Captain Kirk

Facebook heeft een beveiligingslek in WhatsApp Desktop verholpen waardoor aanvallers toegang tot lokale bestanden van gebruikers hadden kunnen krijgen. WhatsApp-gebruikers kunnen via WhatsApp Desktop vanaf hun computer met anderen chatten. Hiervoor moet de applicatie wel zijn gekoppeld met een telefoon. Wanneer een kwetsbare versie van WhatsApp Desktop werd gekoppeld met WhatsApp voor iPhone had een aanvaller door cross-site scripting toegang tot lokale bestanden kunnen krijgen wanneer de gebruiker een kwaadaardige link zou openen. De kwetsbaarheid werd gevonden door beveiligingsonderzoeker Gal Weizman. De onderzoeker stelt dat het beveiligingslek ook remote code execution mogelijk zou maken, waardoor het systeem had kunnen worden overgenomen. Hij ontwikkelde echter geen exploit om een dergelijke aanval te demonstreren. Weizman waarschuwde Facebook, dat het probleem vervolgens patchte. "Het is 2020 en geen product zou via een enkel bericht van het bestandssysteem moeten kunnen lezen of in potentie remote code moeten kunnen uitvoeren", zo laat de onderzoeker weten. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,2 beoordeeld. Gebruikers krijgen het advies om te updaten naar WhatsApp Desktop versie 0.3.9309 of nieuwer en WhatsApp voor iPhone versie 2.20.10 en nieuwer. bron: security.nl

Marketingbedrijf Pabbly, dat naar eigen zeggen meer dan honderdduizend klanten heeft waaronder Cisco, The Guardian en Uber, heeft via een onbeveiligde database 50 miljoen records gelekt. De records gaan terug tot 2014 en bevatten e-mailadressen, klantnamen, e-mailgegevens, smtp-data, interne ip-adressen en nog allerlei andere zaken, zo meldt securitybedrijf Security Discovery. Pabbly biedt verschillende oplossingen voor e-mailmarketing. Onderzoeker Jeremiah Fowler ontdekte een database van het marketingbedrijf die voor iedereen op internet zonder wachtwoord toegankelijk was. De onderzoeker waarschuwde Pabbly, waarna de toegang tot de database enkele uren later werd beveiligd. Hoeveel klanten door het datalek zijn getroffen, hoelang de database onbeveiligd online stond en of die ook door andere partijen is gedownload, is onbekend. Fowler ontving naar eigen zeggen geen reactie op zijn melding van het datalek. bron: security.nl

Het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een gratis opensourcetool beschikbaar gemaakt waarmee de beruchte Emotet-malware op Windowssystemen is te detecteren. "EmoCheck", zoals de tool heet, werkt op Windows 7, Windows 8.1 en Windows 10. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. Volgens JPCERT is het aantal infecties met Emotet in Japan sinds oktober aan het toenemen. Zo gebruiken de aanvallers achter Emotet onder andere het Coronavirus om Japanse organisaties met de malware te infecteren. Afgelopen december kwam JPCERT al met een uitleg hoe de Emotet-malware op systemen is te vinden. Nu meldt de organisatie onder andere via Twitter de beschikbaarheid van EmoCheck op GitHub. bron: security.nl

Een onbekende partij heeft vorig jaar december een aanval op Twitter uitgevoerd waarbij gebruikersnamen aan telefoonnummers werden gematcht. De aanvaller maakte gebruik van een netwerk van een groot aantal nepaccounts die de Twitter-api gebruikten voor het matchen van gebruikersnamen aan telefoonnummers. De api is een programmeerinterface die het eenvoudiger voor nieuwe gebruikers moet maken om Twitter-gebruikers te vinden die ze al kennen. Gebruikers geven een telefoonnummer op, waarna de api in een database naar de bijbehorende Twitter-gebruiker zoekt. Twitter-gebruikers moeten hiervoor wel hebben ingeschakeld dat ze aan de hand van hun telefoonnummer zijn te vinden, alsmede hun telefoonnummer aan hun Twitter-account hebben gekoppeld. "Vaak heb je de beste klik met personen op Twitter die je al kent. Om je te helpen deze mensen te bereiken, gebruiken we je e-mailadres en telefoonnummer om je account vindbaar te maken voor anderen. Je kan bepalen of anderen jou op Twitter kunnen vinden op basis van je e-mailadres of telefoonnummer door je privacyinstellingen voor vindbaarheid aan te passen", aldus de uitleg van Twitter. De nepaccounts die voor de aanval werden gebruikt bevonden zich volgens Twitter over de gehele wereld, maar een groot aantal verzoeken was afkomstig van Iraanse, Israëlische en Maleisische ip-adressen. "Het is mogelijk dat sommige van deze ip-adressen banden met door landen gesponsorde aanvallers hebben", zo stelt Twitter in een verklaring. Na ontdekking van de aanval heeft Twitter verschillende aanpassingen aan de api doorgevoerd zodat die niet langer specifieke gebruikersnamen teruggeeft. Daarnaast zijn alle accounts die bij de aanval waren betrokken geschorst. Gebruikers die hadden ingesteld om niet via hun telefoonnummer vindbaar te zijn, zijn niet aan de aanval blootgesteld. bron: security.nl

Google heeft video's van gebruikers van Google Photos gelekt aan andere gebruikers, zo heeft het techbedrijf bekendgemaakt. Het probleem deed zich vorig jaar november voor. Google biedt gebruikers de mogelijkheid om hun gegevens te downloaden en exporteren. "U kunt uw gegevens exporteren en downloaden vanuit de Google-producten die u gebruikt, zoals uw e-mail, agenda en foto's. In een paar eenvoudige stappen maakt u een archief dat u voor uw administratie kunt bewaren of waarmee u uw gegevens in een andere service kunt gebruiken", aldus de uitleg van Google. Wanneer gebruikers van Google Photos hun eigen data wilden exporteren kregen ze ook de video's van andere gebruikers in het archiefbestand. Het probleem deed zich voor tussen 21 november en 25 november 2019. Google vraagt gebruikers die in deze periode hun gegevens wilden exporteren om een nieuwe export te maken en de eerder gedownloade export met de gegevens van andere mensen te verwijderen. Google heeft gedupeerde gebruikers ingelicht. Hoeveel gebruikers door het datalek zijn getroffen is onbekend. bron: security.nl

Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn nog altijd ruim 8.000 via internet toegankelijke Citrix-systemen kwetsbaar voor aanvallen. En beheerders vergeten niet alleen hun Citrix-systemen te patchen. Er zijn ook nog bijna 9.000 Windows-servers online die via de BlueGate-kwetsbaarheid zijn aan te vallen. Dat blijkt uit cijfers van het Nederlands Security Meldpunt. De organisatie zoekt op internet naar kwetsbare systemen en probeert vervolgens de betreffende partijen te informeren zodat die hun systemen kunnen beveiligen. Op 31 december 2019 werden er meer dan 128.000 kwetsbare Citrix-systemen geteld. Een aantal dat sindsdien steeds verder daalt, met de grootste dalingen op 15 en 16 januari. Op 27 januari kwam het aantal kwetsbare Citrix-systemen onder de 10.000. Een week verder is dat aantal inmiddels naar 8300 gedaald. Deze systemen moeten inmiddels allemaal als gecompromitteerd worden beschouwd. Dit weekend waarschuwde de Amerikaanse overheid dat de Citrix-systemen van een groot aantal organisaties zijn gecompromitteerd, maar een aantal werd niet genoemd. Volgens het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid moeten organisaties die de mitigaties van Citrix niet voor 9 januari hebben doorgevoerd ervan uitgaan dat ze zijn gecompromitteerd. Uit cijfers van het Security Meldpunt blijkt dat het om 115.000 systemen wereldwijd gaat. BlueGate Organisaties werden vorige maand niet alleen gewaarschuwd voor de kwetsbaarheid in Citrix, ook voor twee ernstige beveiligingslekken in de Windows Remote Desktop Gateway verschenen aparte waarschuwingen. Via de kwetsbaarheden, die de naam BlueGate kregen en waar op 14 januari updates voor uitkwamen, zijn systemen op afstand over te nemen. Ondanks de beschikbaarheid van beveiligingsupdates zijn nog zo'n 8800 servers kwetsbaar. Honderden van deze servers staan ook in Nederland, aldus het Security Meldpunt. Alleen het versturen van speciaal geprepareerde requests naar deze servers is voldoende om ze op afstand over te nemen. Het is niet nodig om over geldige inloggegevens te beschikken. Er zijn nog geen aanvallen waargenomen waarbij servers ook daadwerkelijk werden overgenomen. Wel is er exploitcode gedemonstreerd waarmee dit mogelijk is. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. bron: security.nl

Onderzoekers hebben meerdere webwinkels ontdekt die met malware besmet zijn geraakt die creditcardgegevens van klanten steelt. Het lukte aanvallers om kwaadaardige JavaScriptcode aan de webshops toe te voegen die alle ingevulde gegevens op de betaalpagina onderschepte. Onderschepte gegevens werden vervolgens naar een specifiek domein teruggestuurd. Dit domein was eerder al door onderzoekers Jacob Pimental en Max Kersten op twee marktplaatsen aangetroffen die tickets voor de Olympische Spelen in Tokyo en het Europees kampioenschap voetbal 2020 doorverkopen. Verder onderzoek naar dit domein leidde naar negen andere besmette webwinkels. Het gaat onder andere om een Britse webwinkel die producten voor paardensport verkoopt, een online zeilwinkel, een verfwebwinkel, een aanbieder van zwemkleding en een webshop die Volkswagenonderdelen aanbiedt. Kersten en Pimental waarschuwden de getroffen webwinkels, maar sommige van de webshops zijn nog altijd besmet en gaven geen reactie. Hoe de webshops konden worden gecompromitteerd is onbekend. Internetgebruikers die bij de betreffende shops producten hebben gekocht wordt aangeraden een nieuwe creditcard bij hun bank aan te vragen. bron: security.nl

Een ernstig beveiligingslek in toegangssysteem van fabrikant Nortek wordt al bijna een maand actief door aanvallers misbruikt om kwetsbare systemen over te nemen en vervolgens voor het uitvoeren van ddos-aanvallen in te zetten. Duizenden toegangssystemen wereldwijd zouden risico lopen. De kwetsbaarheid in de Linear eMerge e3 van Nortek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via het beveiligingslek kunnen aanvallers op afstand volledige controle over kwetsbare systemen krijgen. Alleen het versturen van een speciaal geprepareerd http-request volstaat. De Linear eMerge is een systeem dat wordt gebruikt om personen via codes en toegangspasjes toegang tot gebouwen te geven. De systemen zijn via een browser op afstand te beheren. Vorig jaar mei maakte securitybedrijf Applied Risk melding van verschillende kwetsbaarheden in de Nortek Linear eMerge e3-Series. Op het moment dat de beveiligingslekken openbaar werden gemaakt was er volgens Applied Risk nog geen beveiligingsupdate beschikbaar. Afgelopen november verschenen er exploits voor de kwetsbaarheid op internet. Sinds begin januari worden kwetsbare systemen ook daadwerkelijk aangevallen, aldus securitybedrijf Bad Packets. Aanvallers weten toegang tot de systemen te krijgen en installeren vervolgens malware die het systeem ddos-aanvallen laat uitvoeren. Ook securitybedrijf Sonicwall laat weten dat de kwetsbaarheid actief wordt aangevallen. De meeste aanvallen werden in de Verenigde Staten waargenomen. Bijna 2400 Nortek-toegangssystemen zijn via internet te vinden. Op de website van Nortek is nog altijd geen nieuwe firmware te vinden. bron: security.nl

Gebruikers van Firefox die willen zien welke telemetriegegevens de browser verzamelt kunnen dit nu via een aparte pagina bekijken. Het gaat om niet-persoonlijke informatie zoals de hardware van het systeem waarop Firefox draait, de prestaties van de browser, gebruiksgegevens en geïnstalleerde add-ons. Volgens Mozilla helpen de gegevens zowel engineers als beleidsmakers bij de browserontwikkelaar om te zien hoe Firefox in de "echte wereld" presteert. Bij de installatie van Firefox laat Mozilla weten dat het telemetriegegevens verzamelt. Gebruikers kunnen dit vervolgens ook uitschakelen. Daarnaast geeft de opensource-ontwikkelaar via het Firefox Public Data Report een overzicht van de verzamelde telemetriegegevens. Via de optie "about:telemetry" in de adresbalk kunnen gebruikers nu ook zelf zien wat de browser naar Mozilla stuurt. Wanneer gebruikers het verzamelen en doorsturen van telemetriegegevens uitschakelen zal Firefox eerder verzamelde telemetriegegevens verwijderen. Een optie die met de lancering van Firefox 72 vorige maand werd geïntroduceerd. bron: security.nl

Onderzoekers hebben een nieuwe versie van de beruchte Trickbot-malware ontdekt die adminrechten weet te verkrijgen zonder dat gebruikers een melding van Windows 10 User Account Control (UAC) krijgen. UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als een programma met adminrechten wordt uitgevoerd, bijvoorbeeld om systeemwijzigingen door te voeren. Het UAC-venster is afhankelijk van de rechten van de ingelogde gebruiker. Is de gebruiker ingelogd als administrator, dan zal het UAC-venster om toestemming vragen voor het uitvoeren van de software in kwestie. Is de gebruiker met verminderde rechten ingelogd, dan moet het adminwachtwoord worden ingevoerd. Bij het uitvoeren van vertrouwde Windows-bestanden zal er geen UAC-venster worden getoond. Sommige van deze programma's kunnen andere applicaties starten die met adminrechten worden uitgevoerd zonder dat de gebruiker een UAC-waarschuwing te zien krijgt. Onlangs waarschuwde beveiligingsonderzoeker Vitali Kremez dat de Trickbot-malware het programma Fodhelper.exe gebruikte om adminrechten te verkrijgen, zonder dat gebruikers een UAC-venster te zien kregen. Dat UAC via Fodhelper is te omzeilen is al sinds 2017 bekend. Nu blijkt dat de makers van Trickbot een nieuwe "Windows 10 UAC bypass" gebruiken, zo melden securitybedrijf Morphisec en Kremez. Dit keer maakt Trickbot gebruik van het vertrouwde Windows-programma Wsreset.exe, waarmee de Windows Store-cache is te resetten. Het is mogelijk om Wsreset zo aan te roepen dat het ook een aanvullende commando uitvoert, zoals het laden van malware. De malware draait hierdoor met adminrechten en de gebruiker krijgt hiervan geen melding te zien. Zodra Trickbot adminrechten heeft gekregen kunnen er wachtwoorden en andere gegevens worden gestolen waarmee de malware zich lateraal door het netwerk kan bewegen. Vervolgens kan erop de besmette machines ransomware worden geïnstalleerd. Er zijn meerdere gevallen bekend waarbij Trickbot-infecties binnen organisaties tot grootschalige besmettingen met de Ryuk-ransomware hebben geleid. Volgens Bleeping Computer hebben UAC bypasses geen hoge prioriteit voor Microsoft en kan het enige tijd duren voordat ze worden verholpen, als Microsoft al met een oplossing komt. bron: security.nl

Google heeft firmware die voor een fysieke beveiligingssleutels is te gebruiken open source gemaakt. OpenSK is een in de programmeertaal Rust geschreven opensource-implementatie voor beveiligingssleutels die de FIDO U2F- en FIDO2-standaarden ondersteunt. De beveiligingssleutel fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Volgens Google bieden fysieke beveiligingssleutels de beste bescherming tegen phishing. Steeds meer websites ondersteunen het gebruik van beveiligingssleutels, zoals Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe en Twitter. Door de firmware open source te maken hoopt Google dat onderzoekers, sleutelfabrikanten en andere partijen er gebruik van zullen maken, wat voor nieuwe features en een hogere adoptiegraad moet zorgen. De eerste versie van OpenSK werkt met een dongle van Nordic Semiconductor. Gebruikers kunnen zo hun eigen "developer key" maken. Google stelt dat het bewust voor de dongle van Nordic als referentiehardware heeft gekozen omdat het alle transportprotocollen ondersteunt, een aparte "hardware crypto core" heeft en betaalbaar is. Hoewel het nu mogelijk is om met de OpenSK-firmware en dongle een FIDO-authenticator te maken, waarschuwt Google dat de eerste versie van de firmware als een experimenteel onderzoeksproject moet worden beschouwd en alleen voor test- en onderzoeksdoeleinden is bedoeld. bron: security.nl

Avast sluit databedrijf Jumpshot na ophef over dataverzameling Antivirusbedrijf Avast sluit databedrijf Jumpshot na ophef over het verzamelen en verwerken van gegevens van Avast-gebruikers. Dat heeft het bedrijf vandaag bekendgemaakt. Jumpshot verwerkte gegevens van Avast-gebruikers die via de extensies en software van het antivirusbedrijf werden verzameld. Vervolgens werd de geanonimiseerde data aan klanten verkocht, waaronder Google en Microsoft. Die konden zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website ging. Het ging onder andere om zoekopdrachten, bekeken locaties op Google Maps, bezochte LinkedIn-pagina's, bekeken YouTube-video's en andere zaken. Avast kwam vorig jaar al in het nieuws omdat het de gegevens via de Avast- en AVG-browserextensies verzamelde. Na ophef besloot de virusbestrijder de hoeveelheid verzamelde data te beperken. Deze week werd bekend dat gegevens nu via de virusscanner van Avast worden verzameld. Naar aanleiding van de ontstane ophef meldde Avast gisteren dat het gebruikers nadrukkelijk om toestemming ging vragen voor het verzamelen van data. Vandaag meldt het bedrijf dat er geen data meer aan Jumpshot wordt verstrekt en het bedrijf zal worden opgeheven. De verkoop van de data leverde Avast vele miljoen dollars op. In de eerst helft van 2019 had het antivirusbedrijf een omzet van 430 miljoen dollar. Twintig miljoen daarvan was afkomstig van de verkoop van gebruikersgegevens. "Het is de missie van Avast om gebruikers te beschermen en controle over hun privacy te geven. Elke praktijken die het vertrouwen van gebruikers in gevaar brengen zijn onacceptabel voor Avast", aldus Avast-ceo Ondrej Vlcek. Hoeveel mensen precies door het opheffen van Jumpshot op straat komen te staan is nog niet bekend.

Antivirusbedrijf Avast gaat het verzamelen van gebruikersdata via de virusscanner opt-in maken. Een update die gebruikers om toestemming vraagt zal worden uitgerold. Dat laat de virusbestrijder weten na ophef over het verzamelen en verkopen van gebruikersdata. Vorig jaar werd bekend dat Avast miljoenen verdient aan gebruikers die de extensies van Avast of AVG hebben geinstalleerd. AVG is al enige tijd onderdeel van Avast. De verzamelde data, die volgens Avast niet naar personen is te herleiden, wordt geanalyseerd door het bedrijf Jumpshot, waar Avast een meerheidsbelang in heeft. Vervolgens wordt de data aan klanten verkocht. Het gaat dan om investeerders en "brand managers". Die kunnen zo zien hoe mensen van het internet gebruikmaken. Onder andere Google en Microsoft zijn klant Jumpshot. Naar aanleiding van deze onthulling besloten Google en Mozilla de browserextensies uit hun extensie-stores te verwijderen. Daarop maakte Avast bekend dat het de hoeveelheid gebruikersdata die de extensies verzamelen ging beperken. Deze week bleek uit gelekte documenten waar PCMag en Vice Magazine over berichtten dat Avast de gebruikersgegevens nu direct via de antivirussoftware verzamelt, in plaats van de eigen extensies hiervoor te gebruiken. In een reactie op de nieuwe ontstane ophef laat Avast weten dat in het privacybeleid duidelijk staat vermeld welke gegevens het verzamelt. Ook benadrukt de virusbestrijder dat het geen persoonlijke identificeerbare gegevens aan derde partijen heeft gekocht. Naar aanleiding van alle commotie heeft Avast nu wel besloten verschillende aanpassingen door te voeren. "In juli 2019 hebben we een expliciete opt-in-keuze voor alle nieuwe downloads van onze desktop-antivirus getest die het legacy opt-out-mechanisme zal vervangen, en we zijn bezig om dit onder al onze bestaande gebruikers uit te rollen die proactief zullen worden gevraagd om hun keuze te maken", aldus de verklaring van Avast. Het antivirusbedrijf merkt verder op dat het naar andere aanpassingen kijkt om de transparantie en keuze voor gebruikers te verbeteren. bron: security.nl

Op internet zijn duizenden SharePoint 2007-servers te vinden die door een ernstig beveiligingslek kwetsbaar zijn voor aanvallen, maar geen beveiligingsupdates meer ontvangen omdat de software end-of-life is. Daarnaast worden deze servers niet door zogeheten vulnerability-scanners gedetecteerd. Daardoor lopen organisaties risico omdat kwetsbare servers niet door beheerders worden opgemerkt, zo laat de Britse beveiligingsonderzoeker Kevin Beaumont weten. Het beveiligingslek is onder andere gebruikt om op servers van de Verenigde Naties in te breken. Sinds vorig jaar mei wordt er gewaarschuwd voor aanvallen op kwetsbare servers. SharePoint biedt organisaties een platform om intern of via internet gegevens te delen. Het product zou volgens Microsoft 190 miljoen gebruikers over 200.000 organisaties hebben. Vorig jaar februari en maart patchte Microsoft een ernstige kwetsbaarheid in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 en 2013 en SharePoint Server 2010, 2013 en 2019. Beaumont stelt dat ook SharePoint 2007 kwetsbaar is. Deze versie stond echter niet in het beveiligingsbulletin van Microsoft vermeld. SharePoint 2007 is namelijk sinds 10 oktober 2017 end-of-life en wordt niet meer door Microsoft ondersteund. Toch bevat ook deze versie de eerder genoemde kwetsbaarheid en ook de exploit die misbruik van het lek maakt werkt tegen SharePoint 2007. De Britse beveiligingsonderzoeker laat weten dat erop internet nog duizenden SharePoint 2007-servers zijn te vinden zijn, onder andere bij overheden. Organisaties kunnen via vulnerability-scanners kwetsbare systemen in hun netwerken vinden, maar in het geval van SharePoint 2007-servers zouden die niet worden gedetecteerd. Microsoft heeft organisaties die met SharePoint 2007 werken eerder al opgeroepen om naar een wel ondersteunde versie te upgraden. bron: security.nl

Aanvallers zijn vorig jaar juli erin geslaagd om op tientallen servers van de Verenigde Naties in te breken omdat een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid niet door beheerders was geinstalleerd. De kwetsbaarheid werd in februari en maart vorig jaar door Microsoft gepatcht. In mei werd bekend dat de kwetsbaarheid actief werd aangevallen en kwam de Canadese overheid zelfs met een waarschuwing voor deze aanvallen. De servers bij de Verenigde Naties werden echter niet gepatcht. Volgens VN-beleid moeten updates binnen een maand zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten. Aanvallers konden zo toegang tot een kwetsbare SharePoint-server krijgen en daarvandaan andere servers in het VN-netwerk benaderen. Het zou om minstens 42 servers op locaties in Genève en Wenen gaan. Vijfentwintig andere servers zijn mogelijk door de aanvallers gecompromitteerd. Bij de aanval zou 400GB aan data zijn buitgemaakt, waaronder gegevens van VN-medewerkers, aldus een bron. VN-personeel werd na ontdekking van de inbraak wel gevraagd hun wachtwoord te wijzigen, maar kreeg niets over de inbraak en gestolen data te horen. bron: security.nl

Microsoft stopt volgende maand de ondersteuning van Internet Explorer 10. Op 11 februari zal de allerlaatste beveiligingsupdate verschijnen. Daarna zullen nieuwe kwetsbaarheden niet meer worden gepatcht. Ook bij klanten die betaalde supportopties hebben, zo waarschuwt het techbedrijf. Organisaties die met Internet Explorer 10 op Windows Server 2012 en Windows Embedded 8 Standard werken en beveiligingsupdates willen blijven ontvangen moeten dan ook upgraden naar Internet Explorer 11. Om organisaties hiermee te helpen zal de Internet Explorer 11 standalone update door Microsoft worden veranderd van optionele update naar aanbevolen update. Zodra IE11 is geïnstalleerd adviseert Microsoft om de laatste cumulatieve update voor de browser te installeren, zodat de browser over alle beveiligingsupdates beschikt. Later dit jaar zullen beveiligingsupdates voor IE11 ook aan de Monthly Rollup-update worden toegevoegd. Voor organisaties die met applicaties werken die alleen in IE10 worden ondersteund biedt Internet Explorer 11 een "compatibility mode". Internet Explorer 10 wordt in de praktijk nog nauwelijks gebruikt. De browser heeft op de desktop een marktaandeel van 0,1 procent. bron: security.nl

Voor duizenden op Magento-gebaseerde webwinkels is een belangrijke beveiligingsupdate verschenen die meerdere ernstige kwetsbaarheden verhelpt waardoor aanvallers de webshop kunnen overnemen. Ook is het mogelijk om code toe te voegen die de creditcardgegevens van klanten steelt. De kwetsbaarheden zijn aanwezig in Magento Commerce, Magento Open Source, Magento Enterprise Edition en Magento Community Edition. Via de beveiligingslekken kan een aanvaller gevoelige gegevens van de webwinkel achterhalen en willekeurige code uitvoeren. De afgelopen maanden wisten criminelen via beveiligingslekken in Magento op duizenden webwinkels kwaadaardige code te plaatsen die creditcardgegevens van klanten stal. Updates voor de aangevallen kwetsbaarheden waren wel beschikbaar, maar niet door de beheerders van de webshops geïnstalleerd. Adobe, dat eigenaar van Magento is, heeft de kwetsbaarheden een "prioriteit 2" gegeven. Het gaat dan om producten die in het verleden zijn aangevallen. Op dit moment zijn er echter geen kwetsbaarheden bekend die van de kwetsbaarheden misbruik maken en Adobe verwacht niet dat die op korte termijn zullen verschijnen. Adobe adviseert om de beveiligingsupdate "snel" te installeren, waarbij als voorbeeld "binnen 30 dagen" wordt genoemd. bron: security.nl

Opnieuw is er een groot Belgisch bedrijf getroffen door ransomware. Dit keer wisten criminelen de systemen van de Belgische it-leverancier SPIE ICS met ransomware te infecteren, waardoor de dienstverlening aan klanten verstoord raakte. Bij diverse klanten zijn de it-systemen niet bruikbaar. Vanwege de infectie zag het it-bedrijf zich genoodzaakt om zestig van de drieduizend klanten af te koppelen, zo meldt De Tijd. DataNews spreekt over 75 klanten. In een update op de eigen website meldt de it-dienstverlener dat het "behoorlijke voortgang" heeft geboekt bij het herstel van systemen, waardoor sommige diensten weer voor klanten beschikbaar zijn. Binnen de komende twee dagen hoopt SPIE ICS meer diensten online te krijgen. Hoe het bedrijf besmet kon raken is niet bekendgemaakt. Wel hebben de aanvallers losgeld gevraagd voor het ontsleutelen van bestanden. Om wat voor bedrag het gaat wil de it-dienstverlener niet zeggen. Drie weken geleden waarschuwde SPIE ICS nog dat bedrijven met Windows 7 moesten overstappen naar Windows 10, mede vanwege het risico op ransomware. "De kosten kunnen zeer hoog oplopen als uw netwerk moet worden opgekuist na een geslaagde aanval met ransomware of bij een gedwongen stillegging van de activiteiten door een virus." SPIE ICS heeft 1850 medewerkers in dienst en zeventien vestigingen. De it-dienstverlener is onderdeel van de Franse multinational SPIE, die bijna 47.000 medewerkers telt en in 36 landen actief is. Het concern had in 2017 een omzet van 6,1 miljard euro. Het is de tweede grote ransomware-infectie in België in korte tijd die in de media komt. Twee weken geleden werd de Belgische weefmachinebouwer Picanol nog door een ransomware-aanval platgelegd. bron: security.nl

De helft van alle WordPress-sites die vorig jaar door malware besmet raakte draaide een verouderde versie van het contentmanagementsysteem (cms). Daarnaast raakte een aanzienlijk deel via verouderde plug-ins besmet, zo stelt securitybedrijf Sucuri op basis van 60.000 opgeschoonde websites. Van de besmette websites die het bedrijf opschoonde draaide 94,2 procent op WordPress. Vier procent meer dan in 2018. Maar liefst 56 procent van alle besmette websites draaide op het moment van de infectie een verouderde cms-versie. Wordt er specifiek naar WordPress gekeken, dan is dit 49 procent. Sinds WordPress 3.7 biedt het cms de mogelijkheid om automatisch updates te installeren. WordPress doet het daardoor beter dan andere platformen. Zo waren bij Drupal, Magento en Joomla, drie andere populaire cms-platformen, respectievelijk 77, 87 en 90 procent van de besmette websites op het moment van de infectie out-of-date. Waar het bij WordPress-sites wel misgaat zijn de plug-ins. Ruim veertig procent van de besmette sites draaide een verouderde plug-in waardoor aanvallers toegang tot de website konden krijgen. Verder ontdekten de onderzoekers dat veel websites kwetsbare versies van PHP draaien. Meer dan tweederde van de sites maakt gebruik van een PHP-versie die end-of-life is en geen beveiligingsupdates meer ontvangt. In de meeste gevallen proberen aanvallers bij een succesvolle aanval spamcontent op de site te plaatsen of code toe te voegen die bezoekers van de gecompromitteerde site automatisch naar een spamsite doorstuurt. "Alleen in 2019 was 60 procent van de cms-applicaties out-of-date op het moment van de infectie, waardoor verouderde onderdelen en cms-bestanden de voornaamste oorzaak van gehackte websites zijn. Verouderde plug-ins, modules en extensies, misbruikte inloggegevens, slecht geconfigureerde applicaties en servers en een gebrek aan kennis over security best practices blijven een oorzaak van infecties", aldus Sucuri, dat voor dit jaar een zelfde beeld verwacht. bron: security.nl

De NSA heeft een waarschuwing afgegeven voor de beveiligingsrisico's van clouddiensten. Dergelijke diensten kunnen de security van een organisatie volgens de Amerikaanse geheime dienst verbeteren, maar ook risico's introduceren waarbij het kiezen en gebruik van de cloud rekening moet worden gehouden. Cloudkwetsbaarheden worden door de NSA in vier klassen verdeeld, namelijk misconfiguratie, slechte toegangscontrole, kwetsbaarheden door gedeelde cloudplatformen en supplychainkwetsbaarheden. Volgens de NSA spelen cloudgebruikers een belangrijke rol bij het voorkomen van misconfiguraties en slechte toegangscontrole, maar kunnen ze ook stappen ondernemen om misbruik van de ander twee klasse kwetsbaarheden te voorkomen. In de waarschuwing beschrijft de NSA verschillende maatregelen die organisaties kunnen nemen, waarbij het kiezen van clouddiensten op moet worden gelet en de verschillende aanvallers waar cloudklanten mee te maken kunnen krijgen. Het gaat onder andere om kwaadwillende beheerders aan de kant van de provider, kwaadwillende beheerders aan de kant van de klant, cybercriminelen en statelijke actoren en ongetrainde of nalatige beheerders van de klant. Misconfiguraties komen het meest voor en zijn eenvoudig door aanvallers uit te buiten, aldus de NSA. Om dergelijke aanvallen tegen te gaan wordt het gebruik van scantools, het auditen van logs en het instellen van de juiste policies aangeraden, alsmede het volgen van best practices die misbruik van geprivilegieerde accounts moeten voorkomen. Tevens wordt het identificeren en elimineren van "Shadow IT" aangeraden. "Klanten moeten beseffen dat ze samen met de cloudprovider een gedeelde verantwoordelijkheid hebben in het beschermen van de cloud", concludeert de NSA (pdf). "Security in de cloud is een continu proces en klanten moeten continu hun clouddiensten monitoren en hun 'security posture' proberen te verbeteren." bron: security.nl

De ondersteuning van Windows 7 is officieel door Microsoft gestopt, maar een groot aantal antivirusbedrijven blijft het besturingssysteem ondersteunen. Het Duitse testlab AV-Test houdt een overzicht bij van antivirusleveranciers en wat erover de ondersteuning van Windows 7 bekend is. Van de 24 partijen in het overzicht zullen er 18 hun producten op Windows 7 in ieder geval nog twee jaar blijven ondersteunen. Avira heeft wel een harde einddatum aangekondigd, namelijk november 2022. Sophos stopt de ondersteuning in december van dit jaar voor "on-premise" klanten, terwijl de support van "cloud-managed" klanten volgend jaar juli afloopt. Microsoft biedt zelf voor Windows 7 de gratis virusscanner Security Essentials aan. De antivirussoftware ontvangt geen productupdates meer, maar zal wel signature-updates blijven ontvangen om nieuwe malware te kunnen detecteren. Volgens schattingen draaien meer dan tweehonderd miljoen computers nog op Windows 7. Bedrijven en organisaties die een apart onderhoudscontract afsluiten zullen nog wel beveiligingsupdates blijven ontvangen. bron: security.nl

Internetprovider Freedom Internet die op 29 maart van start gaat overweegt om standaard een vpn en wachtwoordmanager aan te bieden. Dat laat ceo Anco Scholte ter Horst in een interview met de Stichting Internet Domeinregistratie Nederland (SIDN) weten. Freedom Internet is gelanceerd door het actiecomité XS4ALL moet blijven. De provider zegt in te zullen zetten op privacy en veiligheid. "Geen meekijkers, geen winstmaximalisatie en geen afhankelijkheid", zo liet het actiecomité bij de aankondiging weten. Ook Scholte ter Horst benadrukt dit. "We werken volgens de privacy-by-design-filosofie. Voor de meeste isp's heeft privacy te maken met compliance, met voldoen aan de wet. Voor ons is het de basis voor alles wat we doen." Klanten gaan dit mogelijk ook in het aanbod terugzien. "We denken over andere zaken, zoals standaard vpn en een password-manager. Maar wat het uiteindelijke aanbod wordt, wordt pas duidelijk in maart als we starten", aldus de ceo. Wel is al zeker dat klanten een "meekijk-vrij e-mailadres" krijgen. "Als je bij ons een e-mailadres krijgt, zorgen wij ervoor dat we helemaal niet mee kúnnen kijken naar de inhoud van e-mails. E-mail hoort veilig te zijn. Ook veilig voor misbruik door ons", stelt Scholte ter Horst. Freedom Internet hoopt aan het einde van dit jaar 25.000 klanten te hebben. bron: security.nl

De afgelopen vijf maanden zijn meer dan 150.000 systemen met de REvil-ransomware besmet geraakt. De aanvallers achter deze ransomware, die ook bekendstaat als Sodinokibi, eisen gemiddeld 260.000 dollar losgeld. Dat meldt het KPN Security Research Team op basis van eigen onderzoek. Onderzoekers van KPN wisten meerdere domeinen in handen te krijgen waarmee besmette systemen communiceren en konden zo het aantal infecties tellen, alsmede het soort getroffen organisaties. "In de afgelopen vijf maanden analyseerden we meer dan 150.000 unieke infecties, en zagen losgeldeisen van 148 exemplaren die bij elkaar meer dan 38 miljoen dollar losgeld eisten", zo stellen de onderzoekers. Het gemiddelde gevraagde losgeld bedraagt 260.000 dollar. Er zijn echter grote verschillen. Bij sommige slachtoffers vroegen de aanvallers 777 dollar, bij anderen 3 miljoen dollar. Daarnaast is er ook een verschil bij de "network only" en computergerichte aanvallen. Bij het versleutelen van een compleet netwerk vragen de aanvallers 470.000 dollar losgeld. Wanneer het alleen om een enkele computer gaat bedraagt het losgeld gemiddeld 47.000 dollar. Sommige van de aanvallen zijn zeer omvangrijk. Alleen in de afgelopen zeven dagen telde KPN bij twee grote aanvallen meer dan 6500 besmette systemen. Verder blijkt dat de ransomware vooral actief is in de Verenigde Staten, Zuid-Korea, China en Canada. In Nederland werden in totaal 250 besmette systemen geteld. Wereldwijd raken er elke dag gemiddeld 500 systemen met REvil besmet. De aanvallers achter REvil maken onder ander gebruik van kwetsbaarheden in Citrix, Pulse Secure VPN en Oracle WebLogic om hun ransomware te verspreiden. Ook lukte het de aanvallers om bij meerdere managed serviceproviders in te breken en vervolgens klanten van deze providers te infecteren. Op deze manier kunnen bij één aanval honderden organisaties worden getroffen. Sommige van de aanvallen met REvil komen in het nieuws, maar veel bedrijven houden hun mond, aldus de onderzoekers. Die merken verder op dat ze slechts beperkt zicht op de activiteiten van de REvil-ransomware hebben en het werkelijke aantal slachtoffers veel groter is. bron: security.nl

Microsoft publiceerde op 14 januari een beveiligingsupdate voor twee ernstige kwetsbaarheden in de Windows Remote Desktop Gateway, maar twee weken later zijn er nog altijd meer dan 1100 kwetsbare servers in Nederland via het internet toegankelijk. Dat meldt het Nederlands Security Meldpunt op basis van een scan. Wereldwijd gaat het om 16.000 servers waar de beschikbare beveiligingsupdate niet is geïnstalleerd. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Twee kwetsbaarheden in de software maken het mogelijk voor een aanvaller om kwetsbare gateways over te nemen. Alleen het versturen van speciaal geprepareerde requests is voldoende. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP volstaat. Inmiddels is er ook een proof-of-concept exploit ontwikkeld waarmee kwetsbare gateways zijn over te nemen. Een exploit waarmee gateways zijn plat te leggen staat inmiddels online. De onderzoeker die de remote code execution-exploit ontwikkelde komt binnenkort met een blogposting waarin hij meer informatie zal geven. Organisaties krijgen het advies om de update zo snel als mogelijk te installeren en anders de gateway niet direct aan het internet te hangen en bijvoorbeeld een vpn te gebruiken. Vooralsnog zijn er geen aanvallen waargenomen die misbruik van de kwetsbaarheid maken, maar dat lijkt een kwestie van tijd. "Er is een grote waarschijnlijkheid dat de kwetsbaarheid misbruikt gaat worden door kwaadwillenden", aldus het Security Meldpunt. bron: security.nl

Onderzoekers van onder andere de Vrije Universiteit Amsterdam hebben een nieuwe cpu-aanval ontwikkeld waarmee het mogelijk is om vertrouwelijke informatie uit Intel-processors te stelen. De aanval wordt CacheOut genoemd en is een "speculative execution side channel" zoals Meltdown en Spectre. Via de aanval is het mogelijk om data van het slachtoffer uit het cachegeheugen van de processor naar een "lekkend cpu-buffer" te sturen en vervolgens te laten lekken. De CacheOut-aanval is gebaseerd op aanvallen zoals Meltdown en Spectre, maar kan de hardwarematige beveiliging die Intel sindsdien ontwikkelde omzeilen. Een ander verschil met eerdere aanvallen is dat een aanvaller via de CacheOut-aanval kan bepalen welke informatie hij wil laten lekken, in plaats van eerdere aanvallen waarbij er moest worden gewacht totdat de informatie beschikbaar kwam. Verder verschilt de CacheOut-aanval van eerdere aanvallen doordat het niet vanuit de browser is uit te voeren. In hun paper beschrijven de aanvallers een scenario waarbij de aanvaller en het slachtoffer hun code op dezelfde processorcore uitvoeren (pdf). Iets wat bijvoorbeeld in shared hosting-omgeving of virtual machine het geval kan zijn. Het probleem speelt alleen bij Intel-processoren. Processors van AMD zijn niet kwetsbaar. Ook een aantal Intel-processors die na het vierde kwartaal van 2018 zijn verschenen zijn niet kwetsbaar. Intel heeft het probleem in deze processors "per ongeluk" deels verholpen, aldus de onderzoekers. Daarnaast heeft de chipfabrikant micro-updates uitgebracht om de kwetsbaarheid te verhelpen. bron: security.nl