Captain Kirk

Een beveiligingslek in het populaire gameplatform Steam kon aanvallers de controle over computers geven als gebruikers alleen een link zouden openen. Valve, de ontwikkelaar van Steam, heeft de kwetsbaarheid inmiddels verholpen en de onderzoeker die het probleem meldde met 7500 dollar beloond. De kwetsbaarheid bevond zich in de manier waarop de chatfunctie van Steam met zogeheten "rich chat content" omging. De aanval die onderzoeker Thomas Shadwell ontwikkelde maakte gebruik van kwetsbaarheden in de beveiliging van de Steam-chatclient als het om deze content gaat. Zodoende kon hij toegang tot functies krijgen die normaliter zijn afgeschermd en door Steam worden gebruikt om bestanden op de computer van de gebruiker te openen. Zo was het bijvoorbeeld mogelijk om cmd.exe aan te roepen en vervolgens kwaadaardige commando's uit te voeren, zoals het downloaden en installeren van malware. De enige vereiste was dat een gebruiker een link van de aanvaller opende. De aanvaller zou deze link naar een Steam-gebruiker kunnen sturen of op een gameforum kunnen plaatsen. De kwetsbaarheid werd op 14 september aan Valve gerapporteerd en drie weken later verholpen. Shadwell ontving vervolgens 7500 dollar van Valve. Begin januari vroeg de onderzoeker aan Valve of zijn bugmelding openbaar mocht worden gemaakt, waar hij afgelopen maandag toestemming voor kreeg. Vorig jaar werd er ook een kwetsbaarheid in Steam verholpen waardoor een aanvaller systemen van gebruikers had kunnen overnemen. Steam heeft wereldwijd meer dan 150 miljoen gebruikers. bron: security.nl

Een probleem met de laatste versie van de beveiligingssoftware Malwarebytes zorgt ervoor dat computers met Windows 7 volledig vastlopen en alleen het uitschakelen van de pc de enige oplossing is. De oorzaak van het probleem is echter nog onbekend en Malwarebytes vraagt dan ook de hulp van gebruikers. Malwarebytes behoort tot de populairste beveiligingssoftware onder Windows-gebruikers. Op het forum van Malwarebytes doen dan ook verschillende gebruikers hun beklag. Zo laat één gebruiker weten dat alle kantoorsystemen met de vastlopers te maken hebben. Andere gebruikers uiten hun onvrede omdat het probleem al bijna een maand speelt en er nog geen definitieve oplossing voorhanden is. Het bedrijf wijst getroffen gebruikers naar verschillende workarounds die een hoog succesratio hebben. Zo wordt aangeraden om de Windows Web Protection van Malwarebytes uit te schakelen of een eerdere versie van de software te installeren. "dit> bron: security.nl

Microsoft heeft tijdens de eerste patchdinsdag van 2019 in totaal 49 kwetsbaarheden gepatcht, waaronder kwetsbaarheden in Exchange, Hyper-V en Windows DHCP waardoor systemen en servers konden worden overgenomen. Zeven van de 49 beveiligingslekken zijn als ernstig aangemerkt. Volgens securitybedrijf ZDI zijn de belangrijkste updates voor Exchange, Hyper-V en Windows DHCP. Het beveiligingslek in Exchange zorgt ervoor dat een aanvaller een Exchange-server had kunnen overnemen door alleen een speciaal geprepareerde e-mail te versturen. "Dat is een beetje een probleem, aangezien het ontvangen van e-mail een belangrijk onderdeel van Exchange is", aldus Dustin Childs van ZDI. Een ernstige kwetsbaarheid in de DHCP-client van Windows 10 en Windows Server zorgt ervoor dat aanvallers systemen kunnen overnemen door alleen het versturen van een DHCP-response naar een client. Childs merkt op dat een computerworm van dit lek misbruik zou kunnen maken om systemen zonder enige interactie van gebruikers te infecteren en zich zo binnen netwerken te verspreiden. "Het is interessant dat de kwetsbaarheid alleen in de laatste versie van het besturingssysteem aanwezig is, en niet in vorige versies. Dit komt waarschijnlijk omdat het onderdeel voor de nieuwere versies is herschreven", merkt Childs op. Hij adviseert organisaties om het beveiligingslek zo snel als mogelijk te patchen. Twee ernstige beveiligingslekken in Hyper-V, de virtualisatiesoftware van Microsoft, gaven een gast op een virtual machine de mogelijkheid om het onderliggende host-systeem over te nemen. Verder zijn er ernstige kwetsbaarheden in Internet Explorer en Edge gepatcht en behoren ook meerdere kwetsbaarheden in Office tot het verleden. Een beveiligingslek in de Jet Database Engine van Windows kon een aanvaller op afstand code laten uitvoeren. Details van dit beveiligingslek waren al openbaar voor het verschijnen van de Windows-update, maar volgens Microsoft is er geen misbruik van de kwetsbaarheid gemaakt. De updates worden op de meeste systemen automatisch geïnstalleerd. bron: security.nl

Aanvallers verspreiden e-mailbijlagen met Tar-bestanden om zo beveiligingswaarschuwingen van Windows te omzeilen en systemen met malware te infecteren. Dat laat Didier Stevens weten, handler bij het Internet Storm Center (ISC). Tar is een archiefformaat dat op Unix-systemen wordt gebruikt. Windows-gebruikers kunnen Tar-bestanden standaard niet uitpakken, tenzij er een archiveringsprogramma is geïnstalleerd. Dit kan een nadeel voor de aanvallers zijn, aangezien de gebruiker extra software geïnstalleerd moet hebben. Het heeft echter ook een voordeel. Normaal zijn bestanden die van het internet afkomstig zijn voorzien van het "mark-of-the-web", maar dat geldt niet voor bestanden die zijn ingepakt en vervolgens worden uitgepakt. Programma's zoals Outlook voorzien een e-mailbijlage van het mark-of-the-web wanneer die wordt geopend of opgeslagen. Wanneer een Tar-bestand wordt uitgepakt ontbreekt het mark-of-the-web. Gebruikers die het uitvoerbare bestand in het Tar-bestand vervolgens openen zullen dan ook geen beveiligingswaarschuwing te zien krijgen. Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ. "Het gebruik van minder populaire archiefformaten op Windows zorgt ervoor dat aanvallers detectie kunnen omzeilen en het aantal waarschuwingen kunnen verminderen, met het risico dat een Windows-computer het archief niet kan openen", aldus Stevens. bron: security.nl

Het op privacy gerichte besturingssysteem Tails zoekt mensen die de nieuwe installatiemethode voor usb-sticks willen testen. Deze methode moet het eenvoudiger voor gebruikers maken om met Tails aan de slag te gaan. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Gebruikers moeten hiervoor met een ISO-bestand aan de slag gaan. De ontwikkelaars willen de installatie voor Mac- en Windows-gebruikers echter vereenvoudigen en de ondersteuning van UEFI-computers verbeteren. Daarvoor zijn er nu specifieke usb-images gemaakt. Deze images maken het gebruik van de Tails Installer, tools van derden of een tweede usb-stick in het geval van macOS of Windows overbodig. Om van de usb-images gebruik te maken moeten gebruikers wel eerst het programma Etcher installeren, dat ook via de Tails-website wordt aangeboden. Vervolgens kan de Tails usb-image worden gekozen en zal de installatie op de usb-stick verder automatisch plaatsvinden. Gebruikers kunnen Tails hierna vanaf de usb-stick starten. De ontwikkelaars merken op dat de Tails-versie die nu via de usb-image wordt geïnstalleerd alleen voor testdoeleinden moet worden gebruikt. Deze versie is ook niet van een OpenPGP-handtekening voorzien. bron: security.nl

Microsoft heeft de updates voor Office 2010 die op 2 januari werden uitgebracht teruggetrokken wegens problemen met Excel. De softwaregigant komt elke tweede dinsdag van de maand met beveiligingsupdates. In de week hiervoor verschijnen de niet-security gerelateerde Office-updates. Het gaat dan bijvoorbeeld om patches die bugs of andere problemen verhelpen. Op 2 januari verschenen er vier "non-security" updates voor Office 2010. De updates introduceerden enkele wijzigingen voor de Japanse kalender in Office 2010, zodat de naam van het nieuwe Japanse keizerlijke tijdperk straks correct wordt weergegeven. Japanse gebruikers klaagden echter dat ze na de installatie Excel niet meer konden starten, zo meldt Borncity. Daarop besloot Microsoft de patches terug te trekken. Gebruikers die Excel niet meer kunnen starten krijgen het advies om de updates te de-installeren. In november besloot Microsoft ook al om Office 2010-updates wegens problemen terug te trekken. Ook deze updates introduceerden wijzigingen voor de Japanse kalender, maar zorgden ervoor dat Microsoft Access kon crashen. Microsoft zal Office 2010 tot 13 oktober 2020 van beveiligingsupdates blijven voorzien. bron: security.nl

Adobe is 2019 begonnen met beveiligingsupdates die twee ernstige kwetsbaarheden in Acrobat en Reader verhelpen. Via de beveiligingslekken kan een aanvaller willekeurige code in de context van de ingelogde gebruiker uitvoeren. Zo is het bijvoorbeeld mogelijk om malware te installeren of data te stelen. Alleen het openen van een kwaadaardig pdf-document is hiervoor voldoende. Gebruikers krijgen dan ook het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20069, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30113, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30464 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. Vorig jaar patchte Adobe in totaal 286 beveiligingslekken in de pdf-lezers. bron: security.nl

Alle versies van Windows 10 krijgen de optie om de eerste keer via sms in te loggen, zodat gebruikers geen wachtwoord meer hoeven te kiezen. Dat heeft Microsoft bekendgemaakt. De softwaregigant is al enige tijd bezig om wachtwoorden te "elimineren" en de sms-feature moet hierbij helpen. Zodra gebruikers voor de eerste keer op een Windows 10-installatie willen inloggen kan dit via een Microsoftaccount waar een telefoonnummer aan is gekoppeld. Hiervoor kan de gebruiker dan een sms-code aanvragen. Wanneer erop de Windows 10-installatie is ingelogd kan vervolgens biometrisch inloggen via Windows Hello (gezichtsherkenning of vingerafdruk) of een pincode worden ingesteld. Via deze inlogmethodes kan er volgende keren toegang tot het systeem worden verkregen. Zodoende hoeft de gebruiker nergens meer een wachtwoord te gebruiken. Oorspronkelijk was de sms-feature alleen beschikbaar in de testversie van Windows 10 Home, maar Microsoft heeft die nu aan alle verschillende testversies van het besturingssysteem toegevoegd. Wanneer de sms-feature in de definitieve versies van Windows 10 verschijnt waar de meeste mensen mee werken is nog niet bekend. bron: security.nl

Het versleutelen van e-mail in Mozilla Thunderbird wordt dit jaar eenvoudiger gemaakt. Daarnaast komt er speciale aandacht voor privacy en security in het e-mailprogramma. Dat heeft Ryan Sipes, communitymanager van het Thunderbird-project, in de plannen voor 2019 aangekondigd. Via GnuPG en een plug-in zoals Enigmail of het installeren van een certificaat is het mogelijk om in Thunderbird versleutelde e-mails te versturen. De gebruikersinterface om dit te doen zal dit jaar een "opknapbeurt" krijgen, aldus Sipes. "Het is onze hoop dat het versleutelen van e-mail en het privé houden van je communicatie in aankomende versies eenvoudiger wordt", gaat de communitymanager verder. Er is inmiddels een engineer aangenomen die zich voornamelijk zal bezighouden met security en privacy binnen Thunderbird. Daarnaast willen de ontwikkelaars ervoor zorgen dat het e-mailprogramma beter met het notificatiesysteem van verschillende besturingssystemen kan omgaan en zal ook de ondersteuning van Gmail worden verbeterd. In 2015 kondigde Mozilla aan dat het Thunderbird van Firefox wilde loskoppelen, waarbij er naar andere partijen werd gezocht die in de e-mailclient wilden investeren. In 2017 besloot Mozilla dat het de juridische en financiële basis van Thunderbird zou blijven verzorgen, maar dat de e-mailclient niet meer van de Mozilla-infrastructuur gebruik ging maken. Ondanks deze "scheiding" is dankzij donaties van individuele donateurs, wat de belangrijkste bron van inkomsten van het Thunderbird Project is, het aantal medewerkers inmiddels naar 14 uitgebreid. bron: security.nl

Registrars Public Domain Registry (PDR) en Registrar.eu hebben 2700 domeinnamen van malafide webshops na een verzoek van de Consumentenbond uit de lucht gehaald. Het gaat om malafide webshops uit China die op Nederlandse gebruikers gericht zijn. Het afgelopen jaar werden na verzoeken van de Consumentenbond in totaal ruim 4500 domeinnamen van malafide webshops offline gehaald. Het begon met 850 domeinnamen in mei, gevolgd door 1000 domeinnamen in juni. De malafide webshops maken in veel gevallen gebruik van vrijgekomen domeinnamen. Openprovider, het bedrijf achter Registrar.eu, gaat vanaf begin dit jaar alle domeinregistraties op verdachte kenmerken controleren, om zo malafide websites tegen te gaan. De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft aangegeven dat het de bezwaarprocedure voor verdachte sites vanaf januari 2019 terugbrengt van 35 naar 5 dagen. Dit moet helpen bij het sneller uit de lucht halen van malafide websites. bron: security.nl

Hostingprovider Data Resolution, dat naar eigen zeggen zo'n 30.000 klanten heeft, is op kerstavond getroffen door de Ryuk-ransomware. Dit is dezelfde ransomware die vorige week het productieproces van verschillende Amerikaanse kranten ontregelde. In een bericht aan klanten laat het bedrijf weten dat aanvallers via een gecompromitteerd account toegang wisten te krijgen en vervolgens allerlei servers met de ransomware infecteerden. De Ryuk-ransomware wordt bij gerichte aanvallen ingezet en handmatig door aanvallers geïnstalleerd, in tegenstelling tot veel andere ransomware die via e-mailbijlagen wordt verspreid. De aanvallers wisten ook korte tijd de controle over het datacenterdomein te krijgen, waardoor de hostingprovider geen toegang meer tot de eigen systemen had. Om de verspreiding van de ransomware tegen te gaan besloot Data Resolution om het gehele netwerk uit te schakelen. In het bericht aan klanten verklaart het bedrijf dat er geen aanwijzingen zijn dat er gegevens zijn buitgemaakt. Volgens it-journalist Brian Krebs is Data Resolution nog steeds bezig met het herstellen van e-mailtoegang en databases van klanten. Een anonieme bron voegt toe dat de hostingprovider het door de ransomware gevraagde losgeld voor het ontsleutelen van bestanden niet heeft betaald. Het bedrijf zou ervoor hebben gekozen om systemen via beschikbare back-ups te herstellen. bron: security.nl

Een hacker die zichzelf HackerGiraffe noemt heeft op allerlei publiek toegankelijke Chromecasts en smart-tv's een YouTube-video afgespeeld waarin reclame wordt gemaakt voor de Zweedse Youtuber PewDiePie en wordt uitgelegd hoe gebruikers hun apparaat kunnen beveiligen. Op een website die de hacker over "CastHack" online zette wordt gesteld dat meer dan 72.000 Chromecasts en smart-tv's met ingebouwde Chromecast via internet benaderbaar zijn, maar op Twitter laat de hacker weten dat er bijna 180.000 Chromecasts direct met internet zijn verbonden. Via een Chromecast kunnen gebruikers beelden van hun telefoon of laptop naar een televisie streamen. Om de video op de apparaten van anderen af te spelen maakt de hacker gebruik van een programmeerinterface (API) van Google. Via deze api is het mogelijk om verbinding met publiek toegankelijke Chromecasts te maken en de video af te spelen. Ook kan het apparaat worden hernoemd en is het mogelijk om informatie te verzamelen, zoals het wifi-netwerk waarmee de Chromecast is verbonden. Tevens kunnen de fabrieksinstellingen worden teruggezet. De aanval is mogelijk dankzij Universal Plug and Play (UPnP), waardoor de Chromecasts en smart-tv's voor het internet toegankelijk zijn. Zowel HackerGiraffe als Google adviseren gebruikers dan ook om UPnP op hun router uit te schakelen, alsmede poorten 8008, 8443 en 8009 niet te forwarden. Google zou daarnaast mogelijk maatregelen hebben getroffen om misbruik van de API tegen te gaan, maar dit is niet bevestigd, zo meldt Bleeping Computer. De YouTube-video die op de Chromecasts werd afgespeeld is door de videodienst van het platform verwijderd. HackerGiraffe was eerder verantwoordelijk voor het printen van een document op tienduizenden printers waarin werd opgeroepen om het YouTube-kanaal van PewDiePie te volgen. bron: security.nl

Online privacybedrijf Abine heeft gebruikers van de wachtwoordmanager Blur gewaarschuwd voor een datalek met gevoelige gegevens, waaronder de wachtwoordhashes van gebruikers. Blur is een wachtwoordmanager die gebruikers lokaal en in de cloud hun wachtwoorden laat opslaan. Volgens Abine maken bijna 24 miljoen mensen er gebruik van. Op donderdag 13 december ontdekte het bedrijf een bestand met informatie van Blur-gebruikers dat voor derden toegankelijk was. Dit bestand bevatte informatie van Blur-gebruikers die voor 6 januari 2018 hun account hadden geregistreerd. Het gaat om e-mailadressen, voor- en achternaam, in sommige gevallen wachtwoordhints van een ander product van Abine genaamd MaskMe, de laatste twee ip-adressen van de gebruiker en de gehashte wachtwoorden van gebruikers. Met het wachtwoord kan toegang tot de wachtwoordmanager worden verkregen. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Voor het hashen van de wachtwoorden maakt Blur gebruik van het Bcrypt-algoritme. Daarnaast wordt er voor elke gebruiker een unieke "salt" gebruikt. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Dit maakt het lastiger voor een aanvaller om het daadwerkelijke wachtwoord te achterhalen, maar niet onmogelijk. Blur-gebruikers krijgen het advies om hun wachtwoord te wijzigen. Gebruikers die dit wachtwoord ook op andere websites gebruiken wordt aangeraden daar een uniek wachtwoord in te stellen. Abine stelt verder dat het een vooraanstaand securitybedrijf heeft ingeschakeld om het incident te onderzoeken en de autoriteiten zijn ingelicht. bron: security.nl

Een probleem met de Windows 10 October 2018 Update zorgt er in bepaalde gevallen voor dat het ingebouwde beheerdersaccount, wanneer ingeschakeld door de gebruiker, onbedoeld wordt uitgeschakeld. Dat heeft Microsoft Japan in een blogposting op TechNet laten weten. Windows 10 beschikt over een ingebouwd beheerdersaccount dat standaard staat uitgeschakeld. Gebruikers kunnen dit account echter zelf inschakelen. Bij het upgraden van Windows 10 versie 1803 (April 2018 Update) naar Windows 10 versie 1809 (October 2018 Update) wordt het ingeschakelde beheerdersaccount uitgeschakeld als er ook nog andere accounts met beheerdersrechten zijn aangemaakt. Microsoft zegt aan een oplossing te werken die eind deze maand gereed moet zijn. Gebruikers die voor het uitkomen van deze patch naar Windows 10 versie 1809 willen upgraden krijgen het advies om te controleren of ze, naast het ingebouwde admin-account, met een gebruiker kunnen inloggen die ook over beheerdersrechten beschikt. Gebruikers die de upgrade al hebben uitgevoerd en kunnen inloggen met een account met beheerdersrechten, kunnen het uitgeschakelde, ingebouwde admin-account zelf weer activeren. bron: security.nl

Meer dan 150 miljoen websites maken inmiddels gebruik van een tls-certificaat van Let's Encrypt voor het aanbieden van een versleutelde verbinding aan bezoekers en dat aantal zal naar verwachting dit jaar naar 215 miljoen stijgen. Dat meldt de Internet Security Research Group (ISRG), de partij achter Let's Encrypt. Het initiatief wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door tls-certificaten gratis uit te geven en de installatie zo eenvoudig mogelijk te maken. Het afgelopen jaar steeg het aantal door Firefox geladen https-pagina's van 67 procent naar 77 procent. "Dit is een ongekende verandering", zegt Josh Aas, directeur van de ISRG. Het gebruik van https moet zowel de veiligheid als privacy van internetgebruikers verbeteren. Het maakt het veel lastiger voor kwaadwillenden om het webverkeer van gebruikers te onderscheppen en bijvoorbeeld wachtwoorden en andere gevoelige informatie te achterhalen. Voor dit jaar heeft de ISRG de verwachting dat het aantal websites met een certificaat van Let's Encrypt naar 215 miljoen zal stijgen. Aas merkt op dat Let's Encrypt dit jaar weer een groot deel van het web zal beschermen met een budget van slechts 3,6 miljoen dollar. Verschillende grote partijen hebben ook dit jaar weer in Let's Encrypt geïnvesteerd, maar er worden nog donateurs gezocht om alle kosten van 2019 te kunnen dekken. bron: security.nl

Onderzoekers die kwetsbaarheden in vrije en opensourcesoftware ontdekken en rapporteren krijgen vanaf januari een beloning van de Europese Unie. De beloningen zijn onderdeel van het Free and Open Source Software Audit (FOSSA) project van de Europese Commissie dat in 2014 werd gestart en als doel heeft om de veiligheid van het internet te verbeteren. In 2015 en 2016 maakte het project een overzicht van vrije en opensourcesoftware die binnen de Europese Commissie en het Europees Parlement wordt gebruikt. Tevens werd tijdens deze startfase met geld van de EU een audit van Apache en KeePass uitgevoerd. Vorig jaar volgde het eerste 'bug bounty' programma van FOSSA, dat onderzoekers beloonde voor het melden van kwetsbaarheden in VLC Media Player. Het beloningsprogramma is nu verder uitgebreid, zo meldt Europarlementariër Julia Reda. Vanaf januari worden ook kwetsbaarheden in andere softwareprojecten beloond. Het gaat onder andere om Filezilla, Notepad++, PuTTY, KeePass, 7-Zip, Drupal en Apache Tomcat. In totaal is er 851.000 euro beschikbaar voor het belonen van onderzoekers, waarbij het meeste geld beschikbaar is voor PuTTY, een populaire ssh-client. bron: security.nl

Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar. Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren. Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon. Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7. Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen. bron: security.nl

Ruim anderhalf jaar na de uitbraak van de WannaCry-ransomware is de malware nog steeds op een groot aantal systemen actief. Dat blijkt uit cijfers van securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert. WannaCry probeert op besmette machines met deze domeinnaam verbinding te maken. Wanneer er verbinding wordt gemaakt stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. Vorige week zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen 'beacons' (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India. Door dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet, maar de dreiging is nog altijd aanwezig, aldus het securitybedrijf. "Niemand maakt zich meer druk om WannaCry, het is oud nieuws. Maar voor ons blijft de killswitch van groot belang", zegt onderzoeker Jamie Hankins van Kryptos Logic. Hij merkt op dat de schade enorm kan zijn als de killswitch door een storing niet bereikbaar is. Organisaties worden dan ook opgeroepen om hun systemen te patchen en op te schonen. De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond. bron: security.nl

Een nieuw ransomware-exemplaar genaamd JungleSec infecteert Linux-server via onbeveiligde IPMI-interfaces. IPMI staat voor Intelligent Platform Management Interface en is een managementinterface die onderdeel van moederborden is of als insteekkaart kan worden toegevoegd. Via de IPMI-interface is het mogelijk om de server op afstand te beheren, aan en uit te zetten en toegang tot de remote console te krijgen. Verschillende slachtoffers van de JungleSec-ransomware laten tegenover Bleeping Computer weten dat hun Linux-server via een onbeveiligde IPMI-interface besmet is geraakt. Bij één van de slachtoffers bleek de interface nog het standaard door de fabrikant ingestelde wachtwoord te gebruiken. Nadat de aanvaller toegang tot de interface heeft gekregen wordt de computer in single usermode herstart om zo roottoegang te krijgen. In de single usermode wordt vervolgens de ransomware gedownload en uitgevoerd. JungleSec versleutelt allerlei bestanden op het systeem en vraagt 1000 euro voor het ontsleutelen van de bestanden. Beheerders van servers met een IPMI-interface krijgen het advies om het standaardwachtwoord te wijzigen en de access control list (ACL) zo in te stellen dat alleen bepaalde ip-adressen toegang hebben. bron: security.nl

Er is een nieuwe versie van Firefox Focus voor Android verschenen die gebruikers meer controle over tracking en cookies geeft. Firefox Focus is een door Mozilla ontwikkelde mobiele browser die op privacy en snelheid is gericht. Standaard worden advertenties, trackers en trackingcookies geblokkeerd en is het mogelijk om met een druk op de knop alle gegevens van de browsesessie te wissen. De nieuwste versie biedt gebruikers de mogelijkheid om de trackingbescherming voor vertrouwde websites uit te schakelen. Dit kan worden gedaan via een whitelist. Ook kunnen gebruikers er nu voor kiezen om alleen third-party trackingcookies te blokkeren en wordt safe browsing ondersteund. Gebruikers krijgen een waarschuwing als ze een phishingsite of andere bekende gevaarlijke website bezoeken. Als laatste is het eenvoudiger gemaakt om url's aan de autocompletefunctie toe te voegen, zodat gebruikers bij een volgende keer niet de hele url hoeven in te tikken. Firefox Focus is beschikbaar voor zowel Android als iOS. De nieuwe features zijn op dit moment alleen in de Android-versie aanwezig, die te downloaden is via de website van Mozilla, GitHub en Google Play Store. bron: security.nl

De noodpatch die Microsoft vorige week uitbracht voor een actief aangevallen kwetsbaarheid in Internet Explorer zorgt bij sommige laptops voor problemen, zo heeft de softwaregigant bekendgemaakt. Via het beveiligingslek kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Voor alle ondersteunde Windows-versies bracht Microsoft buiten de vaste patchcyclus om een noodpatch uit. Na de installatie kan de noodpatch bij sommige Lenovo-laptops met minder dan 8GB werkgeheugen voor problemen zorgen, waardoor Windows niet meer opstart. Dat staat in een overzicht van bekende problemen die de update veroorzaakt. Om het euvel te verhelpen geeft Microsoft verschillende oplossingen, zoals het uitschakelen van Secure Boot en het daarna herstarten van de machine. In het geval BitLocker is ingeschakeld moeten gebruikers na het uitschakelen van Secure Boot eerst de BitLocker-recovery doorlopen. Microsoft meldt verder dat het met Lenovo samen aan een update werkt. Wanneer die gereed is laat de softwaregigant niet weten. bron: security.nl

Gebruikers van het op privacy gerichte besturingssysteem Tails krijgen volgend jaar de mogelijkheid om automatisch upgrades uit te laten voeren. Het is één van de maatregelen die de ontwikkelaars nemen om het gebruiksgemak van Tails te vergroten. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het wordt zo'n 20.000 keer per dag gebruikt, maar de ontwikkelaars willen het aantal gebruikers vergroten. Zo wordt er in januari een nieuw installatiemechanisme gelanceerd om de installatie van Tails op macOS te vereenvoudigen. Ook maakt dit mechanisme het eenvoudiger om Tails op Linux en Windows te gebruiken. Tevens zal het besturingssysteem Secure Boot ondersteunen. Een andere nieuwe maatregel om het gebruiksgemak te vergroten is dat het uitvoeren van handmatige upgrades niet meer noodzakelijk zal zijn. Gebruikers kunnen straks automatisch upgrades laten uitvoeren, behalve in het geval van grote upgrades naar een geheel nieuwe versie. De ontwikkelaars zijn verder van plan om ook een lichter en robuuster upgrademechanisme te gaan onderzoeken. Naast de technische maatregelen zal ook de website van Tails onderhanden worden genomen. Op deze manier willen de ontwikkelaars duidelijker aan nieuwe gebruikers maken wat Tails precies is en waarom ze het zouden moeten gebruiken. "Meer en meer mensen zullen Tails leren kennen en gebruiken om zichzelf te beschermen", zo stellen de ontwikkelaars in hun plannen voor 2019. bron: security.nl

Chrome-gebruikers zijn het doelwit van een nieuwe online scam die de processor 100 procent belast en niet via de gebruikersinterface van de browser is te sluiten. Het gaat om een zogeheten "browserlock" waarbij een kwaadaardige webpagina ervoor zorgt dat de browser niet meer reageert. De webpagina laat vervolgens weten dat de computer mogelijk door schadelijke virussen besmet is en er mogelijk belangrijke gegevens zoals wachtwoorden, creditcardgegevens en lokale bestanden zijn gestolen. Vervolgens wordt opgeroepen om het opgegeven telefoonnummer te bellen. Dit is het nummer van helpdeskfraudeurs die het slachtoffer proberen te laten betalen voor het oplossen van niet bestaande computerproblemen. Ook komt het voor dat helpdeskfraudeurs toegang tot de computer van het slachtoffer proberen te verkrijgen en zelf geld van de bankrekening stelen. De nu ontdekte scam maakt gebruik van een bug in Google, zo laat onderzoeker Jerome Segura van anti-malwarebedrijf Malwarebytes weten. Deze bug zorgt ervoor dat de browser via een JavaScript-loop vastloopt en de computer nog nauwelijks te gebruiken is. Gebruikers kunnen op dit moment alleen nog via Taakbeheer de browser sluiten. Het probleem is echter dat zodra gebruikers Chrome weer starten, de scampagina weer wordt geopend en de browser weer vastloopt. Dit kan worden voorkomen door Chrome geen eerder geopende pagina's te laten openen. Wanneer de scampagina met Firefox wordt geopend kunnen gebruikers de tab in kwestie wel gewoon sluiten, zo meldt Bleeping Computer. Wanneer Google de betreffende Chrome-bug zal verhelpen is nog niet bekend. Chrome-gebruikers kunnen bijvoorbeeld via malafide advertenties op de scampagina terechtkomen. bron: security.nl

Chrome OS, het besturingssysteem van Google dat voornamelijk voor goedkopere laptops wordt gebruikt, gaat de usb-poorten blokkeren wanneer het scherm is vergrendeld. Google heeft hiervoor een nieuwe feature ontwikkeld genaamd USBGuard. Dit moet gebruikers tegen verschillende soorten aanvallen beschermen waarbij wordt geprobeerd om via fysieke toegang tot de usb-poort gegevens te stelen of het apparaat over te nemen. Onderzoekers hebben in het verleden verschillende aanvallen via de usb-poort aangetoond, zoals BadUSB. Ook zijn er usb-apparaten beschikbaar, zoals de Rubber Ducky, om via de usb-poort gegevens van een systeem te stelen. Een aantal maanden geleden introduceerde Apple nog een nieuwe feature voor iOS genaamd USB Restricted Mode, die de Lightning-poort uitschakelt wanneer het langer dan een uur geleden is sinds het toestel is ontgrendeld of op een computer of andere accessoire is aangesloten. Gebruikers van Chrome OS krijgen waarschijnlijk wel een optie om vertrouwde usb-apparaten te whitelisten, zodat die ook nog steeds bij een vergrendeld scherm zijn te gebruiken. Daarnaast zouden al aangesloten usb-apparaten blijven werken, zo laat de website Chrome Story weten op basis van een nieuwe toevoeging aan de Chrome OS-code. Gebruikers van een testversie van Chrome OS kunnen USBGuard inschakelen door in de adresbalk "chrome://flags/#enable-usbguard" uit te voeren. Chrome OS is vooral binnen Amerikaanse onderwijsinstellingen erg populair, maar wint ook in de rest van de wereld terrein, zo blijkt uit cijfers van Futuresource. bron: security.nl

Meer dan 19.000 Livebox adsl-modems van internetprovider Orange lekken wifi-wachtwoorden en netwerknamen via internet. Dat meldt onderzoeker Troy Mursch op basis van eigen onderzoek. Mursch ontdekte het beveiligingslek nadat hij zag dat er actief naar deze wifi-wachtwoorden wordt gezocht. Een honeypot van de onderzoeker werd gescand, waardoor het voor Mursch duidelijk werd waar de aanvallers precies naar zochten. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen. Mursch voerde vervolgens zelf een scan uit op internet en vond 19.490 Livebox adsl-modems die wifi-wachtwoorden een ssid's in plaintext lekken. Veel van de gevonden modems die hun wifi-wachtwoord lekten bleken ditzelfde wachtwoord te gebruiken om het apparaat te beheren of maakten nog steeds gebruik van het standaardwachtwoord voor de beheerder. "Hierdoor kan elke willekeurige remote gebruiker eenvoudig toegang tot het apparaat krijgen en de instellingen of firmware aanpassen", aldus Mursch. Verder blijkt dat het mogelijk is om het telefoonnummer te achterhalen dat aan de modem is gekoppeld en andere aanvallen uit te voeren. De meeste kwetsbare modems zijn onderdeel van de Spaanse tak van Orange. Het Orange CERT Coordination Center heeft de bevindingen van Mursch bevestigd en is een onderzoek ingesteld. Tevens is er een CVE-nummer aan de kwetsbaarheid toegekend. Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. bron: security.nl