Captain Kirk

Onderzoekers hebben in de bootloader van de Siemens S7-1200 PLC een ongedocumenteerde feature ontdekt waardoor een aanvaller met fysieke toegang code in de PLC kan uitvoeren. PLC's (programmable logic controllers) worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen. Siemens is een vooraanstaande leverancier van PLC's en de S7 PLC-serie behoort tot één van de meest gebruikte PCL's in de industrie. De beruchte Stuxnet-malware richtte zich op Siemens PLC's die in de Iraanse uraniumverrijkingscentrale van Natanz werden gebruikt. De afgelopen jaren heeft Siemens verschillende beveiligingsmaatregelen aan de eigen PLC's toegevoegd. Het gaat onder andere om het controleren van de integriteit van de firmware tijdens het opstarten. Dit gebeurt via een aparte bootloader die in een aparte SPI-flashchip aanwezig is. De firmware van deze chip is niet via de website van Siemens verkrijgbaar. Onderzoekers Ali Abbasi, Tobias Scharnowski en Thorsten Holz van Ruhr-University Bochum ontdekten in deze bootloader een ongedocumenteerde 'special access feature'. Deze feature is te activeren door binnen de eerste halve seconde tijdens het opstarten via de UART-interface een speciaal commando te versturen. Via de feature kan er tijdens het opstarten naar het geheugen worden geschreven en is het mogelijk om code in de PLC uit te voeren. Zo lukte het de onderzoekers om via de firmware-updater eigen code naar de PLC-flashchip te schrijven zonder dat de checksumfeature van de bootloader dit ontdekte. Een aanvaller kan door de feature de beveiligingsmaatregelen die Siemens heeft genomen omzeilen. Aan de andere kant kan de eigenaar van het systeem de feature als een forensische interface voor de PLC gebruiken, bijvoorbeeld om kwaadaardige code op de PLC te detecteren. Het is voor de onderzoekers een raadsel waarom de feature aanwezig is. "Vanuit een beveiligingsstandpunt is het niet verstandig om te hebben, aangezien je het geheugen kunt lezen en schrijven en de inhoud van het geheugen kunt dumpen", zegt Abbasi tegenover DarkReading. De onderzoekers informeerden Siemens over de feature. De fabrikant werkt nu aan een update. "Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is", stelt Abassi. Het is nog onbekend wanneer de oplossing van Siemens verschijnt. De onderzoekers wachten dan ook nog met het vrijgeven van hun tool om de firmware te dumpen en analyseren. Tijdens de Black Hat-conferentie volgende maand in Londen zullen de onderzoekers hun onderzoek presenteren. bron: security.nl

Aanvallers zijn erin geslaagd het forum van de beveiligingssoftware ZoneAlarm te compromitteren en gegevens van zo'n 4500 gebruikers te stelen, die vervolgens openbaar zijn gemaakt. Dat heeft het bedrijf bekendgemaakt. Het gaat om namen, e-mailadressen, geboortedata en "versleutelde wachtwoorden". Het forum van ZoneAlarm draait op de forumsoftware vBulletin. Hoe de aanvallers toegang tot de gebruikersdatabase wisten te krijgen is nog onbekend. Eind september verscheen er een beveiligingsupdate voor een ernstige kwetsbaarheid waardoor aanvallers vBulletin-sites konden compromitteren. Dit beveiligingslek werd onlangs nog gebruikt om de gegevens van 245.000 gebruikers van het forum van beveiligingsbedrijf Comodo te stelen. "Ik denk dat ze (ZoneAlarm - red) de patch niet hebben geïnstalleerd", zegt beveiligingsonderzoeker Kevin Beaumont. Alle getroffen forumgebruikers zijn via e-mail door ZoneAlarm geïnformeerd. Het bedrijf zegt een onderzoek naar het incident te hebben ingesteld. Om "het probleem" te verhelpen is het forum offline gehaald en op moment van schrijven nog steeds niet benaderbaar. Van alle gebruikers is daarnaast uit voorzorg het wachtwoord gereset. bron: security.nl

Meerdere bedrijven hebben zonder toestemming toegang tot gegevens van Facebookgebruikers gehad, zo heeft de sociale netwerksite bekendgemaakt. Het gaat om gebruikers die onderdeel van een Facebookgroep uitmaakten. Beheerders van een groep hadden de mogelijkheid om apps, en hun ontwikkelaars, toegang tot informatie in de groep te geven. Sinds april vorig jaar heeft Facebook dit enigszins aangepast. Wanneer een groepsbeheerder nu toestemming geeft, krijgt de app alleen toegang tot de groepsnaam, het aantal gebruikers en de inhoud van berichten. Wanneer een app ook toegang tot namen en profielfoto's wil moeten de groepsleden dit toestaan. Uit onderzoek van Facebook blijkt dat sommige apps ondanks de beperking die in april werd ingevoerd toch toegang tot informatie van groepsleden behielden, zoals namen en profielfoto's in relatie met groepsactiviteiten. Inmiddels is deze toegang opgeheven. Het ging met name om apps voor socialmediabeheer en videostreaming. Zo'n honderd bedrijven hebben mogelijk op deze manier gegevens van gebruikers benaderd terwijl dit niet was toegestaan. Van tenminste elf bedrijven staat vast dat ze dit in de afgelopen twee maanden hebben gedaan. Facebook zegt dat het nog geen bewijs van misbruik heeft aangetroffen. Wel zijn alle bedrijven gevraagd om de verzamelde data van groepsleden te verwijderen. Tevens zegt Facebook audits te zullen uitvoeren om te controleren dat de gegevens ook echt zijn verwijderd. bron: security.nl

Bij antivirusbedrijf Trend Micro zijn de gegevens van tienduizenden klanten gestolen en vervolgens aan oplichters verkocht. Het gaat om namen, e-mailadressen, supportticketnummers en in sommige gevallen telefoonnummers. Volgens de virusbestrijder zijn de gegevens door een medewerker gestolen. Deze medewerker had toegang tot de klantensupportdatabase. De diefstal kwam aan het licht nadat klanten begin augustus werden gebeld door oplichters die zich als Trend Micro-medewerkers voordeden. Het ging met name om Engelssprekende klanten. Het antivirusbedrijf stelt dat het meteen een onderzoek heeft ingesteld, maar pas eind oktober kon vaststellen dat de gegevens door een medewerker waren gestolen. Volgens Trend Micro heeft deze medewerker de gestolen informatie aan een "kwaadaardige derde partij" verkocht. De medewerker is inmiddels ontslagen. Het antivirusbedrijf heeft naar eigen zeggen 12 miljoen klanten. Het datalek zou minder dan 1 procent van de klanten hebben getroffen, wat neerkomt op maximaal 120.000 mensen. Alle getroffen klanten zouden inmiddels zijn ingelicht. Samen met de autoriteiten wordt het incident onderzocht. Trend Micro benadrukt dat klanten die een consumentenproduct hebben gekocht nooit zomaar worden gebeld. Wanneer er onverwachts toch iemand belt die zich voordoet als een medewerker van het bedrijf wordt aangeraden om meteen op te hangen. bron: security.nl

Een beveiligingslek in de Netgear Nighthawk-router maakt het mogelijk om op afstand een backdoor toe te voegen die een fabrieksreset kan overleven, zo hebben onderzoekers Pedro Ribeiro en Radek Domanski aangetoond. De onderzoekers demonstreerden de aanval op de WAN-interface van de Netgear Nighthawk Smart WiFi Router (R6700) tijdens de Pwn2Own-hackwedstrijd in Tokyo. Voor het eerst zijn routers als onderdeel aan de jaarlijks terugkerende wedstrijd toegevoegd. Het door het Zero Day Initiative (ZDI) georganiseerde Pwn2Own beloont onderzoekers voor het demonstreren van onbekende kwetsbaarheden. Naast de Netgear-router als doelwit kunnen onderzoekers ook uit de TP-Link AC1750 Smart WiFi Router kiezen. Het is vervolgens mogelijk om een aanval vanaf het internet (WAN) of het lokale netwerk (LAN) te demonstreren. Aanvallen via de WAN-interface leveren 20.000 dollar op, tegenover 5.000 dollar voor een aanval via het lokale netwerk. Verschillende experts stellen dat de beveiliging van routers ernstig tekortschiet, wat ook blijkt uit de uitgeloofde prijzen, die lager zijn dan bij andere producten. Een aanval op een smartphone via het web kan tot 60.000 dollar opleveren. Ribeiro en Domanski lieten ook een succesvolle aanval tegen de LAN-interface van de TP-Link-router zien. Via de aanval kregen ze volledige controle over de router. Deze aanval werd met 5.000 dollar beloond. Onderzoekers van antivirusbedrijf F-Secure demonstreerden ook een succesvolle LAN-aanval op de TP-Link-router. Aangezien ze een aantal van dezelfde bugs als Ribeiro en Domanski gebruikten werd dit als een gedeeltelijke overwinning bestempeld. Netgear en TP-Link ontvangen de details over de kwetsbaarheden, zodat ze firmware-updates voor hun klanten kunnen ontwikkelen. Wanneer die gereed zullen zijn is nog onbekend. Daarna zal het ZDI meer informatie over de lekken geven. Morgen vindt de tweede dag van Pwn2Own plaats. Er staat dan onder andere een aanval op de WAN-interface van de TP-Link gepland. bron: security.nl

Scammers maken gebruik van een ongepatchte bug in Firefox om de browser te vergrendelen, in de hoop dat gebruikers vervolgens een telefoonnummer bellen dat tot helpdeskfraude kan leiden. Dat laat onderzoeker Jerome Segura van antimalwarebedrijf MalwareBytes op Twitter weten. Zodra Firefoxgebruikers een malafide pagina bezoeken wordt er JavaScript geladen die ervoor zorgt dat de browser wordt vergrendeld. Gebruikers kunnen vervolgens de browsertab of het venster niet meer sluiten. De enige manier om de browser te sluiten is via Windows Taakbeheer en Force Quit op macOS. Het probleem speelt zowel bij de Mac- als Windowsversie van Firefox. De malafide pagina laat weten dat gebruikers "Windows Support" moeten bellen omdat de gebruikte Windows "registersleutel" illegaal zou zijn, alsmede dat die allerlei virussen verspreidt. Tevens stelt de pagina dat gebruikers binnen vijf minuten moeten bellen, anders wordt de computer uitgeschakeld. Oplichters maken al jaren gebruik van dergelijke tactieken. Zodra slachtoffers bellen proberen de scammers met medewerking van het slachtoffer zijn computer over te nemen. Vervolgens "verhelpen" de scammers allerlei zogenaamde problemen waarvoor het slachtoffer moet betalen. Ook komt het voor dat de oplichters geld van het slachtoffer stelen, bijvoorbeeld door hem op internetbankieren te laten inloggen. De bug die Segura ontdekte en bij Mozilla meldde blijkt enkele maanden geleden al te zijn gerapporteerd. Mozilla stelt dat het aan een oplossing voor het probleem werkt. bron: security.nl

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. bron: security.nl

OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen. Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren. "We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken. OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen. Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren. "We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken. bron: security.nl

De zakelijke beveiligingsoplossing van Microsoft, Defender ATP, gaat ook Linux-servers ondersteunen. Dat heeft het bedrijf tijdens de Ignite-conferentie in Orlando aangekondigd. Eerder besloot Microsoft om ook ondersteuning van macOS aan Defender ATP toe te voegen. Defender Advanced Threat Protection (ATP) biedt volgens Microsoft "next-gen" antivirusbescherming en moet gebruikers op verschillende besturingssystemen tegen aanvallen beschermen. Met het toevoegen van Linux-support wil Microsoft aanvullende bescherming bieden voor de "heterogene netwerken" van klanten. Tegenover ZDnet laat Microsofts Rob Lefferts weten dat Defender ATP voor Linux Servers volgend jaar zal verschijnen. Verdere details zijn nog niet bekendgemaakt. Application Guard Verder maakte Microsoft bekend dat Application Guard voor Office 365 beschikbaar komt. Hierdoor kunnen gebruikers niet vertrouwde Word-, Excel- of PowerPoint-documenten in een gevirtualiseerde container openen. In het geval van een kwaadaardig document wordt de aanval beperkt tot de container en heeft geen invloed op het onderliggende systeem, zo stelt Microsoft. Application Guard is al beschikbaar voor Microsoft Edge. In mei kwam Microsoft met een extensie voor Chrome en Firefox waarbij onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend. bron: security.nl

Spamfilters hebben de nodige moeite met e-mails die de schadelijke Emotet-malware bevatten, zo stelt testlab Virus Bulletin op basis van eigen onderzoek naar zakelijke e-mailoplossingen. Naast virusscanners test het testlab ook maandelijks allerlei spamfilters. In oktober zag onderzoeker Martijn Grooten van Virus Bulletin dat veel kwaadaardige e-mails de spamfilters wisten te omzeilen. Het ging om een derde van de zakelijke e-mailoplossingen. Verder onderzoek liet zien dat bijna alle gemiste kwaadaardige e-mails de Emotet-malware bleken te bevatten. Emotet wordt verspreid via Word-documenten met macro's. Het is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, zoals ransomware, maar ook wachtwoorden steelt en zelf zeer lastig te verwijderen is. De Duitse overheid noemde Emotet eerder nog de gevaarlijkste malware ter wereld. Om ervoor te zorgen dat mensen de via e-mail verstuurde Word-documenten openen kan de malware meeliften op eerdere e-mails van al gemaakte slachtoffers om zo nieuwe slachtoffers te maken. Deze werkwijze maakt het lastiger voor spamfilters om de kwaadaardige berichten te stoppen. Bij de nieuwste spamberichten maakt Emotet gebruik van generieke berichten die ook lastig zijn te filteren. Daarnaast zijn de spamcampagnes waarmee Emotet wordt verspreid vrij klein. "Het versturen van miljoenen kopieën van hetzelfde bericht doet spammers meer kwaad dan goed", aldus Grooten. Wat ook een belangrijke rol speelt is dat de spamberichten van gecompromitteerde mailservers worden verstuurd, waardoor de spammers in veel gevallen protocollen zoals Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) weten te omzeilen, gaat Grooten verder. SPF moet voorkomen dat iemand in naam van een organisatie een e-mail kan versturen en DKIM moet het onderweg aanpassen van e-mails voorkomen. Het volledig testrapport van oktober moet nog verschijnen. Het laatste rapport van september is wel online (pdf) te vinden. bron: security.nl

Microsoft heeft vandaag de release candidate van de nieuwe op Chromium gebaseerde Edge uitgebracht. De uiteindelijke versie van de browser moet op 15 januari uitkomen. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Ook Microsoft gebruikt nu Chromium als basis voor Edge. Volgens de softwaregigant bevat de browser allerlei onderdelen om de privacy van gebruikers te beschermen. Zo moet de trackingbescherming van Edge voorkomen dat gebruikers worden gevolgd door derde partijen die op een website actief zijn. De trackingbescherming kent drie niveaus: basic, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Tevens biedt Edge nu een InPrivate-mode die ervoor zorgt dat online zoekopdrachten en browsegedrag niet lokaal worden opgeslagen. Microsoft werkt ook aan een nieuwe security baseline voor de nieuwe Edge-versie. Het gaat dan om instellingen die door securityteams worden aanbevolen. De eerste baseline bevindt zich op dit moment in de testfase. Vorig jaar uitte Mozilla nog kritiek op het plan van Microsoft om Chromium als basis te gebruiken. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus de ontwikkelaar van Firefox. bron: security.nl

NAS-fabrikant QNAP heeft de eigen malware-verwijdertool van een update voorzien om de Qsnatch-malware van besmette NAS-systemen te verwijderen. Hoe de malware zich verspreidt is nog altijd onbekend. Alleen in Duitsland zijn al 7.000 apparaten met de malware besmet geraakt, aldus het computer emergency response team van de Duitse overheid (CERT-Bund). Eenmaal actief op een NAS wijzigt Qsnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de Malware Remover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen. Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers. Het Finse National Cyber Security Centre (NCSC) kwam met een waarschuwing voor de malware en stelde dat die alleen te verwijderen was door middel van een fabrieksreset van de NAS. Dit had als nadeel dat alle data van het apparaat wordt gewist. QNAP is nu met een eigen waarschuwing gekomen. Daarin staat dat het onderzoek naar de malware geen "andere kwetsbaarheden" heeft opgeleverd, maar ook deze waarschuwing geeft geen informatie over de verspreidingsmethode. QNAP-gebruikers krijgen wel het advies om te updaten naar de laatste versie van de QTS-firmware, alsmede de nieuwste versie van de Malware Remover te installeren. De verwijdertool zou nu in staat moeten zijn om de malware te verwijderen. Verder wordt aangeraden een sterk beheerderswachtwoord te gebruiken en IP en account access protection in te schakelen dat tegen bruteforce-aanvallen bescherming biedt. Als laatste wordt geadviseerd SSH en Telnet uit te schakelen en de standaardpoortnummers 443 en 8080 niet te gebruiken. bron: security.nl

Gebruikers van Google Chrome zijn via twee zerodaylekken in de browser met malware besmet en voor de tweede kwetsbaarheid is nog geen patch verschenen. Google kwam afgelopen donderdag met een beveiligingsupdate voor een kwetsbaarheid en meldde dat het lek in Chrome actief werd aangevallen. De kwetsbaarheid werd door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Verdere details over de aanval werden echter niet door Google gegeven. Die blijkt er inderdaad te zijn. De twee zerodaylekken werden door onderzoekers van antivirusbedrijf Kaspersky ontdekt en aan Google gerapporteerd. De virusbestrijder heeft nu een analyse van de aanval online gezet. Het gaat om een zogeheten "watering hole attack". Hierbij plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Volgens Kaspersky maakt het grootste deel van de exploit gebruik van een bepaald kwetsbaar onderdeel van de browser. "Aangezien deze bug nog steeds niet is verholpen, geven we geen details over dit specifieke kwetsbare onderdeel", zo laat het bedrijf in de analyse weten. Wanneer de exploit succesvol is wordt er malware op het systeem geïnstalleerd. Tevens maakt de malware verschillende taken aan in de Windows Taakplanner. Verdere details om wat voor soort malware het gaat is niet bekendgemaakt. Ook is onbekend wanneer Google het tweede zerodaylek patcht. Gebruikers van Google Chrome zijn via twee zerodaylekken in de browser met malware besmet en voor de tweede kwetsbaarheid is nog geen patch verschenen. Google kwam afgelopen donderdag met een beveiligingsupdate voor een kwetsbaarheid en meldde dat het lek in Chrome actief werd aangevallen. De kwetsbaarheid werd door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Verdere details over de aanval werden echter niet door Google gegeven. Die blijkt er inderdaad te zijn. De twee zerodaylekken werden door onderzoekers van antivirusbedrijf Kaspersky ontdekt en aan Google gerapporteerd. De virusbestrijder heeft nu een analyse van de aanval online gezet. Het gaat om een zogeheten "watering hole attack". Hierbij plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Volgens Kaspersky maakt het grootste deel van de exploit gebruik van een bepaald kwetsbaar onderdeel van de browser. "Aangezien deze bug nog steeds niet is verholpen, geven we geen details over dit specifieke kwetsbare onderdeel", zo laat het bedrijf in de analyse weten. Wanneer de exploit succesvol is wordt er malware op het systeem geïnstalleerd. Tevens maakt de malware verschillende taken aan in de Windows Taakplanner. Verdere details om wat voor soort malware het gaat is niet bekendgemaakt. Ook is onbekend wanneer Google het tweede zerodaylek patcht. bron: security.nl

Het BlueKeep-beveiligingslek in de Remote Desktop Services (RDS) van oudere Windowsversies waarvoor op 14 mei een patch verscheen wordt actief aangevallen, zo melden onderzoekers en een securitybedrijf. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. De afgelopen maanden waarschuwden Microsoft, de Nederlandse overheid en andere overheden voor het beveiligingslek en adviseerden om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Desondanks waren er in augustus nog 800.000 computers die de update niet hadden geïnstalleerd en via internet toegankelijk waren. Aanvallers gebruiken de kwetsbaarheid nu om een cryptominer op kwetsbare computers te installeren die de rekenkracht van de machine gebruikt om cryptovaluta te delven. Onderzoeker Marcus Hutchins van securitybedrijf Kryptos Logic spreekt inmiddels over grootschalig misbruik van het lek. De BlueKeep-kwetsbaarheid zou in theorie door een worm gebruikt kunnen worden om zich te verspreiden. Daar is echter op dit moment geen sprake van, aldus Hutchins. De onderzoeker vermoedt dat de aanvallers met een lijst van kwetsbare ip-adressen werken. Hij noemt het ook merkwaardig dat de kwetsbaarheid nu pas wordt aangevallen, aangezien het lek al een half jaar bekend was. Hutchins bestempelt de aanvallen als zorgwekkend, maar merkt ook op dat de securitygemeenschap een veel ernstiger scenario had voorspeld. Zo werd er onder andere voor een wormuitbraak zoals WannaCry gewaarschuwd. Dat is op dit moment niet het geval. "Het lijkt erop dat een low-level actor het internet heeft gescand en opportunistisch kwetsbare machines via kant-en-klare penetratietesttools heeft geïnfecteerd", besluit de onderzoeker. bron: security.nl

Google heeft een beveiligingsupdate uitgebracht voor een zerodaylek in de desktopversie van Chrome dat actief is aangevallen voordat de update beschikbaar was. Het beveiligingslek bevond zich in het onderdeel van de browser dat wordt gebruikt voor het verwerken van audio. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Onderzoekers Anton Ivanov en Alexey Kulaev van antivirusbedrijf Kaspersky ontdekten het lek en waarschuwden Google. Gebruikers krijgen het advies om te updaten naar Chrome 78.0.3904.87. Op de meeste systemen zal dit automatisch gebeuren. Tweede zeroday-aanval op Chrome dit jaar Het is voor zover bekend de tweede keer dit jaar dat Chrome het doelwit van een zeroday-aanval is. In maart vond er namelijk ook al een zeroday-aanval tegen Chrome-gebruikers plaats. Bij die aanval werd een beveiligingslek in Windows en Google Chrome gecombineerd om kwetsbare systemen volledig over te nemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website was hiervoor voldoende. Er was geen verdere interactie van gebruikers vereist. Het beveiligingslek in Windows dat bij de aanval in maart werd gebruikt maakte het mogelijk voor een aanvaller om zijn rechten te verhogen en was te gebruiken als manier om uit de sandbox van Chrome te ontsnappen. De aanvallers combineerden dit met een kwetsbaarheid in de browser om willekeurige code op aangevallen systemen uit te voeren. Volgens Google was de aanval van maart alleen gericht tegen Chrome-gebruikers op 32-bit versies van Windows 7. bron: security.nl

Mozilla gaat stoppen met het sideloaden van extensies in Firefox wat de installatie van ongewenste extensies moet voorkomen. Sideloading is een manier om Firefox-extensies buiten de browser om te installeren. Het gebeurt via een installer die het extensiebestand in een bepaalde directory plaatst en in het geval van Windowscomputers een vermelding aan het Windows Register toevoegt. "Deze extensies zorgen voor problemen bij gebruikers, aangezien ze er niet expliciet voor hebben gekozen om ze te installeren en ze niet via de Add-ons Manager kunnen verwijderen", zegt Mozillas Caitlin Neiman. Ze merkt op dat er via sideloading in het verleden malware in Firefox is geïnstalleerd. Met de lancering van Firefox 73 in februari volgend jaar zal Firefox sideloaded extensies als normale add-ons installeren. Zodoende krijgen gebruikers de mogelijkheid om ongewenste extensies te verwijderen en kunnen ze gewenste extensies behouden. Met Firefox 74 die volgend jaar maart verschijnt wordt het sideloaden van extensies niet meer ondersteund. Extensie-ontwikkelaars die van sideloading gebruikmaken krijgen dan ook het advies om hun installatieprocedure aan te passen. bron: security.nl

Inderdaad worden nieuwe systemen bijna niet meer met een speler geleverd. Voor rond de dertig euro kun je al online een externe aanschaffen die je eenvoudig met een usb op je systeem aan kunt sluiten.

Duizenden NAS-systemen van fabrikant QNAP zijn geïnfecteerd met malware die wachtwoorden steelt en firmware-updates voorkomt. Alleen in Duitsland gaat het al om 7.000 apparaten, aldus het computer emergency response team van de Duitse overheid (CERT-Bund) op Twitter. De malware wordt door het Finse National Cyber Security Centre (NCSC) Qsnatch genoemd en zou speciaal voor NAS-systemen van Qnap zijn ontwikkeld. De verspreidingsmethode van de malware is onbekend. Eenmaal actief op de NAS wijzigt Qsnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de MalwareRemover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen. Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers. Om de malware te verwijderen kunnen gebruikers een fabrieksreset uitvoeren, maar hierbij wordt wel alle data van het apparaat gewist. Een andere onbevestigde methode is het handmatig installeren van een firmware-update. Het Finse NCSC kan echter niet bevestigen of hiermee de malware wordt verwijderd zoals Qnap claimt. bron: security.nl

Internetbedrijven NetworkSolutions, Register.com en Web.com hebben klanten gewaarschuwd dat hun gegevens mogelijk in augustus zijn gestolen nadat een aanvaller toegang tot verschillende systemen kreeg. Via de drie bedrijven is het mogelijk om domeinen te registreren en bijbehorende diensten af te nemen. NetworkSolutions en Register.com zijn dochterondernemingen van Web.com. In een melding op de eigen websites melden de drie bedrijven dat op 16 oktober werd ontdekt dat een aanvaller eind augustus toegang tot een aantal systemen heeft gekregen. Daarbij zijn mogelijk klantgegevens gestolen. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen en informatie over afgenomen diensten van zowel voormalige als huidige klanten. Creditcardgegevens zouden niet zijn gecompromitteerd. Na ontdekking van de inbraak zijn er stappen genomen om die te stoppen, aldus de verklaring. Hoe de aanvaller is binnengekomen en hoeveel mensen er precies zijn getroffen wordt niet gemeld, maar uit voorzorg is besloten om van alle gebruikers de wachtwoorden te resetten. bron: security.nl

Facebook zal een boete van 500.000 pond die de Britse privacytoezichthouder ICO eind vorig jaar wegens het Cambridge Analytica-schandaal oplegde betalen, maar erkent geen aansprakelijkheid. Dat zijn beide partijen met elkaar overeengekomen, zo heeft de ICO vandaag bekendgemaakt. Naar aanleiding van het schandaal met Cambridge Analytica stelde de Britse privacytoezichthouder ICO een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers onterecht verwerkte. Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen namelijk toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven. Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan. Facebook ging volgens de ICO ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde. Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen. Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden, aldus de Britse toezichthouder. Aangezien de overtredingen voor de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) plaatsvonden kon de ICO zich alleen op de Britse privacywetgeving van 1998 beroepen. Deze wetgeving maakt het mogelijk om een maximale boete van maximaal 500.000 pond op te leggen, wat de toezichthouder ook deed. Facebook ging vervolgens tegen de boete in beroep. Het tribunaal dat het beroep behandelde stelde dat de ICO de documenten waarop het de boete had gebaseerd openbaar moest maken. De toezichthouder ging weer tegen die beslissing in beroep. Facebook en de ICO zijn nu overeengekomen dat ze beiden hun beroep intrekken. Facebook betaalt de opgelegde boete, maar bekent geen aansprakelijkheid in relatie tot de boete. De boete gaat daarnaast niet naar de ICO, maar naar de Britse schatkist. Beide partijen zijn naar eigen zeggen positief over de schikking. bron: security.nl

Een ernstig beveiligingslek in de software die EU-landen voor grensoverschrijdende authenticatie gebruiken maakte het mogelijk voor aanvallers om zich als willekeurige EU-burgers uit te geven, zo stelt securitybedrijf SEC Consult dat de kwetsbaarheid ontdekte. EIDAS-node is software waarmee EU-lidstaten kunnen deelnemen aan de EU-verordening elektronische identiteiten en vertrouwensdiensten (eIDAS). Het doel van deze verordening is betere publieke en private onlinediensten en elektronische handel binnen Europa. Ook regelt eIDAS het grensoverschrijdend gebruik van elektronische identificatiemiddelen en vertrouwensdiensten tussen de lidstaten van de Europese Unie. Elke lidstaat heeft zijn eigen methode om burgers te authenticeren. EIDAS verbindt deze nationale eID-systemen. Zo moet het straks mogelijk worden dat Nederlandse burgers zich dankzij eIDAS met DigiD bij de diensten van een buitenlandse overheid kunnen authenticeren. SEC Consult ontdekte een kwetsbaarheid in het systeem waardoor een aanvaller zich als een willekeurige EU-burger had kunnen uitgeven. Wanneer bijvoorbeeld een Italiaanse burger zich bij een Duitse onlinedienst wil authenticeren, zal de betreffende webapplicatie de Duitse eIDAS-node het authenticatieproces laten starten. De Duitse eIDAS-node stuurt een verzoek naar de Italiaanse eIDAS-node. Deze node stuurt de gebruiker door naar een systeem dat Italiaanse burgers via hun nationaal eID-systeem laat authenticeren. Na de authenticatie ontvangt de Duitse eIDAS-connector de informatie van de Italiaanse burger en stuurt die door naar de webapplicatie van de Duitse onlinedienst. EIDAS maakt gebruik van SAML voor de communicatie tussen de eIDAS-conncector en eIDAS-service (die samen de eIDAS-node vormen). Nadat de gebruiker succesvol is geauthenticeerd, wordt er een SAML-antwoord naar de eIDAS-node gestuurd die het verzoek deed. Om de authenticiteit van de SAML-response te verifiëren controleert de eIDAS-node een digitale handtekening en het certificaat dat voor het signeren is gebruikt. Deze certificaatcontrole bleek tekort te schieten, waardoor een aanvaller een gemanipuleerd SAML-antwoord met een vervalst certificaat kon signeren dat vervolgens werd geaccepteerd. De leverancier van eIDAS-node werd op 4 juli van dit jaar geïnformeerd en rolde kort daarna een update uit voor de lidstaten. De gepatchte versie 2.3.1 is vandaag openbaar gemaakt voor het publiek. bron: security.nl

Google zal DNS over HTTPS (DoH) niet standaard voor alle Chrome-gebruikers inschakelen. Alleen bij gebruikers waarvan de huidige dns-provider de maatregel ondersteunt wordt het ingeschakeld, zo laat het techbedrijf weten. Volgens Google is er veel misinformatie en verwarring over Googles aanpak van DoH. Het gaat onder andere om de claim dat Google het dns-verkeer naar Googles eigen dns of andere dns-providers zal doorsturen die DoH ondersteunen. "Dat klopt niet", zegt Chrome-productmanager Kenji Baheux. DoH zorgt ervoor dat dns-verzoeken van gebruikers, die het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam, worden versleuteld. Op dit moment zijn de verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Doordat de verzoeken zijn versleuteld moet het de privacy van gebruikers verbeteren en bijvoorbeeld man-in-the-middle-aanvallen op dns-lookups voorkomen. De browser kan DoH alleen gebruiken als de dns-provider van de gebruiker dit ondersteunt. Op dit moment zijn er slechts een handvol providers waarbij dit het geval is. Mozilla wil DoH onder Firefoxgebruikers inschakelen door de huidige dns-provider te veranderen. Er zal dan gebruik worden gemaakt van de dns-servers van internetbedrijf Cloudflare, dat DoH ondersteunt. Google hanteert voor Chrome-gebruikers een andere aanpak. De browser zal DoH alleen inschakelen als de huidige dns-provider van de gebruiker dit ondersteunt. Wanneer de dns-provider dit niet doet wordt DoH niet ingeschakeld en blijft de dns-server ongewijzigd. Google zal een experiment met DoH onder Chrome-gebruikers uitvoeren en heeft daarvoor zes dns-providers gekozen die DoH ondersteunen. Het gaat om Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Een andere misvatting volgens Google gaat over de gevolgen van DoH voor filtersoftware en software voor ouderlijk toezicht. Tegenstanders van DoH zijn bang dat deze software door de maatregel straks geen ongewenste domeinen meer kan filteren. "DoH beveiligt de url-data alleen als het wordt verstuurd tussen je browser en dns-provider, dus de malwarebescherming en ouderlijk toezicht van je provider blijven gewoon werken zoals ze altijd hebben gedaan", merkt Baheux op. Hij wijst daarbij naar dns-provider CleanBrowsing, dat ouderlijk toezicht voor zowel de normale dns-dienst als DoH-dienst aanbiedt. Wanneer het DoH-experiment van Google plaatsvindt is nog onbekend, maar in eerste instantie wordt het onder 1 procent van de gebruikers ingeschakeld waarvan de dns-provider DoH ondersteunt. Het aantal gebruikers zal vervolgens geleidelijk worden uitgebreid Daarnaast kunnen gebruikers zich vanaf Chrome 79 voor het experiment afmelden door via de adresbalk de optie chrome://flags/#dns-over-https uit te schakelen, merkt Baheux op. bron: security.nl

Het Tor Project is vandaag weer de jaarlijkse donatiecampagne gestart en wederom zal Mozilla alle donaties die de komende weken worden gedaan verdubbelen. De campagne heeft als onderwerp "Take Back the Internet with Tor". Tijdens de campagne kunnen donateurs allerlei prijzen winnen, zoals exclusieve 'Tor swag'. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor Project dat de software voor het Tor-netwerk ontwikkelt is een non-profitorganisatie en daardoor afhankelijk van giften. Met de nieuwe campagne wil het Tor Project zich richten op wat het internet had moeten zijn, "een vrije en open plek om informatie te delen, waar je persoonlijke informatie geen handelswaar was", aldus de organisatie. Via de mensen en tools van het Tor Project kan het internet "één gebruiker per keer" worden teruggewonnen, aldus de uitleg van de campagne. Om de donatiecampagne leuk en interessant te maken geeft het Tor Project ook allerlei prijzen weg, zoals exclusieve 'Tor Swag', waaronder Tor-kleding, een Tor-picknickdeken en boeken. Iedereen die in de eerste week doneert komt ongeacht de omvang van de donatie in aanmerking voor een prijs. Alle donaties worden daarnaast door Mozilla verdubbeld. Inmiddels zijn er op het moment van schrijven 170 donaties binnengekomen voor een bedrag van 4850 euro, wat met de verdubbeling van Mozilla een bedrag van 9700 dollar is geworden. Vorig jaar ontving het Tor Project 460.000 dollar aan donaties. De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid. In 2017 ontving het Tor Project 4,1 miljoen dollar. Daarvan was 2,1 miljoen dollar afkomstig van Amerikaanse overheidsinstellingen, zoals de National Science Foundation, het Stanford Research Institute en een afdeling van het Amerikaanse ministerie van Buitenlandse Zaken. In 2015 waren donaties van de Amerikaanse overheid nog goed voor 85 procent van de inkomsten. bron: security.nl

Webservers die op Nginx draaien kunnen door een ernstig beveiligingslek in PHP7 dat afgelopen donderdag werd gepatcht op afstand worden overgenomen en inmiddels zou de kwetsbaarheid actief worden aangevallen. Het lek bevindt zich in PHP-FPM, de FastCGI Process Manager (FPM) voor PHP. Via FastCGI kan de browser gegevens van de webserver opvragen. De kwetsbaarheid (CVE-2019-11043) die afgelopen donderdag werd gepatcht maakt het in bepaalde gevallen voor een remote aanvaller mogelijk om willekeurige code op de webserver uit te voeren. De aanval is alleen mogelijk als er aan vier voorwaarden wordt voldaan, zo meldt securitybedrijf Tenable. Het gaat dan om gebruikte parameters en configuratieopties. Nextcloud, opensourcesoftware voor online bestandsopslag, blijkt deze configuratie standaard te gebruiken. Next-cloudgebruikers krijgen dan ook het advies om hun PHP-versie te updaten en Nginx-configuratie aan te passen. De kwetsbaarheid is verholpen in PHP 7.3.11 en 7.2.24. Een proof-of-concept-exploit is inmiddels online verschenen en volgens securitybedrijf Bad Packets wordt de kwetsbaarheid actief aangevallen, zo laat het tegenover ZDnet weten. bron: security.nl

Adobe heeft via een onbeveiligde database de gegevens van ruim 7 miljoen klanten gelekt. Het ging om een Elasticsearch-database die voor iedereen op internet toegankelijk was en e-mailadressen, registratiedata, land, gebruikte Adobe-producten en andere informatie van bijna 7,5 miljoen Creative Cloud-klanten bevatten. Creative Cloud is een abonnementsdienst die gebruikers toegang tot allerlei Adobe-producten geeft. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Adobe had de database met gegevens niet beveiligd waardoor die zonder inloggegevens toegankelijk was. Het datalek werd ontdekt door onderzoeker Bob Diachenko die zijn bevindingen met Comparitech deelde. Volgens de onderzoeker gaat het niet om direct gevoelige informatie, maar zou de data wel kunnen worden gebruikt voor het uitvoeren van gerichte phishingaanvallen tegen de getroffen gebruikers. Adobe werd op 19 oktober over het datalek ingelicht, waarna het softwarebedrijf de database op dezelfde dag nog beveiligde. Hoe lang de database voor het internet open stond is onbekend. Ook is onduidelijk of andere partijen toegang tot de gegevens hebben gekregen. bron: security.nl