Captain Kirk

Browserontwikkelaar Opera heeft een nieuwe versie van de eigen browser gelanceerd die onder andere DNS over HTTPS (DoH) biedt. Volgens Opera moet dit voor meer veiligheid zorgen. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. "DNS is te goed van vertrouwen aangezien de data tussen de browser en het dns onversleuteld wordt uitgewisseld. DoH is een manier om de privacy en security van de gebruiker te verbeteren. Het voorkomt afluisteren en manipulatie van dns-data door man-in-the-middle-aanvallen door de data tussen de browser en dns-server te versleutelen", zegt Joanna Czajka van Opera. De meeste internetgebruikers maken voor het opvragen van websites gebruik van de dns-server van hun eigen internetprovider. Bij gebruik van DNS over HTTPS wordt er een andere dns-aanbieder gebruikt. In het geval van Opera kunnen gebruikers uit een lijst van providers kiezen of hun eigen provider toevoegen. Opera 67, die de codenaam R2020 draagt, is via de website van Opera te downloaden. bron: security.nl

NAS-systemen van Zyxel zijn de afgelopen weken het doelwit geweest van aanvallen waarbij criminelen een zerodaylek gebruikten om de apparaten met ransomware te infecteren. Deze ransomware versleutelde vervolgens alle aanwezige bestanden en eiste losgeld voor het ontsleutelen. Zyxel heeft nu voor nog ondersteunde NAS-systemen beveiligingsupdates uitgebracht en eigenaren van een Zyxel NAS-systeem krijgen het advies die zo snel als mogelijk te installeren. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder inloggegevens commando's op het NAS-systeem uit te voeren. Daarmee kan een aanvaller volledige controle over de NAS krijgen. Een aanvaller hoeft alleen een speciaal geprepareerd HTTP POST of GET request te versturen. Dit kan wanneer de aanvaller directe toegang tot het apparaat heeft. Er zijn echter ook manieren om dergelijke requests uit te voeren zonder dat de aanvaller directe toegang tot de NAS heeft. Zo kan het bezoeken van een website al tot een besmet NAS-systeem leiden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. It-journalist Brian Krebs laat weten dat exploitcode om misbruik van de kwetsbaarheid te maken de afgelopen weken actief door criminelen is gebruikt om kwetsbare NAS-systemen met ransomware te infecteren. Krebs werd op 12 februari door een beveiligingsonderzoeker over het zerodaylek ingelicht. Een exploit voor de kwetsbaarheid werd namelijk op internet voor 20.000 dollar te koop aangeboden. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld. ZyXEL heeft updates beschikbaar gesteld voor de volgende modellen: NAS326, NAS520, NAS540 en NAS542. Eigenaren van een NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 en NSA325v2 moeten het zonder patch doen, aangezien deze modellen niet meer worden ondersteund. Deze gebruikers kunnen als oplossing toegang tot de webinterface blokkeren of het apparaat niet direct aan het internet hangen. Tevens waarschuwt het CERT/CC dat gebruikers moeten oppassen bij het updaten van hun NAS. Het Zyxel-upgradeproces maakt namelijk gebruik van het onveilige FTP om de updates te downloaden en de bestanden worden alleen aan de hand van een checksum gecontroleerd in plaats van een digitale handtekening. Een aanvaller die controle over de DNS of IP-routing van het slachtoffer heeft kan zo kwaadaardige firmware op de NAS installeren. bron: security.nl

Google heeft een beveiligingsupdate uitgebracht voor Chrome die drie kwetsbaarheden verhelpt, waaronder een zerodaylek dat actief werd aangevallen voordat de update beschikbaar was. Het lek bevond zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript. "Google is bekend met meldingen dat een exploit voor CVE-2020-6418 in het wild bestaat", zegt Krishna Govind van het Google Chrome Team. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Het beveiligingslek werd gevonden door Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden gebruikers van Google Chrome ook al het doelwit van verschillende zeroday-aanvallen. Updaten naar Chrome 80.0.3987.122 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Adobe heeft updates uitgebracht voor ernstige kwetsbaarheden in After Effects en Media Encoder waardoor een aanvaller in het ergste geval volledige controle over het systeem zou kunnen krijgen. Een aanvaller zou het slachtoffer hiervoor een kwaadaardig bestand in de applicaties moeten laten openen. Door een "out-of-bounds write" zou het vervolgens mogelijk zijn om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren, zoals het installeren van malware. Volgens Adobe zijn zowel After Effects als Media Encoder in het verleden geen doelwit van aanvallers geweest en gebruikers krijgen dan ook het advies om de beveiligingsupdate te installeren wanneer het hen uitkomt. Updaten kan via de updatefunctie van de software of het Adobe Download Center. bron: security.nl

Beheerders van 1 miljoen WordPress-sites zijn gewaarschuwd voor een kwetsbaarheid in de plug-in Duplicator die al voor het uitkomen van een beveiligingsupdate wordt aangevallen. Duplicator is een plug-in om een WordPress-site van de ene naar de andere locatie te migreren, kopiëren, verplaatsen of klonen. Ook is het als een eenvoudige back-uptool te gebruiken. Een beveiligingslek in de plug-in maakt het mogelijk voor aanvallers om de inloggegevens voor de database te stelen. Vervolgens kan een aanvaller met deze gegevens een eigen beheerder aan de website toevoegen om die verder te compromitteren, kwaadaardig code te injecteren of allerlei gegevens te stelen. Op 12 februari kwamen de ontwikkelaars van Duplicator met een nieuwe versie (1.3.28) waarin de kwetsbaarheid is verholpen. Het beveiligingslek werd echter al sinds 10 februari aangevallen, waardoor er sprake is van een zerodaylek, zo stelt securitybedrijf Wordfence. Duplicator heeft volgens cijfers van WordPress zelf meer dan 1 miljoen actieve installaties en is daarmee één van de populairdere plug-ins voor WordPress. Uit een telling van Security.NL blijkt dat de nieuwste versie sinds 12 februari zo'n 260.000 keer is gedownload. Dat houdt in dat zeker 740.000 WordPress-sites nog risico lopen. Beheerders van deze websites krijgen het advies om zo snel als mogelijk naar de nieuwste versie te updaten. bron: security.nl

Hostingprovider Yourhosting heeft vanwege een mogelijk datalek besloten om de wachtwoorden van e-mailaccounts te resetten. "Afgelopen weekend is gebleken dat een onbevoegd persoon via een hack mogelijk toegang heeft gekregen tot onversleutelde inloggegevens. De hacker heeft cryptomunten geëist. Wij onderhandelen niet met hackers en we geven dan ook geen gehoor aan de eis", zo laat de provider in een blogposting weten. Yourhosting weet niet welke e-mailadressen hierbij mogelijk betrokken zijn en heeft daarom besloten om sommige e-mailwachtwoorden uit voorzorg te resetten. "Hierdoor zijn de mogelijk buitgemaakte gegevens onbruikbaar geworden. Het onderzoek naar de toedracht is ondertussen in volle gang", stelt de hostingprovider verder. Yourhosting heeft bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt. Daarnaast is de provider van plan om de veiligheidsprocessen en -voorzieningen verder aan te scherpen. In een uitleg over het incident laat Yourhosting weten dat wachtwoorden onversleuteld werden opgeslagen om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken. "Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan", aldus de provider. Naar aanleiding van het incident is besloten om de authenticatielaag te verwijderen waarin deze oude protocollen werden ondersteund, zodat wachtwoorden niet meer onversleuteld worden opgeslagen. bron: security.nl

Aanvallers maken misbruik van een zerodaylek in de WordPressplug-in ThemeREX om kwetsbare websites over te nemen en een beveiligingsupdate is nog niet beschikbaar. Beheerders die van de plug-in gebruikmaken wordt aangeraden die te verwijderen totdat de makers met een patch zijn gekomen. Via ThemeREX Addons is het mogelijk om ThemeREX-themes te beheren. De plug-in zou op zo'n 44.000 WordPress-sites zijn geïnstalleerd. Een kwetsbaarheid in de plug-in maakt het mogelijk voor aanvallers om op afstand code uit te voeren, waaronder code waarmee beheerders aan de website zijn toe te voegen. Een aanvaller kan zo de website overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Veel details over de waargenomen aanvallen en de kwetsbaarheid zijn niet door securitybedrijf Wordfence gegeven, om zo misbruik te beperken. Wel meldt het bedrijf in een blogposting dat aanvallers het lek gebruiken om beheerders aan websites toe te voegen. Wordfence adviseert beheerders om de plug-in direct te verwijderen. bron: security.nl

Laptops van Dell, HP en Lenovo accepteren ongesigneerde firmware voor onderdelen zoals de wifi-adapter, camera en touchpad. Een aanvaller kan hierdoor verdere aanvallen uitvoeren en kwaadaardige code verbergen, zo stelt securitybedrijf Eclypsium in een vandaag verschenen rapport (pdf). Firmware is noodzakelijk voor het functioneren van de hardwareonderdelen in de laptop. Aanvallers hebben in het verleden firmware van harde schijven geherprogrammeerd. Op deze manier konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. Dergelijke aanvallen zijn vandaag de nog steeds mogelijk, waarschuwt Eclypsium. Voor hun onderzoek keken de onderzoekers naar de firmware van de camera in de HP Spectre x360-laptop, de touchpad in de Lenovo ThinkPad X1 Carbon-laptop, de wifi-adapter in de Dell XPS 15 9560-laptop en de firmware van een usb-hub. Het is mogelijk om de firmware van deze apparaten met ongesigneerde, kwaadaardige firmware te vervangen. Een aanvaller zou hiervoor eerst toegang tot een systeem moeten zien te krijgen, bijvoorbeeld via malware. Vervolgens is het mogelijk om de kwaadaardige firmware te installeren. "Een aanvaller kan dan de unieke functionaliteit en rechten van dat onderdeel voor verdere aanvallen gebruiken", zo stellen de onderzoekers. Het gaat dan bijvoorbeeld om het inspecteren en manipuleren van netwerkverkeer, het verbergen van code of het bespioneren van de gebruiker via zijn camera. "Het probleem blijft hetzelfde. Als een onderdeel geen gesigneerde firmware vereist, kan een aanvaller eenvoudig controle over het onderdeel krijgen, vaak zonder speciale privileges", aldus de onderzoekers. Ze waarschuwen dat de problemen door ongesigneerde firmware niet eenvoudig zijn te verhelpen. Als het onderdeel niet is ontworpen om op gesigneerde firmware te controleren, is het niet met een firmware-update te repareren. In veel gevallen is het onderliggende probleem in een apparaat of productlijn zelfs helemaal niet op te lossen, wat inhoudt dat de apparaten altijd kwetsbaar zullen blijven. Verder stellen de onderzoekers dat andere modellen van de fabrikanten in kwestie, alsmede andere fabrikanten, dezelfde problemen hebben. bron: security.nl

Ruim 72.000 WordPress-sites zijn kwetsbaar door een beveiligingslek in een plug-in die ze gebruiken en waardoor een aanvaller zonder inloggegevens de database kan verwijderen om vervolgens als beheerder in te loggen. Het gaat om "ThemeGrill Demo Importer", een plug-in waarmee themes, content en widgets van het bedrijf ThemeGrill zijn te gebruiken. Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Een voorwaarde is wel dat een theme van ThemeGrill is geactiveerd. Om automatisch als beheerder te worden ingelogd moet er daarnaast een gebruiker met de naam "admin" in de database aanwezig zijn. De kwetsbaarheid werd op 6 februari aan de ontwikkelaars van de plug-in gerapporteerd. Die kwamen op 15 februari met een beveiligingsupdate, herkenbaar aan het versienummer 1.6.2. De meeste websites die van de plug-in gebruikmaken zijn echter nog steeds kwetsbaar. Volgens cijfers van WordPress is de plug-in op meer dan 100.000 WordPress-sites actief. Sinds 15 februari is de nieuwste versie ruim 28.000 keer gedownload, wat inhoudt dat zeker 72.000 WordPress-sites risico lopen. Mogelijk dat het aantal kwetsbare websites nog veel hoger ligt. De onderzoekers van WebArx claimen namelijk dat de plug-in op meer dan 200.000 WordPress-sites actief is, terwijl ThemeGrill stelt dat de themes door meer dan 300.000 websites worden gebruikt. bron: security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN) heeft vorig jaar samen met .nl-registrars en andere partners 4400 domeinnamen van nepwebwinkels offline gehaald. Het ging in vrijwel alle gevallen om unieke webshops. Elke domeinnaam was aan een andere winkel gekopieerd. "Het is wel zo dat de winkels vaak erg veel op elkaar lijken, dus als het ware kopieën zijn", laat een woordvoerder van SIDN tegenover Security.NL weten. SIDN maakt gebruik van een scantool die .nl-websites controleert op kenmerken die kunnen duiden op een nepwebwinkel. Het gaat om ongeveer negen eigenschappen, waaronder het tijdstip van de domeinnaamregistratie, het voor de registratie gebruikte e-mailadres en of de domeinnaam al eerder door iemand anders was geregistreerd. "Zo valt op dat veel nepwebwinkels tijdens Chinese kantoortijden worden geregistreerd. Ook is er vaak sprake van een herregistratie. Een domeinnaam die wordt opgezegd kan na 40 dagen opnieuw worden geregistreerd. Meer dan de helft van de verdachte domeinen werd direct na deze periode opnieuw geregistreerd", zegt Thymen Wabeke van SIDN Labs. Wanneer de scantool van SIDN een mogelijk nepwebshop detecteert wordt die vervolgens nog handmatig door een medewerker gecontroleerd, om te voorkomen dat bonafide webwinkels ten onrechte offline worden gehaald. Blijkt het een malafide webshop te zijn, dan wordt de registrar waar de domeinnaam is geregistreerd gewaarschuwd en gevraagd de website uit de lucht te halen. Bij verdachte domeinnamen waar de gegevens van de domeinnaamhouder ontbreken of onjuist zijn, mag SIDN - als de identiteit van de houder niet binnen vijf dagen wordt aangetoond - de nameservers ontkoppelen. Dan is er geen verwijzing meer naar de website, waardoor deze onbereikbaar wordt via die specifieke domeinnaam. Volgens Roelof Meijer, algemeen directeur van SIDN, is het ook belangrijk dat internetgebruikers op bepaalde eigenschappen van een webwinkel letten, zoals een KvK-registratie, gebrekkige Nederlandse teksten en prijzen. "Lijkt de prijs te mooi om waar te zijn? Dan is dat vaak ook zo", aldus Meijer. bron: security.nl

De Tsjechische privacytoezichthouder is een onderzoek naar antivirusbedrijf Avast gestart wegens de verkoop van gebruikersgegevens aan derde partijen. Volgens Ivana Janu, hoofd van het Office for Personal Data Protection, is er een vermoeden van een ernstige en uitgebreide privacyschending. Avast had een dochteronderneming genaamd Jumpshot die gegevens van Avast-gebruikers verwerkte. Vervolgens werd de, volgens Avast geanonimiseerde data, aan klanten verkocht. Het ging onder andere om Google en Microsoft. Die konden zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website ging. Het ging onder andere om zoekopdrachten, bekeken locaties op Google Maps, bezochte LinkedIn-pagina's, bekeken YouTube-video's en andere zaken. Vanwege de ophef die ontstond besloot Avast het bedrijf Jumpshot te sluiten. Nu blijkt dat de Tsjechische privacytoezichthouder een voorlopig onderzoek naar de verkoop van de gegevens is gestart. "Op het moment verzamelen we informatie over de zaak. Er is een vermoeden van een ernstige en uitgebreide schending in de bescherming van de persoonlijke data van gebruikers. Gebaseerd op de onderzoeksresultaten zullen er verdere stappen worden ondernomen en het publiek zal te zijner tijd worden geïnformeerd", aldus Janu. Avast laat in een reactie tegenover Vice Magazine weten dat het volledig zal meewerken met het onderzoek van de toezichthouder. bron: security.nl

Onderzoekers hebben een computervirus ontdekt dat alle exe-bestanden op pc's infecteert. Volgens antivirusbedrijf Kaspersky is "Kbot" het eerste echte virus in jaren dat het heeft ontdekt. Kbot kan op verschillende manieren op computers terechtkomen, bijvoorbeeld via usb-sticks of het downloaden van bestanden van het internet. Eenmaal actief infecteert Kbot alle exe-bestanden op aangesloten logische schijven en gedeelde netwerkmappen. Hiervoor voegt het virus kwaadaardige polymorfische code toe aan het exe-bestand. Zodra dit exe-bestand op een schoon systeem wordt gestart zorgt Kbot ervoor dat het automatisch bij het starten van het systeem wordt geladen. Het virus is ontwikkeld om gegevens van gebruikers te stelen. Zo maakt het gebruik van webinjects. Via een webinject kan er op een besmette computer bijvoorbeeld informatie aan een banksite worden toegevoegd. Het kan dan gaan om extra invoervelden die aanvullende vertrouwelijke gegevens vragen. Tevens kan Kbot aanvullende modules downloaden voor het stelen van wachtwoorden, gegevens voor cryptowallets en andere zaken. Gestolen data wordt in een virtueel systeem opgeslagen, wat het lastig maakt om te detecteren, aldus de onderzoekers. "Het Kbot-virus is een serieuze dreiging, omdat het zich snel op het systeem en lokale netwerk kan verspreiden door uitvoerbare bestanden te besmetten, zonder dat die te herstellen zijn", zegt Anna Malina van Kaspersky. Ze merkt op dat Kbot door het injecteren van code in draaiende processen de computer ernstig vertraagt. De meeste infecties met het virus zijn in Rusland waargenomen. bron: security.nl

Gebruikers van Firefox en Internet Explorer waren recentelijk doelwit van een zerodayaanval die de naam "Double Star" heeft gekregen en waarbij werd geprobeerd om systemen met malware te infecteren. De aanvallers maakten niet alleen gebruik van websites, maar ook van Microsoft Office-documenten om gebruikers met kwetsbare browsers aan te vallen. Dat stelt securitybedrijf Qihoo 360 in een analyse. Onderzoekers van het bedrijf ontdekten de aanval en waarschuwden Microsoft en Mozilla. Gezien het CVE-nummer dat de twee browserkwetsbaarheden kregen werd het Firefox-lek eerst ontdekt. Volgens de softwarebedrijven was het zerodaylek bij gerichte aanvallen misbruikt, maar verdere details werden niet gegeven. Uit de analyse van Qihoo 360 blijkt dat het zerodaylek onder andere werd gecombineerd met een oudere kwetsbaarheid in Microsoft Office. Via dit oude beveiligingslek, waarvoor in 2017 een update verscheen, werd een webpagina met exploitcode geladen. Het uiteindelijke doel van de aanval is de installatie van malware waarmee de aanvallers volledige controle over het systeem hebben. Mozilla kwam op 8 januari met een noodpatch voor de kwetsbaarheid. Microsoft waarschuwde op 17 januari voor het probleem en publiceerde een tijdelijke oplossing. Gisterenavond verscheen de beveiligingsupdate voor Internet Explorer. Het probleem is ook aanwezig in Internet Explorer 11 voor Windows 7. Gebruikers van deze Windowsversie ontvangen de beveiligingsupdate alleen als ze over een onderhoudscontract beschikken, aangezien de ondersteuning van Windows 7 vorige maand afliep. bron: security.nl

Microsoft heeft tijdens de patchcyclus van februari bijna honderd kwetsbaarheden verholpen, waaronder een zerodaylek in Internet Explorer dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was, alsmede ernstige lekken in Exchange en LNK-bestanden. Daarnaast zijn er vier kwetsbaarheden gepatcht waarvan de details al eerder openbaar waren gemaakt, maar die volgens Microsoft niet zijn aangevallen. Op 17 januari waarschuwde Microsoft al voor het zerodaylek in Internet Explorer en kwam toen met een tijdelijke oplossing. Via de kwetsbaarheid kan een aanvaller in het ergste geval systemen volledig overnemen. Alleen het bekijken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van de gebruiker vereist. Vervolgens kan een aanvaller code met de rechten van de ingelogde gebruiker uitvoeren. De kwetsbaarheid werd door onderzoekers van Google en securitybedrijf Qihoo 360 aan Microsoft gerapporteerd. De vier andere kwetsbaarheden bevonden zich in de Windows Installer, Internet Explorer, Edge en Secure Boot. In het geval van de twee lekken in Windows Installer was het mogelijk voor een aanvaller die al toegang tot een systeem had om zijn rechten te verhogen. De kwetsbaarheid in Microsofts browsers maakte het mogelijk voor een aanvaller om te bepalen welke websites een gebruiker had geopend. Via het lek in Secure Boot was het mogelijk om Secure Boot te omzeilen en niet vertrouwde software te laden. Exchange en LNK-bestanden Twee andere kwetsbaarheden die Microsoft gisteren patchte en volgens het Zero Day Initiative belangrijk zijn bevinden zich in Microsoft Exchange en .LNK-bestanden. De kwetsbaarheid in Exchange maakt het mogelijk om kwetsbare Exchange-servers door het versturen van een speciaal geprepareerde e-mail over te nemen. Er is geen interactie van gebruikers vereist. Ook via een ernstige kwetsbaarheid in LNK-bestanden is het mogelijk om Windowssystemen over te nemen. Alleen bij het verwerken van een LNK-bestand kan er kwaadaardige code op het systeem worden uitgevoerd. Een aanvaller kan bijvoorbeeld een usb-stick naar een slachtoffer sturen met een kwaadaardig LNK-bestand en malware. Als de usb-stick in Windowsverkenner of een andere applicatie wordt geopend die het LNK-bestand verwerkt, wordt de kwaadaardige code automatisch uitgevoerd. Het is niet nodig voor de gebruiker om het LNK-bestand zelf te openen. Deze kwetsbaarheid is ook in Windows 7 aanwezig. In het geval van Windows 7 zullen alleen organisaties met een onderhoudscontract de beveiligingsupdate ontvangen. Het is niet voor het eerst dat er een probleem met LNK-bestanden in Windows wordt aangetroffen. De beruchte Stuxnetworm maakte ook gebruik van een soortgelijke kwetsbaarheid. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft vandaag Firefox 73 gelanceerd die een nieuwe dns-provider introduceert en zes kwetsbaarheden verhelpt. Via de kwetsbaarheden had een aanvaller in het ergste geval gevoelige data uit anders vensters kunnen stelen of data of code in die websites kunnen injecteren. Alleen het bezoeken van een malafide of gecompromitteerde website was hierbij voldoende geweest. Tevens heeft Mozilla een nieuwe DNS over HTTPS (DoH)-provider aan de browser toegevoegd. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en koos voor een implementatie waarbij in eerste instantie alleen internetbedrijf Cloudflare de versleutelde dns-verzoeken zou ontvangen. Eind 2019 maakte Mozilla bekend dat het in NextDNS een tweede dns-provider heeft gevonden die aan het "Trusted Recursive Resolver programma" van Firefox deelneemt. Mozilla stelt dat het alleen providers kiest die aan een streng privacybeleid voldoen. Het gaat dan om het verzamelen en bewaren van zo min mogelijk data, transparant zijn over de data die toch wordt verzameld en het beperken van de mogelijkheid voor de dns-provider om content te blokkeren of aan te passen. Mozilla hoopt dat in de toekomst meer dns-providers zich bij het programma zullen aansluiten. Firefoxgebruikers kunnen nu naast Cloudflare als DoH-provider ook uit NextDNS kiezen. Standaard staat Cloudflare echter ingeschakeld. Updaten naar Firefox 73 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Onderzoekers hebben een variant van de Ragnarok-ransomware ontdekt die voor het versleutelen van bestanden op computers eerst de software van managed serviceproviders uitschakelt. Het gaat dan om programma's zoals Kaseya, Veeam, ConnectWise, Pulseway en Splashtop. Managed serviceproviders gebruiken deze software voor het op afstand beheren van de systemen van hun klanten. Zodra de Ragnarok-ransomware, ook wel Ragnar Locker genoemd, deze programma's ontdekt worden die eerst uitgeschakeld, waarna het versleutelen van de bestanden begint, zo meldt securitybedrijf Huntress. Mogelijk dat de aanvallers deze software uitschakelen om de managed serviceprovider niet te laten merken dat de systemen van klanten worden versleuteld. Eind januari werd bekend dat de Ragnarok-ransomware onder andere via een beveiligingslek in Citrix werd verspreid. Voor het ontsleutelen van bestanden vraagt Ragnarok 8.000 euro voor één computer en 40.000 euro voor alle machines. In een filmpje dat Huntress van de ransomware maakte wordt echter 60 bitcoin gevraagd, wat zo'n 545.000 euro is. De aanvallers laten in de instructies aan het slachtoffer verder weten dat gevoelige gegevens zijn gestolen en openbaar zullen worden gemaakt als er niet wordt betaald. Onlangs liet beveiligingsonderzoeker Vitali Kremez weten dat Ragnarok zichzelf uitschakelt wanneer op het systeem de taalinstelling van bepaalde voormalige Sovjet-landen wordt aangetroffen. De afgelopen maanden zijn honderden bedrijven besmet geraakt door ransomware omdat aanvallers hun managed serviceprovider wisten te compromitteren. De aanvallers wisten binnen te dringen bij de it-dienstverlener en daarvandaan de klanten van deze providers aan te vallen. Onder andere honderden Amerikaanse tandartspraktijken raakten zo besmet. bron: security.nl

Een beveiligingslek in Dell SupportAssist, dat op de meeste Dell-computers staat geïnstalleerd, kan een lokale aanvaller die al toegang tot een systeem heeft adminrechten geven. SupportAssist is volgens Dell "proactieve bewakingssoftware" die de status van het systeem proactief controleert. "Wanneer er een probleem wordt geconstateerd, wordt de noodzakelijke informatie over de systeemstatus automatisch verzonden naar Dell zodat het probleemoplossingsproces van start kan gaan. Dell neemt contact met u op om te overleggen over de oplossing en te voorkomen dat het probleem kostbare gevolgen krijgt.", aldus de uitleg van Dell. Een "uncontrolled search path" kwetsbaarheid zorgt ervoor dat een lokale aanvaller met verminderde rechten willekeurige dll-bestanden door SupportAssist kan laten laden, die vervolgens met adminrechten worden uitgevoerd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 7,8 beoordeeld. Dell heeft een beveiligingsupdate beschikbaar gemaakt. Deze update wordt automatisch geïnstalleerd wanneer de automatische updatefunctie staat ingeschakeld. Anders moet de update handmatig worden gedownload. bron: security.nl

Adware was vorig jaar de voornaamste dreiging waar gebruikers en bedrijven mee te maken kregen, zo stelt antimalwarebedrijf Malwarebytes in het jaarrapport over 2019 (pdf). Daarnaast meldt de malwarebestrijder dat er een verschuiving aan het plaatsvinden is van eindgebruikers naar bedrijven. Het aantal gedetecteerde dreigingen gericht op eindgebruikers nam af met twee procent, terwijl het aantal "bedrijfsdetecties" met dertien procent toenam. De meeste malware wordt nog altijd bij eindgebruikers gedetecteerd. Het ging om 41 miljoen detecties tegenover 9,5 miljoen detecties bij bedrijven. Als er wordt gekeken naar de verschillende categorieën malware die Malwarebytes detecteerde, dan staat zowel bij bedrijven als eindgebruikers adware bovenaan. Van de 41 miljoen detecties bij eindgebruikers werd bijna 17 miljoen als adware geclassificeerd. Een stijging van dertien procent ten opzichte van 2018. Categorieën zoals Trojans, spyware, backdoors en wormen lieten allemaal een daling zien. Bij bedrijven explodeerde de hoeveelheid gedetecteerde adware van 771.000 detecties in 2018 naar 4,3 miljoen in 2019. De adware, die op Android, macOS en Windows werd waargenomen, gebruikt ook steeds agressievere methodes om advertenties te tonen, verkeer om te leiden en browsers te kapen en is steeds lastiger te verwijderen, aldus Malwarebytes. Bij eindgebruikers gaat het met name om de MindSpark- en InstallCore-adware. Bedrijven worden vooral geplaagd door de Yontoo-adware. Ook voor dit jaar verwacht Malwarebytes dat agressieve adware de voornaamste dreiging blijft. Adware wordt geregeld gebundeld met allerlei software of zit in apps verborgen. Gebruikers krijgen dan ook het advies om goed op te letten welke applicaties ze op hun systemen installeren. bron: security.nl

De ontwikkelaar van het programma Lock My PC hebben een gratis ontgrendelcode beschikbaar gemaakt waarmee slachtoffers van scammers hun computer kunnen ontgrendelen. Lock My PC is een programma waarmee gebruikers hun computer kunnen vergrendelen. Het programma schakelt de hotkeys en muis uit en vergrendelt de lade van de dvd-speler. Alleen door het invoeren van de juiste code kan er weer toegang worden verkregen. Oplichters maken echter gebruik van het programma. Ze doen zich voor als serviceproviders en weten toegang tot de computer van het slachtoffer te krijgen, bijvoorbeeld door die een remote beheertool te laten installeren. Zodra er toegang is verkregen installeren de scammers Lock My PC. Alleen als het slachtoffer betaalt krijgt die de code om zijn systeem te ontgrendelen. Beveiligingsonderzoeker Michael Gillespie maakte onlangs nog melding van het misbruik. Vanwege het misbruik heeft FSPRO Labs, ontwikkelaar van het programma, verschillende maatregelen getroffen. Zo wordt de software niet meer gratis aangeboden. "Aangezien Lock My PC gratis van onze website kon worden gedownload, hadden we geen controle over wie deze software gebruikte en voor welk doel. We beschouwen activiteiten zoals cybercrime een ernstige schending van de gebruikersovereenkomst", aldus de ontwikkelaar. De software is dan ook niet meer beschikbaar voor het publiek. Bestaande klanten kunnen het programma nog steeds op verzoek krijgen. De zakelijke versie van Lock My PC is alleen nog beschikbaar voor nieuwe klanten die vanaf een zakelijk e-mailadres hier om verzoeken. Tevens krijgen slachtoffers van de scammers de mogelijkheid om hun systeem te ontgrendelen via een gratis code. Gebruikers moeten de code 999901111 invoeren. Vervolgens genereert de pagina van FSPRO Labs een ontgrendelcode waarmee het systeem is te ontgrendelen. Hierna kan de gebruiker de software van de computer verwijderen. bron: security.nl

Onderzoekers waarschuwen dat de beruchte Emotet-malware ook op wifi-netwerken kan inbreken om aangesloten computers te infecteren. Emotet was de afgelopen jaren verantwoordelijk voor meerdere grote ransomware-uitbraken en gebruikt voornamelijk Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. De malware beschikt echter ook via een functie zodat het op wifi-netwerken aangesloten computers kan aanvallen. Zodra Emotet een computer heeft besmet gebruikt het de wifi-functionaliteit van de machine om nabijgelegen wifi-netwerken te zoeken. Zodra die zijn gevonden zal de malware via bruteforce-aanvallen proberen om toegang tot de wifi-netwerken te krijgen. Bij een succesvolle aanval maakt de al besmette computer verbinding met het wifi-netwerk. Emotet zal nu naar beschikbare netwerkschijven gaan zoeken. Zodra een netwerkschijf is ontdekt probeert de malware verbinding met de IPC$ share te maken. Deze share kan voor remote systeembeheer worden gebruikt. De aanvaller zal nu proberen te achterhalen welke gebruikers allemaal met de netwerkschijf verbonden zijn. Met een tweede bruteforce-aanval wordt vervolgens geprobeerd om toegang tot deze gebruikers te krijgen. Wanneer deze aanval niet lukt probeert Emotet het beheerderswachtwoord van de netwerkschijf te bruteforcen. Wanneer één van deze aanvallen succesvol is zal de malware verbinding proberen te maken met de C$\\ share op aangevallen systemen, waarmee er toegang tot de C-schijf wordt verkregen. Emotet installeert vervolgens de malware. "Emotet kan op deze manier zich via nabijgelegen netwerken verspreiden als de netwerken onveilig wachtwoorden gebruiken", zegt onderzoeker James Quinn van securitybedrijf Binary Defense, dat een analyse van de wifi-functionaliteit van Emotet maakte. Eenmaal actief op een systeem kan Emotet aanvullende malware installeren, zoals ransomware. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. bron: security.nl

Gebruikers van Firefox die vanaf 10 maart een website met TLS 1.0 of 1.1 bezoeken zullen een foutmelding te zien krijgen. Het TLS-protocol, dat onder andere wordt gebruikt voor het opzetten van een beveiligde verbinding, bestaat inmiddels meer dan 20 jaar. Alle grote browserontwikkelaars hebben aangegeven dat ze de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen zullen stoppen. Deze versies van het TLS-protocol zijn namelijk kwetsbaar voor verschillende aanvallen zoals BEAST, CRIME en POODLE. Bij websites die straks nog steeds van deze oudere TLS-versies gebruikmaken zullen browsers een foutmelding laten zien. Mozilla zal deze maatregel op 10 maart 2020 in Firefox 74 doorvoeren. Alleen TLS 1.2 of nieuwer worden dan nog geaccepteerd voor het opzetten van een beveiligde verbinding tussen gebruiker en website. Vooralsnog zal Firefox worden voorzien van een knop waarmee de blokkade kan worden opgeheven en er toch via TLS 1.0 of 1.1 verbinding kan worden gemaakt. Uiteindelijk zal de "override button" echter uit de browser verdwijnen en zal de ondersteuning van de oudere TLS-versies in zijn geheel worden stopgezet. Websites krijgen dan ook het advies om alleen nog van TLS 1.2 of nieuwer gebruik te gaan maken. Ook Google Chrome zal vanaf maart TLS 1.0 en 1.1 gaan blokkeren. Volgens Google verloopt nog 0,25 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies. bron: security.nl

Verschillende apparaten van Cisco zijn kwetsbaar voor aanvallen door kwetsbaarheden in het Cisco Discovery Protocol (CDP). Geen van de beveiligingslekken is door Cisco als ernstig bestempeld, maar in bepaalde gevallen is het mogelijk voor lokale aanvallers om systemen in het netwerk over te nemen. Het Cisco Discovery Protocol (CDP) is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Vijf kwetsbaarheden in Cisco-apparaten die van CDP gebruikmaken zorgen ervoor dat een aanvaller op afstand code kan uitvoeren of een denial of service kan veroorzaken. Er is hiervoor geen interactie van gebruikers vereist. Volgens Cisco zijn de aanvallen alleen uit te voeren door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat. Voor de Cisco videosurveillance 8000 series ip-camera's, Cisco ip-phones en Cisco FXOS-, IOS XR- en NX-OS-software zijn updates verschenen. De laatst genoemde besturingssystemen draaien op allerlei routers en switches van Cisco. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 7,4 en 8,8 beoordeeld. De beveiligingslekken werden door securitybedrijf Armis ontdekt, dat Cisco op 29 augustus vorig jaar informeerde. Gisteren rolde Cisco updates voor de kwetsbaarheden uit. bron: security.nl

Een beveiligingslek in een audiodriver van fabrikant Realtek maakt het mogelijk voor aanvallers die al toegang tot een computer hebben om systeemrechten te krijgen. Realtek heeft een nieuwe audiodriver uitgebracht waarin de kwetsbaarheid is verholpen. De kwetsbaarheid in de Realtek High definition audio driver werd veroorzaakt door de manier waarop de driver met dll-bestanden omging. Een aanvaller die toegang tot een systeem had en een kwaadaardig dll-bestand in de Realtek-drivermap wist te krijgen kon het dll-bestand door de driver laten starten. Het kwaadaardige dll-bestand zou dan door een gesigneerd Realtek-proces worden geladen. Dit proces draait met systeemrechten, waardoor ook de kwaadaardige code van de aanvaller met systeemrechten zou zijn uitgevoerd. Om de aanval uit te kunnen voeren zou een aanvaller wel al beheerderstoegang tot de machine moeten hebben. Audiodrivers van Realtek zijn op miljoenen systemen aanwezig. Daarnaast zou een aanvaller via de kwetsbaarheid zijn kwaadaardige code kunnen verbergen en bijvoorbeeld applicatie-whitelisting kunnen omzeilen, aangezien de code vanuit het vertrouwde Realtek-proces werd gestart. Het beveiligingslek werd gevonden door onderzoeker Peleg Hadar van SafeBreach Labs. Het bedrijf stuurde Realtek begin juli een eerste melding via e-mail, gevolgd door meer informatie halverwege augustus. SafeBreach gaf Realtek negentig dagen om het probleem te verhelpent. De fabrikant vroeg om meer tijd, dat het ook kreeg. Realtek heeft de kwetsbaarheid verholpen in versie 1.0.0.8856 van de HD-audiodriver. Tevens publiceerde de fabrikant in januari een waarschuwing voor het lek, waavan de impact als "high" is beoordeeld. bron: security.nl

Elke maand raken gemiddeld 46.000 webservers besmet met webshells waardoor aanvallers allerlei aanvallen tegen organisaties kunnen uitvoeren, zo stelt Microsoft op basis van informatie die via de eigen beveiligingssoftware is verkregen. Een webshell is kwaadaardige code die vaak in programmeertalen zoals ASP, PHP en JSP is geschreven en door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Zo is het mogelijk om data van de webserver te stelen of de server als springplank voor verdere aanvallen tegen de aangevallen organisatie te gebruiken. Volgens Microsoft vinden er steeds meer incidenten plaats waarbij aanvallers van webshells gebruikmaken. Om een webshell te kunnen plaatsten moet een aanvaller eerst toegang tot de webserver zien te krijgen. Dit komt doordat organisaties beschikbare beveiligingsupdates niet installeren of hun systemen verkeerd configureren, aldus Microsoft. De zakelijke beveiligingssoftware van het techbedrijf detecteert elke maand gemiddeld 77.000 webshells op 46.000 webservers. In een blogposting beschrijft Microsoft een incident waarbij de webserver van een organisatie in de publieke sector door een misconfiguratie met een webshell besmet raakte. De aanvallers wisten vervolgens verschillende accounts te compromitteren en zich lateraal door het netwerk te bewegen. Uiteindelijk werd er een backdoor op een Microsoft Exchange-server geïnstalleerd waarmee de aanvallers alle inkomende en uitgaande e-mails konden onderscheppen. Organisaties krijgen het advies van Microsoft om beschikbare beveiligingsupdates te installeren en misconfiguraties op te sporen en te verhelpen. Verder wordt aangeraden om logbestanden van webservers geregeld te controleren en bewust te zijn van welke systemen op internet worden aangesloten. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin 56 kwetsbaarheden zijn verholpen en een nieuw cookiebeleid is doorgevoerd. Via de beveiligingslekken, die onder andere door de Britse overheid werden gevonden, had een aanvaller code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. 38 van de kwetsbaarheden werden door externe onderzoekers aan Google gerapporteerd. Het ging onder andere om een integer overflow in JavaScript die door het Britse National Cyber Security Centre (NCSC) werd ontdekt en gerapporteerd. Google beloonde de Britse overheidsinstantie met 5.000 dollar voor de bugmelding. Daarmee was het de hoogste beloning die Google deze patchronde aan externe onderzoekers uitkeerde. Cookiebeleid Naast het verhelpen van kwetsbaarheden heeft Google ook het cookiebeleid voor websites in Chrome 80 aangepast. Volgens de internetgigant hebben de nieuwe instellingen allerlei veiligheidsvoordelen en zorgen ze voor meer transparantie en gebruikerskeuze. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets. Ook wanneer een partij meerdere websites heeft en op die websites een cookie gebruikt, zal het cookie nog steeds als third-party worden gezien wanneer het domein niet overeenkomt met de site(s) waarvandaan het cookie wordt benaderd, ook al zijn de sites en cookies van dezelfde partij. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party hebben ontwikkelaars keuze uit twee instellingen, SameSite=Lax of SameSite=Strict, om externe toegang te voorkomen. Maar weinig ontwikkelaars maken echter gebruik van deze opties, aldus Google. Daardoor zouden first-party cookies zijn blootgesteld aan aanvallen zoals cross-site request forgery. Om websites en gebruikers te beschermen zal er een nieuw "secure-by-default" model worden toegepast, dat ervan uitgaat dat alle cookies tegen externe toegang moeten zijn beschermd, tenzij dit anders is opgegeven. Ontwikkelaars moeten de nieuwe cookie-instellingen SameSite=None nu gebruiken om aan te geven dat cookies voor meerdere websites toegankelijk zijn. Wanneer deze instelling wordt gebruikt moet er ook het aanvullende "Secure" attribuut worden gebruikt, wat ervoor zorgt dat third-party cookies alleen via https-verbindingen benaderbaar zijn. Google benadrukt dat dit niet alle risico's van third-party toegang oplost, maar wel bescherming tegen netwerkaanvallen biedt. Chrome 80 zal alle cookies die geen opgegeven SameSite-waarde gebruiken als SameSite=Lax cookies behandelen. Alleen cookies met de SameSite=None en Secure-instelling zullen extern toegankelijk zijn. Zowel Microsoft als Mozilla hebben aangegeven het nieuwe cookiebeleid ook te zullen volgen. Webontwikkelaars en andere partijen die met third-party cookies werken krijgen dan ook het advies om de vereiste instellingen voor die cookies door te voeren. In onderstaande video wordt het nieuwe beleid door Google uitgelegd. Updaten naar Chrome 80.0.3987.87 zal op de meeste systemen automatisch gebeuren. bron: security.nl