Captain Kirk

Europese mededingsautoriteiten zijn een onderzoek gestart naar het verzamelen en gebruiken van data door Google. Het gaat om een voorlopig onderzoek, zo laat de Europese Commissie aan persbureau Reuters weten. De toezichthouders kijken met name naar data die verband houdt met lokale zoekmachines, online advertenties, gerichte advertentiediensten, inlogdiensten, browsers en andere zaken. Met het vooronderzoek willen de toezichthouders duidelijk krijgen hoe en waarom Google precies data verzamelt. Google stelt in een verklaring dat het gegevens van gebruikers gebruikt om diensten te verbeteren en dat gebruikers controle over hun eigen data hebben. De afgelopen twee jaar heeft Margrethe Vestager, eurocommissaris Mededinging, Google wegens verschillende overtredingen meer dan 8 miljard euro aan boetes opgelegd. Alphabet, het moederbedrijf van Google, had in het derde kwartaal van dit jaar een omzet van 40,5 miljard dollar, met een winst van 7 miljard dollar. bron: security.nl

Ondanks tal van waarschuwingen voor juice jacking is het concrete risico van deze dreiging niet erg groot meer en zijn er nog geen daadwerkelijke aanvallen waargenomen, zo zegt de uitvinder van de techniek. Robert Lei was één van de mensen die acht jaar geleden bij hackerconferentie Def Con ter demonstratie een kwaadaardig usb-oplaadstation plaatste (pdf). Het station toonde aan mensen die hun telefoon aansloten een waarschuwing om dit niet te doen. Destijds was het mogelijk om via usb toegang tot de interne opslag van de telefoon te krijgen, zonder dat de eigenaar hier toestemming voor moest geven. Sindsdien hebben fabrikanten allerlei maatregelen getroffen om het risico van juice jacking te verkleinen, zo stelt Lei. Onlangs waarschuwden XS4ALL en de officier van justitie van Los Angeles nog voor juice jacking. De officier was echter niet met concrete gevallen bekend waarbij criminelen de techniek hadden ingezet. Ook Lei stelt dat er nog geen aanvallen met kwaadaardige usb-oplaadstations en juice jacking bekend zijn. "Eerlijk gezegd, op zerodays na of wanneer je telefoon zeer verouderd is, is het grootste risico dat aanvallers je scherm opnemen of zich als een USB HID (keyboard en muis) gedragen en commando's uitvoeren wanneer je je telefoon ontgrendelt", laat Lei weten. Toch raadt hij iedereen aan om niet zomaar een apparaat via een onbekende usb-kabel op te laden. Twee dagen geleden kwam het World Economic Forum nog met een waarschuwing voor de risico's van juice jakcing. bron: security.nl

Firefox gaat een universeel tracking-ID dat door de advertentie-industrie is bedacht blokkeren, zo laat Mozilla weten. Het plan van het Interactive Advertising Bureau (IAB), branchevereniging voor de advertentie-industrie, was om een universeel "pseudonymous user token" te ontwikkelen. Dit token/tracking-ID zou in normale first-party cookies van een website worden opgeslagen en door meerdere partijen aan de browserkant zijn uit te lezen. Door het gebruik van een universeel tracking-ID zou het aantal third-party requests op websites moeten worden verminderd. Op dit moment maken advertentie- en trackingbedrijven allemaal gebruik van hun eigen op cookies-gebaseerd trackingtoken (ID). "Om in real-time samen te werken moet elk bedrijf een uitgebreid systeem en processen bijhouden om de verschillende tokens van elk van hun partners te synchroniseren, voor elke consument, op elke browser op elk apparaat", aldus DigiTrust, de dienst die het 'universele tracking-ID' ontwikkelde en door IAB werd overgenomen. Normaliter gebeurt dit synchroniseren van tokens via "pixel of cookie syncing". Doordat zoveel bedrijven dit doen kunnen er zo meer dan honderd third-party requests op een website worden uitgevoerd, wat de pagina traag maakt. Met een universeel ID in een first-party cookie zou dit niet meer nodig zijn. Begin deze maand vroeg Apple WebKit-engineer John Wilander waarom Firefox het digitru.st-domain dat voor het universele tracking-ID wordt gebruikt niet als tracker beschouwt. Voor het blokkeren van trackers maakt Firefox gebruik van een lijst die door trackerblocker Disconnect wordt bijgehouden. Disconnect stelt dat DigiTrust in eerste instantie niet werd geblokkeerd omdat het gebruikers niet direct volgt. Aangezien het andere partijen in staat stelt om internetgebruikers te volgen is nu besloten om ook dit gedrag te blokkeren. Het resultaat is dat een toekomstige versie van Firefox het tracking-ID van DigiTrust zal blokkeren, zo laat een Mozilla-woordvoerder tegenover Digiday weten. Voor IAB komt de beslissing niet als een verrassing. "We weten dat er bepaalde bedrijven zijn die vinden dat tracking geen waarde voor consumenten heeft, ook niet als het wordt gebruikt in het communiceren van privacykeuzes", zegt Jordan Mitchell van IAB. bron: security.nl

Het Duitse testlab AV-Test heeft in september en oktober negentien virusscanners voor Windows 10 vergeleken en een groot deel van de beveiligingsoplossingen blijkt elkaar weinig te ontlopen. Elf van de negentien pakketten, waaronder twee gratis scanners, werden namelijk als "Top Product" bestempeld. De test richtte zich op beveiligingssoftware voor eindgebruikers. De antiviruspakketten werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 335 "zero-day" malware-exemplaren en 26.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 97 procent gehaald. De test met de 26.000 malware-exemplaren leverde een gemiddelde detectiescore van 99,9 procent op. Slechts vijf scanners, Bitdefender, Check Point, Kaspersky, Symantec en Trend Micro, scoren op beide onderdelen 100 procent. Protected.net zet voor de detectie van zero-day malware de laagste score neer (68 procent). Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Negen van de negentien pakketten scoren de maximale 6 punten. Check Point en Malwarebytes eindigen met elk 4,5 punten onderaan. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Vijftien van de negentien pakketten halen op dit onderdeel de maximale 6 punten. PC Matic is met 4 punten hekkensluiter. Uiteindelijk weten Bitdefender, Kaspersky en Symantec de maximale 18 punten te scoren, gevolgd door acht producten met 17,5 punten. Virusscanners met 17,5 of 18 punten worden door AV-Test als Top Product bestempeld. Het gaat onder andere om de gratis oplossingen van Avast en Microsoft. Microsofts Windows Defender zit daarbij standaard ingebouwd in Windows 10. Malwarebytes en Protected.net eindigen met respectievelijk 14,5 en 13,5 punten onderaan. bron: security.nl

Google heeft in drie maanden tijd 12.000 keer een waarschuwing gegeven voor phishingaanvallen die volgens het techbedrijf door of in opdracht van een staat zijn uitgevoerd. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. Inmiddels zou Google meer dan 270 groepen uit meer dan vijftig landen volgen die zich met dit soort aanvallen bezighouden. De 12.000 waarschuwingen werden van juli tot en met september dit jaar naar Gmail-gebruikers in 149 landen gestuurd. Het aantal verstuurde waarschuwingen in deze periode is gelijk aan het aantal waarschuwingen dat in dezelfde periode in 2017 en 2018 werd gegeven. De meeste waarschuwingen waren voor gebruikers in de Verenigde Staten en Pakistan. Bij meer dan 90 procent van de aanvallen werd geprobeerd om de inloggegevens van het Gmail-account te stelen. Het gaat dan bijvoorbeeld om phishingmails met waarschuwingen die zogenaamd van Google afkomstig zijn en de gebruiker vragen om zijn of haar account te beveiligen. Gebruikers worden vervolgens naar een phishingsite geleid die om hun inloggegevens vraagt, alsmede beveiligingscode als ze tweefactorauthenticatie hebben ingeschakeld. Met deze gegevens kan de aanvaller toegang tot het account krijgen. Androidmalware Naast phishingaanvallen heeft Google ook verschillende aanvallen gezien waarbij aanvallers van Androidmalware gebruikmaakten. De aanvallers maakten in eerste instantie gebruik van eigen accounts om besmette versies van legitieme apps naar de Google Play Store te uploaden. Vorig jaar besloten de aanvallers de accounts van legitieme app-ontwikkelaars te kapen. Vervolgens probeerden de aanvallers via een gecompromitteerd ontwikkelaarsaccount malware in de Play Store te krijgen, maar dit werd door Google ontdekt. Het techbedrijf hoopt in de toekomst meer details te geven over de aanvallen die het detecteert en stopt. "Het is onze hoop dat door meer licht op deze aanvallers te schijnen, het de securitygemeenschap helpt om toekomstige aanvallen te stoppen en het tot meer bewustzijn en bescherming zal leiden voor gebruikers die doelwit zijn", aldus Shane Huntley van Googles Threat Analysis Group.

De onder securityprofessionals populaire Linux-distributie Kali Linux heeft de vierde en laatste update van dit jaar gekregen en de grootste verandering is een nieuwe desktopomgeving. Kali Linux is ontwikkeld voor digital forensics en penetratietesting. Het wordt beheerd en gefinancierd door securitybedrijf Offensive Security. De distributie beschikt over honderden tools voor het uitvoeren van penetratietests, security audits en digitaal forensisch onderzoek. Voorheen maakte Kali Linux altijd gebruik van de Gnome-desktopomgeving. De vele features die Gnome biedt zorgden echter voor overhead en prestatieproblemen, aldus de Kali-ontwikkelaars. Ze zochten dan ook naar een snellere desktopomgeving die alleen doet waarvoor die is bedoeld. Voor de meest Kali-gebruikers is Gnome namelijk overkill, zo stellen de ontwikkelaars. Daarnaast moest de omgeving een frisse, nieuwe en moderne uitstraling hebben en op alle soorten hardware dezelfde gebruikersinterface bieden. Er werd uiteindelijk gekozen voor een nieuw theme gebaseerd op Xfce, een lichtgewicht grafische gebruikersomgeving. "De oplossing die we hebben gekozen is lichtgewicht en kan op alle Kali-installaties draaien", aldus de ontwikkelaars, die tevens stellen dat gebruikers met Xfce eenvoudig uit de voeten kunnen, het functioneel is en er goed uitziet. Voor "aanhangers" van Gnome is er echter nog steeds een Gnome-build beschikbaar. Naast de nieuwe desktopomgeving is ook NetHunter Kex toegevoegd. Hiermee is het mogelijk om Kali vanaf een Androidtelefoon te draaien en via HDMI en bluetooth-keyboard als volwaardige desktop te gebruiken. De ontwikkelaars stellen dat met een telefoon die krachtig genoeg is het gebruik van NetHunter Kex te vergelijken is met een draagbare ARM-desktop. Tevens is Kali Linux 2019.4 de laatste release die 8GB sd-kaarten op ARM-systemen ondersteunt. Vanaf volgend jaar is er minimaal een 16GB sd-kaart vereist. bron: security.nl

Het afgelopen jaar zijn tienduizenden computers met een cryptominer besmet geraakt omdat gebruikers illegale software hadden gedownload, zo stelt Microsoft in een nieuwe analyse. De cryptominer gebruikte de rekenkracht van de computer om cryptovaluta te delven. In juni van dit jaar werd de Dexphot-malware, die de uiteindelijke cryptominer op het systeem installeerde, op 80.000 computers waargenomen. Dexphot wordt weer door een ander programma geïnstalleerd dat Microsoft de naam "SoftwareBundler:Win32/ICLoader" heeft gegeven. Het gaat om kwaadaardige software die via websites wordt verspreid waar gebruikers cracks kunnen downloaden om zonder te betalen programma's te activeren en te gebruiken. Naast de crack installeert ICLoader ook ongewenste software. Het gaat dan niet alleen om de Dexphot-malware, maar ook andere malware, waaronder de Neobar-adware die allerlei browserinstellingen aanpast. Na het hoogtepunt in juni is het aantal infecties met Dexphot zoals door Microsoft waargenomen sterk gedaald. bron: security.nl

Een fout in verschillende SAS SSD-schijven van Hewlett Packard Enterprise (HPE) zorgen ervoor dat die precies na 32.768 uur onherstelbaar defect raken en alle data op de schijf verloren gaat, zo waarschuwt het techbedrijf, dat een firmware-upgrade beschikbaar heeft gemaakt. Vanwege de ernst van de situatie adviseert HPE de upgrade meteen te installeren. "Het niet updaten van de SSD-firmware zorgt ervoor dat de schijf na 32.768 uur in gebruik te zijn geweest defect raakt en er dataverlies plaatsvindt", aldus HPE, dat opmerkt dat gegevens vervolgens alleen via een back-up zijn te herstellen. "Nadat de SSD stopt met werken zijn zowel de SSD als de data niet te herstellen. Daarnaast zullen SSD's die tegelijkertijd in gebruik zijn genomen waarschijnlijk gelijktijdig defect raken." 32.768 uur komt neer op 3 jaar, 270 dagen en 8 uur. HPE werd door een niet nader genoemde SSD-fabrikant over het probleem geïnformeerd. Via de Smart Storage Administrator-applicatie kunnen beheerders controleren hoe lang de schijven al in gebruik zijn. De SAS SSD-schijven worden in verschillende HPE-servers en -opslagproducten gebruikt, waaronder HPE ProLiant, Synergy, Apollo, JBOD D3***, D6***, D8***, MSA, StoreVirtual 4335 en StoreVirtual 3200. Beheerders krijgen het advies om de HPD8-firmware meteen te installeren. Voor sommige modellen verschijnt de update pas in de week van 9 december. HPE stelt dat vanwege de aard van het probleem deze schijven niet voor het verschijnen van de update hierdoor defect zullen raken. bron: security.nl

Hoewel het marktaandeel van Internet Explorer steeds verder afneemt blijft de browser een doelwit van cybercriminelen die gebruikers via oude kwetsbaarheden en besmette advertenties met malware proberen te infecteren. Securitybedrijf Malwarebytes maakte een overzicht van de exploitkits die op dit moment door besmette advertenties en kwaadaardige websites worden gebruikt. Exploitkits maken gebruik van kwetsbaarheden in browsers en plug-ins om internetgebruikers volautomatisch met malware te infecteren. Alleen het bezoeken van een malafide website of het te zien krijgen van een besmette advertentie is voldoende. Bij recente campagnes in het derde kwartaal werden met name besmette advertenties op pornosites gebruikt, aldus het securitybedrijf. Jarenlang waren exploitkits een voorname reden waardoor internetgebruikers met malware besmet raakten. De populariteit van exploitkits onder cybercriminelen is de laatste tijd echter afgenomen, hoewel ze nog steeds in gebruik zijn. Wat opvalt is dat twee oude beveiligingslekken in Internet Explorer en Adobe Flash Player het meestgebruikt zijn. De kwetsbaarheid in IE werd op 8 mei 2018 door Microsoft gepatcht (CVE-2018-8174). Voor de kwetsbaarheid in Flash Player verscheen vorig jaar december een update (CVE-2018-15982). De ontwikkelaars van de populaire RIG-exploitkit hebben inmiddels besloten om Flash-exploits niet langer te gebruiken en zich alleen op het eerder genoemde IE-lek te richten. Ook andere exploitkits hebben Flash Player laten vallen, zo laat Malwarebytes weten. "Het is interessant om te zien dat exploitkits er nog steeds zijn, ondanks het gebruik van oude kwetsbaarheden en een afnemend aantal gebruikers van Internet Explorer en Flash Player", zegt onderzoeker Jerome Segura. Volgens StatCounter surft bijna 5 procent van de Nederlanders op de desktop nog met IE. bron: security.nl

De beruchte TrickBot-malware die de afgelopen maanden voor meerdere grootschalige ransomware-uitbraken verantwoordelijk was lijkt zich op te maken voor het stelen van OpenVPN-wachtwoorden en OpenSSH-keys. Dat meldt securitybedrijf Palo Alto Networks in een analyse. TrickbBot is een veelzijdige malwarefamilie die gegevens voor internetbankieren en allerlei andere wachtwoorden kan stelen, alsmede in staat is om aanvullende malware te installeren. Dit jaar kregen meerdere organisaties met de Ryuk-ransomware te maken die door TrickBot was geïnstalleerd. TrickBot weet zich op twee manieren te verspreiden. De eerste manier is het gebruik van kwaadaardige macro's in Microsoft Office-documenten die naar organisaties worden gemaild. Bij de tweede manier wordt TrickBot geïnstalleerd door de Emotet-malware, die zich ook via kwaadaardige macro's verspreidt. Het was al bekend dat TrickBot bijvoorbeeld wachtwoorden voor Outlook, RDP, VNC en PuTTY buitmaakte. Bij een recent ontdekte versie bleek de module voor het stelen van wachtwoorden te zijn aangepast. De module probeert nu ook private keys voor OpenSSH en OpenVPN-wachtwoorden/configuraties te stelen. De aanpassing lijkt nog niet functioneel te zijn, aangezien onderzoekers niet zagen dat de private keys en wachtwoorden ook daadwerkelijk werden buitgemaakt. Wel steelt TrickBot wachtwoorden en private keys die binnen de SSH/Telnet-client PuTTY worden gebruikt. Mocht de nieuwe functionaliteit wel naar behoren gaan werken kan dit een bijkomend probleem voor organisaties zijn. De makers van TrickBot hebben laten zien dat ze zeer succesvol zijn in het infecteren van organisaties. Door het stelen van OpenVPN-wachtwoorden en OpenSSH-keys zouden de aanvallers op andere manieren dan de malware zelf toegang tot een organisatie kunnen krijgen of behouden. bron: security.nl

Mozilla is van plan om vanaf volgend jaar januari standaard fingerprinters in Firefox te gaan blokkeren, om zo de privacy van gebruikers te beschermen. Dat laat de browserontwikkelaar op het eigen Bugzilla-platform weten. Via fingerprinting is het mogelijk voor advertentiebedrijven en webtrackers om internetgebruikers zonder het gebruik van cookies op het web te volgen. Hiervoor wordt er een "digitale vingerafdruk" van het systeem van de internetgebruiker gemaakt, gebaseerd op geïnstalleerde software, instellingen en andere zaken. Het gaat dan bijvoorbeeld om zaken als geïnstalleerde fonts, plug-ins, browser, tijdzone en schermresolutie. Deze informatie kan per gebruiker verschillen, waardoor het mogelijk is om een uniek profiel te maken waarmee gebruikers op het web zijn te volgen. Fingerprinting is in strijd met het antitrackingbeleid van Mozilla, dat stelt dat browserfeatures niet mogen worden gebruikt voor het genereren van een tracking-id. Firefox beschikt al enige maanden over een optie voor het blokkeren van fingerprintingscripts. Gebruikers moeten deze optie echter zelf inschakelen. Met de lancering van Firefox 72 wil Mozilla het blokkeren van fingerprinters standaard gaan inschakelen. Firefox 72 staat gepland voor 7 januari 2020. bron: security.nl

Nu verschillende browsers standaard het gebruik van third-party trackingcookies blokkeren zetten trackingbedrijven in op het gebruik van first-party trackers om internetgebruikers te volgen. Er zijn op dit moment al zes grote trackingbedrijven die deze tactiek toepassen, zo meldt dns-provider NextDNS. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website waren van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Safari en Firefox besloten daarop om third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken. De werkwijze wordt "dns delegation", "dns aliasing" of "cname cloaking" genoemd. Volgens NextDNS is het zeer schadelijk, omdat internetgebruikers op deze manier toch zijn te volgen. Door het gebruik van fingerprinting, waarbij er aan de hand van het systeem van de gebruiker een uniek profiel wordt aangemaakt, zijn gebruikers vervolgens toch door een trackingbedrijf op meerdere websites te identificeren. NextDNS stelt dat er op dit moment zes trackingbedrijven zijn die met first-party trackers werken. Het gaat om Adobe Marketing Cloud, Criteo, Commanders Act, Eulerian, At Internet en Keyade. Grote websites zoals foxnews.com, walmart.com, bbc.co.uk, washingtonpost.com, weather.com en cnn.com maken gebruik van dergelijke trackers. Inmiddels kan de uBlock Origin-extensie voor Firefox first-party trackers detecteren en blokkeren. De oplossing is echter alleen beschikbaar voor Firefox en kan voor het trager laden van websites zorgen, aldus NextDNS. bron: security.nl

De afgelopen jaren zijn tal van grote datalekken gevonden via Shodan, een zoekmachine voor Internet of Things en andere op het internet aangesloten apparaten die gisteren zijn tiende verjaardag vierde. Net als Google websites indexeert, indexeert Shodan allerlei soorten systemen die via internet zijn te vinden. De zoekmachine werd op 23 november 2009 gelanceerd door ontwikkelaar John Matherly, die het project als een hobby begon, maar inmiddels een compleet bedrijf rond Shodan heeft opgebouwd. Shodan kijkt naar meer dan 1500 poorten om openstaande en publiek toegankelijke systemen op het internet te vinden. De zoekmachine heeft meer dan 3 miljoen gebruikers, die Shodan gebruiken om 27 miljoen ip-adressen te monitoren. Organisaties kunnen de zoekmachine namelijk ook gebruiken om hun eigen ip-adressen te controleren. "De use cases voor Shodan zijn toegenomen nu steeds meer apparaten op internet worden aangesloten", stelt Matherly. De afgelopen jaren wisten onderzoekers via de zoekmachine tal van onbeveiligde servers en databases te vinden. Zo werd afgelopen vrijdag bekend dat onderzoekers op een server de gegevens van 1,2 miljard mensen hadden aangetroffen. De server werd mede via Shodan ontdekt en ook een database van marketingbedrijf Exactis met 340 miljoen records werd met behulp van de zoekmachine gevonden. Ook bij het zoeken naar SCADA-systemen die binnen de vitale infrastructuur worden gebruikt, en soms onbedoeld via internet toegankelijk zijn, speelt Shodan een belangrijke rol. bron: security.nl

Een kwetsbaarheid in Windows waarvoor op 14 mei een beveiligingsupdate verscheen is niet gebruikt om de Dopplepaymer-ransomware te verspreiden, zo heeft Microsoft laten weten in een reactie op geruchten die rondgingen op Twitter. Begin november raakte de Spaanse it-dienstverlener Everis besmet met de Dopplepaymer-ransomware. Op Twitter gingen vervolgens geruchten rond dat aanvallers het BlueKeep-lek en Microsoft Teams hadden gebruikt om de ransomware te verspreiden. Beveiligingsonderzoeker Kevin Beaumont ontkrachtte deze geruchten al op 5 november. Microsoft zag zich gisteren genoodzaakt om zelf met een verklaring te komen waarin het de geruchten ontkracht. Volgens de softwaregigant maakten de aanvallers gebruik van bestaande domeinbeheerderwachtwoorden om zich binnen het bedrijfsnetwerk te bewegen en machines te infecteren. Infecties door ransomware vinden vaak plaats via social engineering, gaat Microsoft verder. Werknemers worden verleid om besmette websites te bezoeken of besmette documenten of andere e-mailbijlagen te openen. Om te voorkomen dat aanvallers beveiligingstools uitschakelen en data weten te versleutelen is het essentieel dat systeembeheerders goed wachtwoordbeleid handhaven, met verminderde rechten werken en netwerksegmentatie toepassen, aldus het advies van het techbedrijf. Het BlueKeep-lek is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Onlangs werd bekend dat aanvallers de kwetsbaarheid gebruiken om computers met een cryptominer te infecteren. bron: security.nl

Een beveiligingslek in Windows User Account Control (UAC) maakt het mogelijk voor gasten of aanvallers die toegang tot een systeem hebben om systeemrechten te krijgen en de kwetsbaarheid is zeer eenvoudig uit te buiten. Microsoft rolde op 12 november een beveiligingsupdate voor het probleem uit, waarvan nu de details openbaar zijn gemaakt. UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als er iets in het systeem wordt aangepast. De UAC-pop-up biedt niet veel mogelijkheden, behalve het invoeren van het beheerderswachtwoord of het sluiten van het venster. Daarnaast is het mogelijk om in het geval van een gesigneerd bestand de details te bekijken. Microsoft was vergeten om in de UAC-versie van het certificaatdialoogmenu hyperlinks uit te schakelen. In het geval van een gesigneerd bestand was het daardoor mogelijk om de link van de certificaatuitgever aan te klikken. De browser werd in dit geval vanuit een proces gestart dat systeemrechten heeft. Vervolgens was het mogelijk om bijvoorbeeld cmd.exe te starten. Op deze manier had de aanvaller eenvoudig zelf systeemrechten kunnen krijgen. Het probleem speelde bij alle ondersteunde Windowsversies. Enige voorwaarde is wel dat de aanvaller toegang tot het systeem heeft. Er zijn echter organisaties die systemen aanbieden waarop bijvoorbeeld gasten kunnen inloggen. Via deze truc zou een gast eenvoudig zijn rechten kunnen verhogen en controle over het systeem krijgen. Beveiligingsonderzoeker Simon Zuckerbraun van het Zero Day Initiative omschrijft het beveiligingslek als een "klassieker". Zuckerbraun heeft daarnaast kritiek op de beoordeling van Microsoft. Volgens de softwaregigant is misbruik van de kwetsbaarheid "onwaarschijnlijk", maar daar is de onderzoeker het niet mee eens, aangezien het beveiligingslek zeer eenvoudig is uit te buiten. bron: security.nl

E-mail is veruit de favoriete aanvalsvector van criminelen, die met name van rar- en zip-bestanden gebruikmaken om internetgebruikers met malware te infecteren, zo claimt securitybedrijf Group-IB aan de hand van gegevens die uit meer dan zestig landen afkomstig zijn. Nagenoeg alle malware die het securitybedrijf in de eerste helft van dit jaar waarnam kwam binnen via e-mail. 71 procent van de kwaadaardige e-mails bevat een besmette bijlage, terwijl de resterende 29 procent een link naar de malware bevat. Wanneer cybercriminelen een besmette e-mailbijlage versturen is het meestal een archiefbestand. Meer dan tachtig procent van alle besmette bijlages valt in deze bestandscategorie. Een stijging van zo'n zeven procent ten opzichte van 2018. Bij malafide archiefbestanden gaat het in de meeste gevallen om zip- en rar-bestanden, met een aandeel van respectievelijk 32 en 25 procent. Volgens Group-IB proberen aanvallers op deze manier de beveiligingssystemen van organisaties te omzeilen. Na het gebruik van archiefbestanden volgen Microsoft Office-bestanden met een kleine twintig procent. Verder laten de cijfers van Group-IB zien dat ransomware weer met een opmars bezig is. 54 procent van alle malware die in de eerste helft van 2019 via e-mail werd verspreid was ransomware. Een jaar geleden was dat nog 14 procent, aldus het securitybedrijf. bron: security.nl

Volgend jaar april zal Adobe stoppen met het ondersteunen van de pdf-lezers Acrobat 2015 en Reader 2015, zo heeft het softwarebedrijf in een blogposting aangekondigd. Beveiligingslekken in de programma's zullen dan niet meer worden verholpen. "Je kunt Acrobat 2015 en Reader 2015 blijven gebruiken, maar Adobe biedt geen updates meer om bestaande bugs en beveiligingsproblemen te verhelpen. Vanwege dit wordt ten zeerste aangeraden om naar de laatste versies van Adobe Acrobat DC en Adobe Acrobat Reader DC te updaten", aldus de aankondiging. Gebruikers weten zo dat ze beveiligingsupdates blijven ontvangen. Ook de technische ondersteuning van beide pdf-lezers wordt op 7 april 2020 gestopt. De afgelopen jaren zijn er meer dan drieduizend beveiligingslekken in Adobe Acrobat ontdekt, zo blijkt uit cijfers van CVE-Details. Dit jaar staat de teller al op 441 kwetsbaarheden. Vorige maand werden er bij de laatste updateronde nog 67 beveiligingslekken gepatcht. bron: security.nl

Onderzoekers hebben malware ontdekt die via ARJ-bestanden wordt verspreid en wachtwoorden uit meer dan 70 programma's steelt, waaronder 39 verschillende browsers. Cybercriminelen versturen het ARJ-bestand via e-mail naar hun doelwitten. Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. "We zien vaak dat aanvallers oude archiveringsformaten gebruiken, in de hoop om oude e-mail security gateways te omzeilen", zegt Holger Unterbrink van Cisco. Het ARJ-bestand bevat weer een EXE-bestand dat de uiteindelijke malware installeert. Het gaat om de Agent Tesla-malware die ontwikkeld is om wachtwoorden van besmette systemen te stelen. De malware kan uit meer dan 70 programma's wachtwoorden stelen. Het gaat onder andere om 39 browsers zoals Chrome en Firefox, e-mailclients zoals Outlook en Thunderbird, ssh/sftp/ftp-clients, chatprogramma's en verschillende Windowslocaties. Gestolen inloggegevens worden vervolgens via e-mail naar de aanvaller gestuurd. bron: security.nl

Een zerodaylek in de virtualisatieoplossing VMware ESXi maakt het mogelijk voor een aanvaller om uit de virtual machine te breken en het host-systeem over te nemen. Een beveiligingsupdate voor de kwetsbaarheid die gisteren tijdens de Tianfu Cup in China werd gedemonstreerd is nog niet beschikbaar. De Tianfu Cup beloont onderzoekers voor het demonstreren van onbekende kwetsbaarheden. Het evenement vond dit jaar plaats in het Chinese Chengdu. Tijdens de eerste dag lieten onderzoekers al verschillende zerodaylekken in Microsoft Edge, Google Chrome en Apple Safari zien. De tweede dag leverde onder andere een succesvolle aanval tegen VMware ESXi op. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Een beveiligingslek in de oplossing maakt het mogelijk voor een aanvaller om uit het gevirtualiseerde systeem te ontsnappen en het onderliggende hostsysteem over te nemen. Voor de aanval ontving team 360Vulcan een beloning van 200.000 dollar. Tijdens het tweedaagse evenement werd er in totaal een bedrag van 545.000 dollar aan beloningen uitgekeerd, wat de waarde van het ESXi-lek aangeeft. De kwetsbaarheid is met VMware gedeeld zodat het bedrijf een patch kan ontwikkelen. Wanneer de update zal verschijnen is nog niet bekend. Dat de veiligheid van routers te wensen overlaat werd ook tijdens de Tianfu Cup duidelijk. Maar liefst negen verschillende teams slaagden erin om de D-Link DIR-878 vanaf het lokale netwerk te compromitteren. De onderzoeksteams ontvingen hiervoor elk 5.000 dollar. bron: security.nl

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen. De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden. De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd. Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen. Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend. bron: security.nl

Onderzoekers van antivirusbedrijf AhnLab hebben een nieuw ransomware-exemplaar ontdekt dat geen bestanden op de c-schijf van besmette systemen versleutelt, maar wel op de d-schijf en verdere schijven, alsmede usb-sticks en gekoppelde netwerkschijven. De ransomware wordt AnteFrigus genoemd en via besmette advertenties verspreid. Deze advertenties maken misbruik van een oud beveiligingslek in Internet Explorer en een oud beveiligingslek in Adobe Flash Player. Voor de IE-kwetsbaarheid verscheen vorig jaar mei een beveiligingsupdate van Microsoft. Het Flash Player-lek werd op 6 februari 2018 gepatcht. Alleen systemen die al meer dan een jaar geen patches voor Windows of Flash Player hebben geïnstalleerd lopen dan ook risico. Waarom de ransomware de c-schijf negeert, waar vaak de documenten van de gebruiker zijn opgeslagen, is onbekend. Beveiligingsonderzoeker Vitali Kremez laat tegenover Bleeping Computer weten dat de malware zich mogelijk nog in de testfase bevindt. Slachtoffers moeten voor het ontsleutelen van hun bestanden zo'n 2.000 dollar betalen. Een bedrag dat na vier dagen wordt verdubbeld naar 4.000 dollar. bron: security.nl

Aanvallers slagen er nog altijd in om WordPress- en Magento-sites via een oud beveiligingslek in Adminer over te nemen en van kwaadaardige code te voorzien die bezoekers naar malafide websites doorstuurt. Dat laat securitybedrijf Sucuri in een analyse weten. Adminer is een populaire tool voor het beheren van MySQL- en PostgreSQL-databases. Een oude kwetsbaarheid in Adminer maakt het mogelijk voor aanvallers om bestanden op de server te lezen. Zo is het bijvoorbeeld mogelijk om bestanden uit te lezen die inloggegevens voor de database bevatten. Met deze gegevens kan de website worden overgenomen en aangepast. Om de aanval uit te voeren moet de aanvaller Adminer-bestanden vinden die zich in de root-directory van de website bevinden en door de beheerder zijn achtergelaten. Vervolgens gebruikt de aanvaller deze bestanden om verbinding met een database op hun eigen server te maken, in plaats van de lokale database van de website. Zodra de verbinding is opgezet kan de aanvaller de inhoud van lokale bestanden op de server uitlezen. Sinds juni 2018 is er een update voor de Adminer-kwetsbaarheid beschikbaar. Toch zijn er nog altijd websites die verouderde Adminer-versies draaien en de bestanden in publiek toegankelijke directories hebben achtergelaten. Sucuri ontdekte onlangs een nieuwe aanvalscampagne waarbij WordPress- en Magento-sites via verouderde Adminer-installaties worden overgenomen. Aanvallers voegen vervolgens kwaadaardige code toe die bezoekers automatisch doorstuurt naar malafide websites. Het gaat dan bijvoorbeeld om helpdeskfraude, malafide browsermeldingen en zogenaamd gewonnen geldprijzen. In het geval van WordPress-sites maken de aanvallers ook een beheerder aan en installeren een plug-in waarmee ze willekeurige php-code op de website kunnen uitvoeren. Beheerders krijgen dan ook het advies om Adminer-bestanden niet voor het publiek achter te laten en na gebruik te verwijderen. In het geval de website al is gecompromitteerd moeten er verschillende stappen worden genomen, zoals het verwijderen van het Adminer-script en wijzigen van het database-wachtwoord. "Ironisch genoeg is het gebruik van de Adminer-tool één van de manieren om dit te doen", zegt onderzoeker Denis Sinegubko, die adviseert om in dit geval wel de laatste versie te gebruiken en na het beheer de Adminer-scripts te verwijderen. bron: security.nl

Vandaag is versie 1.0 van de Brave-browser gelanceerd, die gebruikers een snellere browse-ervaring en het einde van surveillancekapitalisme belooft. Brave biedt naar eigen zeggen allerlei privacyfeatures die in andere browsers ontbreken. Aan de andere kant is het op een advertentieplatform gebouwd. De browser biedt Basic Attention Tokens (BAT), die gebruikers kunnen verkrijgen door naar advertenties te kijken. Deze "Brave Ads" bestaan uit privacyvriendelijke advertenties, aldus de browserontwikkelaar. Gebruikers kunnen de verzamelde BAT weer aan allerlei websites doneren. De browser beschikt daarnaast over een adblocker om trackers en advertenties te blokkeren. "Het internet is stuk en gebruikers lijden er het meest onder. Ze worden gevolgd, getagd en geëxploiteerd", zegt Brendan Eich, ceo van Brave en medeoprichter van Mozilla. "Surveillancekapitalisme heeft het web te lang geplaagd en we hebben het punt bereikt waar privacy-by-default niet langer leuk is om te hebben, maar een must-have. Gebruikers, adverteerders en uitgevers zijn het zat en Brave is het antwoord." Volgens Eich stelt Brave de privacy van gebruikers centraal. De browser zou 8,7 miljoen maandelijkse gebruikers hebben. bron: security.nl

Onderzoekers van de Vrije Universiteit (VU) Amsterdam hebben een "nieuwe" aanval tegen Intel-processors onthuld waardoor het mogelijk is om allerlei gevoelige informatie zoals wachtwoordhashes van systemen te stelen (pdf). Intel heeft gisteren een beveiligingsupdate voor het lek uitgebracht. In mei van dit jaar demonstreerden onderzoekers van de VU en het Helmholtz Center for Information Security (CISPA) de RIDL-aanval. RIDL staat voor Rogue In-Flight Data Load en is een Microarchitectural Data Sampling (MDS) sidechannel-aanval. In tegenstelling tot eerdere sidechannel-aanvallen zoals Meltdown en Spectre is het met RIDL mogelijk om willekeurige "in-flight" data uit de interne cpu-buffers te lezen. Het probleem raakt zowel thuisgebruikers als virtual hosting- en cloudomgevingen. Door thuisgebruikers kwaadaardige JavaScript-code te laten laden, bijvoorbeeld via een advertentie of kwaadaardige website, is het mogelijk om data van het systeem te stelen. In een cloudomgeving kan een aanvaller, als twee gebruikers dezelfde processor-core delen, via zijn virtuele machine informatie uit de andere virtual machine stelen. De onderzoekers waarschuwden Intel, dat in mei met beveiligingsupdates kwam. "Helaas miste Intel onze ingezonden proof-of-concept exploits (PoCs), waardoor de originele MDS-mitigatie die in mei verscheen RIDL slechts gedeeltelijk verhelpt", zo laten de onderzoekers nu weten. RIDL-aanvallen waren daardoor nog steeds mogelijk, ook al dachten gebruikers dat ze na het installeren van de update beschermd waren. Op verzoek van Intel besloten de onderzoekers dan ook niet alle informatie over RIDL vrij te geven. In een uitleg op MDSattacks.com geven de onderzoekers nu meer details over de aanval en communicatie met Intel. Vorig jaar september stuurden ze verschillende demonstratie-exploits voor verschillende RIDL-varianten naar Intel, maar kregen geen technische feedback of vragen van de chipgigant. Wel liet Intel weten dat het aan een oplossing werkte. "Vanwege een gebrek aan transparantie aan de kant van Intel, kregen we op 10 mei 2019, vier dagen voor de openbaarmaking, een volledig beeld van Intels MDS-plannen", aldus de onderzoekers. Die wisten op 11 mei via internet de microcode-updates van Intel te vinden en besloten die te testen. Daaruit bleek dat de updates de gerapporteerde kwetsbaarheden niet volledig verhielpen. De onderzoekers waarschuwden Intel dat vervolgens vroeg om informatie over de onopgeloste RIDL-problemen pas op 12 november te openbaren. In juli bleek dat Intel de proof-of-concept exploits had gemist, wat verklaarde waarom de eerder uitgebrachte update onvolledig was. Hoewel Intel nu met een update voor de verschillende aanvallen van de onderzoekers is gekomen, stellen die dat het onderliggende probleem niet is verholpen. RIDL-achtige kwetsbaarheden zullen dan ook niet op korte termijn verdwijnen, zo verwachten ze. "We maken ons met name zorgen over Intels mitigatieplan dat PoC-georienteerd is, met een compleet gebrek aan security-engineering en zonder het onderliggende probleem te onderzoeken, waarbij kleine variaties in proof-of-concept exploits tot nieuwe embargo's leiden, en deze "nieuwe" kwetsbaarheden gedurende lange tijd niet verholpen worden", zo stellen ze. De onderzoekers voegen toe dat er helaas nog onvoldoende druk vanuit het publiek en industrie is, en er dan ook weinig aanleiding voor Intel is om te veranderen. "En blijft het publiek met een vals gevoel van veiligheid achter. Het opleggen van het ene na het andere lange embargo en het niet openbaar maken van kwetsbaarheden waar te veel mensen van afweten is nog steeds een levensvatbare strategie", besluiten de onderzoekers. In onderstaande video laten de onderzoekers zien hoe ze binnen dertig seconden de volledige rootwachtwoordhash van het /etc/shadow bestand op Linux kunnen achterhalen. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van november een ernstig beveiligingslek in Internet Explorer gedicht dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was. Alleen het bezoeken van een malafide of gecompromitteerde website was voldoende om aanvallers volledige controle over het systeem te geven. Er was geen verdere interactie van gebruikers vereist. Microsoft bedankt twee onderzoekers van Google, een anonieme beveiligingsonderzoeker die de kwetsbaarheid via een beloningsprogramma meldde en securitybedrijf Resecurity voor het rapporteren van het zerodaylek. Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet. In totaal patchte Microsoft gisterenavond 74 kwetsbaarheden waarvan er inclusief het aangevallen IE-lek 13 als ernstig zijn bestempeld. Deze beveiligingslekken bevinden zich onder andere in Microsoft Exchange, Edge, Hyper-V, de Windows font library en Windows Media Foundation. Om het Exchange-lek te misbruiken moet een aanvaller een gebruik een cmdlets via PowerShell laten uitvoeren. "Hoewel dit een onwaarschijnlijk scenario lijkt, is er slechts één gebruiker nodig om de server te compromitteren", zegt Dustin Childs van het Zero Day Initiative. De kwetsbaarheid in de font library deed zich voor bij het verwerken van speciaal geprepareerde embedded fonts. Het bezoeken van een malafide website was voldoende om aanvallers kwetsbare machines met Windows 7 en Server 2008 te laten overnemen. De 61 andere kwetsbaarheden kregen van Microsoft het label "Belangrijk" en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen, spoofing-aanvallen uit te voeren, securityfeatures te omzeilen, informatie te achterhalen en met meer interactie van gebruikers code uit te voeren. Voor Windows, IE, Edge (EdgeHTML-based) , ChakraCore Microsoft Office en Microsoft Office Services en Web Apps, Exchange Server Visual Studio en Azure Stack zijn beveiligingsupdates verschenen. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl