is dan ook besloten om DoH als eerste onder Amerikaanse Firefoxgebruikers uit te rollen. Gebruikers buiten de Verenigde Staten kunnen de optie zelf inschakelen via het instellingenmenu van de browser. Mozilla is nu aan het kijken om DNS over HTTPS ook in andere gebieden in te schakelen en is van plan om meer DoH-providers aan het programma toe te voegen. bron: security.nl

De afgelopen weken zijn in drie populaire WordPressplug-ins kwetsbaarheden ontdekt die inmiddels door verschillende aanvallers actief worden gebruikt om kwetsbare WordPress-sites over te nemen of hier kwaadaardige code aan te voeren. Dat meldt securitybedrijf Wordfence in een analyse van de aanvallen. Het gaat om de WordPressplug-ins ThemeGrill Demo Importer (+100.000 actieve installaties), Profile Builder (+65.000 actieve installaties) en Duplicator (+1 miljoen actieve installaties). Wordfence heeft twee aanvalscampagnes ontdekt waarbij de kwetsbaarheden in deze plug-ins worden gebruikt. De eerste aanval maakt gebruik van de lekken in ThemeGrill en ProfileBuilder om beheerderstoegang tot de WordPress-site te krijgen en kwaadaardige scripts aan de website toe te voegen. Het gaat dan om backdoors om toegang tot de site te behouden en code die bezoekers naar malafide websites doorstuurt. De tweede aanvalscampagne heeft het op alle drie de plug-ins voorzien. Wederom worden de kwetsbaarheden gebruikt om beheerderstoegang tot de website te krijgen. Ook bij deze campagne installeren de aanvallers een backdoor waarmee ze php-scripts op de site kunnen uitvoeren en toegang behouden. Voor alle drie de plug-ins zijn updates beschikbaar, maar in de praktijk blijkt dat beheerders die niet of pas te laat installeren, waardoor duizenden WordPress-sites op dit moment risico lopen om te worden aangevallen. bron: security.nl