Captain Kirk

Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is. Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software. Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren. De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt. bron: security.nl

Twee zerodaylekken in routers van Draytek zijn zeker al sinds december gebruikt voor het afluisteren van het netwerkverkeer van organisaties en het installeren van backdoors. De netwerkfabrikant heeft inmiddels beveiligingsupdates uitgebracht. Dat meldt securitybedrijf Qihoo 360. Onderzoekers van het bedrijf ontdekten op 4 december de eerste zeroday-aanvallen. Die maakten gebruik van een kwetsbaarheid in de Vigor3900-, Vigor2960- en Vigor300B-routers waardoor ongeautoriseerde gebruikers op afstand commando's op de netwerkapparatuur konden uitvoeren. Op 28 januari werd er een tweede zerodaylek ontdekt dat actief door aanvallers werd gebruikt en ook het op afstand uitvoeren van commando's mogelijk maakte. Aanvallers gebruiken de kwetsbaarheden voor het installeren van scripts waarmee al het e-mail- en ftp-verkeer op poorten 21, 25, 143 en 110 wordt onderschept. Tevens installeren de aanvallers verschillende backdoors en maken ook backdoor-accounts aan. Onderzoekers van Qihoo 360 waarschuwden Draytek op 8 december vorig jaar voor het eerste zerodaylek, maar ontdekten later pas dat het communicatiekanaal niet bleek te werken. Op 25 december verstrekte Qihoo 360 wat details over de aanvallen op Twitter, zonder de naam van Draytek te noemen. Uiteindelijk kwam Draytek op 10 februari met beveiligingsupdates. Daarop hebben de onderzoekers nu de details over de kwetsbaarheden openbaar gemaakt. Organisaties krijgen het advies om de firmware-updates te installeren en te controleren dat hun netwerkapparaten niet zijn gecompromitteerd. Op het moment dat de eerste aanvallen werden ontdekt waren er volgens Qihoo 360 zo'n 100.000 kwetsbare Draytek-routers online. bron: security.nl

Vanaf volgende week zullen er weer updates voor Chrome verschijnen, zo heeft Google aangekondigd. Vorige week liet het techbedrijf nog weten dat het vanwege "aangepaste werkschema's" door het coronavirus tijdelijk geen nieuwe Chrome-versies zou uitbrengen. Google is echter van plan om de updates voor Chrome volgende week te hervatten. Als eerste verschijnt er een nieuwe versie van Chrome 80 die beveiligingsupdates en kritieke bugfixes bevat. Vervolgens zal in de week van 7 april Chrome 81 uitkomen. Vanwege het aangepaste schema besloot Google om Chrome 82 te schrappen. In plaats daarvan zal er verder worden gegaan met Chrome 83, die drie weken eerder dan gepland uitkomt. Dit zou halverwege mei moeten zijn. Informatie over Chrome 84 zal Google op een later moment delen. "We blijven nauwlettend in de gaten houden dat Chrome en Chrome OS stabiel, veilig en betrouwbaar blijven werken", aldus het Chrome-team. Naar aanleiding van Googles beslissing om een pauze in te lassen besloot ook Microsoft om nieuwe versies van Edge Chromium tijdelijk uit te stellen. Of Microsoft nu ook het updateschema hervat is nog onbekend. bron: security.nl

Google Chrome krijgt een optie waardoor standaard de volledige url wordt weergegeven. Op dit moment laat de browser zowel het protocol als het www-subdomein niet in de url zien. Gebruikers konden dit via een aparte optie instellen, maar met de lancering van Chrome 79 verdween deze optie uit de browser. Gebruikers die het protocol en www-subdomein willen zien moeten nu twee keer in de adresbalk klikken of Googles Chrome-extensie "Suspicious Site Reporter" installeren. Tegenstanders van de maatregel noemden het een beveiligingsrisico. Zo zou het voor een aanvaller veel eenvoudiger worden om zich als het hoofddomein voor te doen. Google werkt echter aan een optie zodat de volledige url in de adresbalk weer wordt weergegeven, zo blijkt uit een ticket van de Chromium-bugtracker en een toevoeging aan de Chromium-code. Er is zelfs al een ontwerp gemaakt van hoe de optie eruit komt te zien. Daarnaast is die in een vroege testversie van Chrome 83 te testen. Eerder liet Chrome-manager Adrienne Porter Felt in een interview met Wired weten dat veel eindgebruikers url's niet snappen en dat het daarom niet geschikt is als middel om een website te identificeren. bron: security.nl

Mozilla zal Firefox 76 die voor mei van dit jaar gepland staat voorzien van een optionele https-only mode die websites alleen nog via https laadt. Dat meldt webontwikkelaar Sören Hentzschel en blijkt ook uit een melding op Bugzilla. Wanneer gebruikers in deze mode in de adresbalk een domein invoeren zal Firefox het domein automatisch via https laden. Voert de gebruiker een url in die met http begint, dan verandert Firefox het protocol automatisch naar https. Ook zal de browser alle content op websites die via http wordt aangeboden automatisch via https proberen te laden. De feature werkt alleen als de website en overige content ook via https wordt aangeboden. Inmiddels maken de meeste websites gebruik van https. In het geval een website toch nog alleen via http bereikbaar is of content via http aanbiedt zullen die in de https-only mode niet worden geladen. Alleen websites en content toegankelijk via https zullen in de https-only mode werken. De feature is nu in de meest recente versie van Firefox Nightly te testen en zal in de definitieve versie van Firefox 76 aanwezig zijn, die voor 5 mei gepland staat. bron: security.nl

Aanvallers zijn erin geslaagd om kwaadaardige code aan de website van keukengereifabrikant Tupperware toe te voegen die creditcardgegevens van klanten steelt. De code werd aan de betaalpagina van de Tupperware-webshop toegevoegd en zorgt ervoor dat zodra klanten hun bestelling willen afrekenen er een vals betaalformulier wordt geladen. Zodra slachtoffers hun creditcardgegevens in het valse betaalformulier hebben ingevuld verschijnt er een foutmelding, waarna het legitieme betaalformulier wordt geladen. Slachtoffers vullen vervolgens hun gegevens voor een tweede keer in. Op dat moment zijn de gegevens al naar de criminelen gestuurd, zo meldt antimalwarebedrijf Malwarebytes in een analyse. Onderzoekers van het bedrijf probeerden Tupperware te waarschuwen, maar zonder succes. De keukengereifabrikant werd verschillende keren gebeld, via e-mail, Twitter en LinkedIn benaderd, maar op het moment dat de analyse online verscheen was de website nog steeds gecompromitteerd en hadden de onderzoekers geen reactie gekregen. Hoe de aanvallers toegang tot de Tupperware-site wisten te krijgen is onbekend. bron: security.nl

Onderzoekers hebben een nieuwe aanvalscampagne ontdekt waarbij criminelen weten in te breken op Linksys-routers om die vervolgens naar een "corona-app" te laten wijzen. In werkelijkheid gaat het om malware die wachtwoorden uit de browser en cryptowallet-wachtwoorden steelt. Ook in Nederland zijn er slachtoffers, aldus antivirusbedrijf Bitdefender. Hoe de aanvallers precies op de Linksys-routers weten in te breken is onbekend, maar onderzoekers denken dat dit via bruteforce-aanvallen gebeurt. De aanvallen zouden zijn gericht tegen de beheerdersconsole van de router of het Linksys-cloudaccount. Zodra de aanval succesvol is wijzigen de aanvallers de dns-instellingen van de router. Hierdoor worden bepaalde domeinen naar een locatie van de aanvallers doorgestuurd. Het gaat onder andere om aws.amazon.com, goo.gl, bit.ly, disney.com en doubleclick.net. Zodra slachtoffers een dergelijk domein bezoeken verschijnt er in de browser een melding die van de Wereldgezondheidsorganisatie afkomstig lijkt te zijn. Volgens de melding moeten gebruikers de aangeboden applicatie installeren om de laatste adviezen over het coronavirus te ontvangen. In werkelijkheid gaat het om een malware-downloader die de Oski-infostealer downloadt en op het systeem installeert. Deze malware kan onder andere wachtwoorden uit de browser stelen, alsmede wachtwoorden voor cryptowallets. De meeste slachtoffers van de aanval werden door Bitdefender in de Verenigde Staten waargenomen, gevolgd door Duitsland en Frankrijk. Nederland volgt op de vierde plek. "Door de dns-instellingen van de router te wijzigen denken gebruikers dat ze op een legitieme webpagina zijn beland, alleen dat het van een ander ip-adres wordt geladen", zegt onderzoeker Liviu Arsene. Gebruikers krijgen het advies om standaardwachtwoorden te wijzigen en de laatste firmware-update te installeren. bron: security.nl

De afgelopen weken zijn tientallen organisaties aangevallen via kwetsbaarheden in producten van Citrix, Cisco en Zoho, zo stelt securitybedrijf FireEye. In alle gevallen waren er updates of oplossingen beschikbaar om aanvallen tegen te gaan, maar waren die niet door alle organisaties uitgerold. De aanvallen waren gericht tegen onder andere banken, defensiebedrijven, universiteiten, advocatenkantoren, mediabedrijven, energiesector, farmaceutische bedrijven, telecombedrijven en verschillende andere sectoren over de hele wereld. Volgens FireEye is een groep genaamd APT41 voor de aanvallen verantwoordelijk. Deze groep zou vanuit China opereren en zich met cyberspionage en aanvallen voor persoonlijke financieel gewin bezighouden. De nieuwste campagne van de groep begon op 20 en 21 januari en maakte misbruik van een ernstig beveiligingslek in de Citrix Netscaler/ADC-oplossingen. Citrix had toen al mitigatiemaatregelen beschikbaar gesteld om aanvallen te voorkomen. Op 20 januari verscheen daarnaast een eerste beveiligingsupdate voor bepaalde versies van de kwetsbare producten. Op 21 februari van dit jaar zag FireEye een succesvolle aanval tegen een Cisco RV320-router van een niet nader genoemde telecomorganisatie. Welke exploit de aanvallers gebruikten is onbekend, maar vermoedelijk maakte die misbruik van twee kwetsbaarheden die op 4 april 2019 door Cisco werden gepatcht. Daarnaast heeft FireEye ook aanvallen van APT41 gezien waarbij er een kwetsbaarheid in de Zoho ManageEngine Desktop Central werd gebruikt. Desktop Central is een oplossing om computers en mobiele apparaten mee te beheren. Het beveiligingslek was op 12 december aan ManageEngine gerapporteerd. Het bedrijf kwam op 20 januari met een tijdelijke oplossing. Op 7 maart verscheen er een beveiligingsupdate. Een dag later zag FireEye dat APT41 de kwetsbaarheid bij tien klanten probeerde aan te vallen. Bij vijf organisaties was de aanval succesvol. Organisaties krijgen dan ook het advies om beschikbare patches te installeren en mitigatiemaatregelen door te voeren. bron: security.nl

De nieuwste versie van Safari die Apple gisterenavond uitbracht blokkeert alle third-party cookies. Een maatregel die de privacy en security van gebruikers moet verbeteren, zo stelt John Wilander van Apple. De maatregel voorkomt onder andere dat gebruikers via third-party cookies zijn te volgen. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Apples browser beschikt sinds 2017 over Intelligent Tracking Prevention (ITP) waarmee third-party trackingcookies worden geblokkeerd. Safari maakt hiervoor gebruik van een lijst van bekende trackingdomeinen. Nu is de privacymaatregel uitgebreid naar alle third-party cookies. Safari is na Tor Browser de eerste grote browser die third-party cookies volledig blokkeert, merkt Wilander op in een blogposting over de maatregel. Dit moet niet alleen de privacy ten goede komen, maar gebruikers ook tegen cross-site request forgery (CSRF) beschermen. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Doordat third-party cookies worden geblokkeerd is deze aanval niet meer mogelijk. Verder zorgt het blokkeren van alle third-party cookies ervoor dat een website niet meer kan detecteren op welke websites een gebruikers allemaal is ingelogd. Wilander hoopt dat andere browsers de maatregel ook zullen doorvoeren. Apple zal daarom de bevindingen met het volledig blokkeren van third-party cookies met andere browserontwikkelaars gaan delen. De maatregel is aanwezig in Safari op iOS en iPadOS versie 13.4 en Safari 13.1 voor macOS. bron: security.nl

De FBI heeft het cybercrimeplatform Deer.io uit de lucht gehaald en de vermeende beheerder aangehouden. Deer.io bood een webwinkelplatform aan waarmee cybercriminelen allerlei producten en diensten aan andere cybercriminelen konden aanbieden. De website was sinds 2013 operationeel en claimde meer dan 24.000 "shops" te hebben die bij elkaar voor een omzet van meer dan 17 miljoen dollar verantwoordelijk waren. De shops boden gestolen bedrijfsgegevens en financiële data aan, alsmede persoonlijke identificeerbare informatie en gecompromitteerde accounts. Het ging onder andere om data die via malware was verkregen, zo stelt het Amerikaanse ministerie van Justitie. Via Deer.io konden cybercriminelen eenvoudig een eigen webshop lanceren en hun producten en diensten adverteren. Volgens de aanklacht bood Deer.op webshopeigenaren een gebruiksvriendelijke interface voor de automatische aanschaf en levering van criminele goederen en diensten. Voor iets meer dan 9 euro per maand konden cybercriminelen een webshop op het platform huren. Daarnaast was het via Deer.io ook eenvoudig om naar gestolen inloggegevens of andere diensten te zoeken. In het onderzoek naar het platform kocht de FBI op 4 maart 1100 gecompromitteerde accounts. Een dag later werden er bijna 3700 gecompromitteerde accounts met persoonlijke informatie aangeschaft. Het ging onder andere om namen, geboortedata en social-securitynummers van Amerikaanse burgers. Het platform zou door een 28-jarige Rus zijn beheerd. Hij werd op 7 maart door de FBI in New York City aangehouden en is aangeklaagd voor het zonder toestemming aanbieden van "access devices", waarop een gevangenisstraf van maximaal 10 jaar en een boete van 250.000 dollar staat. bron: security.nl

Door een fout kunnen verschillende SAS SSD-schijven van Hewlett Packard Enterprise (HPE) na 40.000 uur onherstelbaar defect raken waardoor alle data op de schijf verloren gaat. Om dit te voorkomen is een kritieke firmware-update uitgebracht. Afgelopen november had HPE met een soortgelijk probleem te maken. Toen konden schijven na 32.768 uur onherstelbaar defect raken. Het nieuwe probleem, dat los van het eerdere probleem staat, doet zich na 40.000 uur voor. HPE adviseert om de firmware-update meteen te installeren. Wanneer dit niet wordt gedaan zal er na 40.000 uur dataverlies ontstaan. Nadat het probleem zich voordoet is zowel de SSD als data niet meer te herstellen. Wanneer de SSD-schijven op hetzelfde moment zijn gebruikt zullen ze waarschijnlijk ook gelijktijdig stukgaan waarschuwt het bedrijf, wat gevolgen kan hebben als ze in een RAID-setup zijn gebruikt. HPE verwacht, gezien de levertijd van de eerste van deze schijven, dat dit op zijn vroegst in oktober van dit jaar is. Daarnaast meldt het bedrijf dat het probleem niet alleen bij HPE speelt, maar ook bij andere fabrikanten en klanten die deze SSD-schijven van de betreffende leverancier hebben aangeschaft. Via deze pagina legt HPE uit hoe de SSD-uptime kan worden bekeken. bron: security.nl

De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is. Deze library is in alle Windows-versies sinds Vista aanwezig. Verdere details over de aanvallen werden niet gegeven. Nu meldt Microsoft in een update van de security advisory dat Windows 7-systemen het doelwit waren. Via de twee beveiligingslekken kan een aanvaller in het ergste geval volledige controle over systemen krijgen. Hiervoor moet het slachtoffer wel eerst een speciaal geprepareerd document openen of dit document in het Windows-voorbeeldvenster (preview pane) bekijken. Volgens Microsoft is de dreiging voor systemen die op Windows 10 draaien klein, vanwege beveiligingsmaatregelen die al sinds de eerste versie in 2015 aanwezig zijn. Het techbedrijf is ook niet bekend met aanvallen tegen Windows 10-systemen en stelt dat de mogelijkheid om op afstand code uit te voeren op deze Windowsversie verwaarloosbaar is en aanvallers de kwetsbaarheden niet kunnen gebruiken om hun rechten op het systeem te verhogen. Wanneer de beveiligingsupdate voor de twee kwetsbaarheden zal verschijnen is nog altijd onbekend. Microsoft heeft wel verschillende tijdelijke oplossingen genoemd die gebruikers beschermen, maar raadt beheerders van Windows 10-systemen af om die door te voeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de aanstaande beveiligingsupdate ontvangen. bron: security.nl

Met de lancering van Firefox 77 in juni van dit jaar zal de browser het onveilige ftp-protocol niet langer meer standaard ondersteunen. Gebruikers kunnen ftp-support nog wel zelf inschakelen, maar begin volgend jaar zal ook dit niet meer mogelijk zijn. Zeven maanden geleden deed een Mozilla-ontwikkelaar al het verzoek om ftp-support uit de browser te verwijderen, omdat ftp een onveilig protocol is. Het protocol maakt geen gebruik van versleuteling, waardoor inloggegevens als platte tekst naar de ftp-server worden verstuurd. Vorig jaar maakte ook Google bekend dat het de ondersteuning van ftp in Chrome ging stoppen. De ondersteuning wordt stopgezet in Chrome 81 en met de lancering van Chrome 82 wordt alle ftp-gerelateerde code verwijderd. Mozilla-ontwikkelaar Michal Novotny laat aan ZDNet weten dat er nu ook een planning voor Firefox is. Met de lancering van Firefox 77 op 2 juni van dit jaar wordt de ondersteuning standaard gestopt. Gebruikers kunnen het via de instellingen van de about:config pagina nog wel inschakelen. Begin 2021 wordt echter alle code uit de browser verwijderd die met het ftp-protocol verband houdt. "We doen dit voor beveiligingsredenen. Ftp is een onveilig protocol en er is geen reden om het boven https te gebruiken voor het downloaden van bestanden. Een deel van de ftp-code is ook oud, onveilig en lastig te onderhouden en in het verleden hebben we er tal van kwetsbaarheden in gevonden", aldus Novotny. bron: security.nl

Google heeft vanwege de uitbraak van het coronavirus besloten om tijdelijk geen nieuwe versies van Chrome en Chrome OS uit te brengen. Beveiligingsupdates zullen nog wel verschijnen. "Vanwege aangepaste werkschema's pauzeren we op dit moment nieuwe Chrome- en Chrome OS-versies. Ons belangrijkste doel is ervoor te zorgen dat ze stabiel, veilig en betrouwbaar blijven werken voor iedereen die ervan afhankelijk is", aldus het ontwikkelteam. Beveiligingsgerelateerde updates krijgen prioriteit en zullen nog wel worden aangeboden. Zo heeft Google kort na deze aankondiging Chrome 80.0.3987.149 uitgerold. Het gaat om een desktopversie van de browser die dertien kwetsbaarheden verhelpt. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De kwetsbaarheden bevonden zich in WebGL, de audio- en mediafunctionaliteit van de browser, de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript en de controle van extensies. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Phishingmails die van de Wereldgezondheidsorganisatie afkomstig lijken, malafide apps en andere scams die inspelen op de berichtgeving over het coronavirus zullen met prioriteit worden bestreden, zo heeft de Amerikaanse minister van Justitie William Barr bekendgemaakt (pdf). De afgelopen dagen waarschuwen allerlei instanties, waaronder de politie, voor phishingmails over het coronavirus. Ook apps die zich voordoen als coronatracker maar in werkelijkheid malware zijn en telefoons vergrendelen zijn inmiddels opgedoken. "De pandemie is al gevaarlijk genoeg zonder dat kwaadwillenden van openbare paniek proberen te profiteren en dit soort gedag kan niet worden getolereerd", stelt Barr in een brief. De justitieminister stelt vervolgens dat alle procureur-generaals het opsporen, onderzoeken en vervolgen van alle criminele activiteiten rond de huidige pandemie prioriteit moeten geven. Een oproep waar ook gehoor aan wordt gegeven. "Het is een absolute prioriteit voor mij en mijn team om crimineel gedrag rond de pandemie te onderzoeken en vervolgen. Burgers moeten alert blijven. Scammers en fraudeurs laten een gelegenheid om te scammen en frauderen nooit verloren gaan", aldus Mike Stuart, procureur-generaal van de Amerikaanse staat West Virginia. bron: security.nl

Twee zerodaylekken in de antivirussoftware van Trend Micro zijn actief aangevallen voordat er een beveiligingsupdate beschikbaar was. Dat heeft de virusbestrijder zelf in een bulletin bekendgemaakt. Het is niet voor het eerst dat de virusscanner van Trend Micro het doelwit van zeroday-aanvallen is. Afgelopen maandag kwam het antivirusbedrijf met beveiligingsupdates voor Trend Micro Apex One en OfficeScan die in totaal vijf kwetsbaarheden verhelpen. Twee van deze beveiligingslekken zijn aangevallen voordat de update werd uitgerold. Een aanvaller kon hierdoor willekeurige code op kwetsbare installaties uitvoeren. Verdere details over deze aanvallen zijn niet gegeven. Vorig jaar waarschuwde Trend Micro ook al voor zeroday-aanvallen op de antivirussoftware. Deze kwetsbaarheden zouden mogelijk zijn gebruikt bij een aanval op Mitsubishi Electric. Naast de twee zerodaylekken zijn ook drie andere kwetsbaarheden verholpen. De ernst van deze drie beveiligingslekken zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via deze kwetsbaarheden kon een aanvaller zonder inloggegevens willekeurige code met systeemrechten op de server uitvoeren. De Japanse overheid adviseert organisaties die van Trend Micro gebruikmaken om de updates zo snel als mogelijk te installeren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere Adobe Acrobat en Reader, Coldfusion en Photoshop verhelpen waardoor een aanvaller in het ergste geval systemen volledig had kunnen overnemen. In het geval van Adobe Acrobat en Reader zijn er dertien kwetsbaarheden gepatcht. Alleen het openen van een kwaadaardig pdf-bestand of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest voor een aanvaller om willekeurige code uit te voeren met rechten van de ingelogde gebruiker, informatie van het systeem te stelen of rechten te verhogen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2020.006.20042, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30166, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30518 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen dertig dagen. Photoshop De updates voor Adobe Photoshop CC 2019 en Photoshop 2020 verhelpen in totaal 22 beveiligingslekken die het uitvoeren van willekeurige code of het stelen van informatie mogelijk maakten. In dit geval zou een Photoshop-gebruiker een speciaal geprepareerde afbeelding moeten openen. Aangezien Photoshop in het verleden geen doelwit van aanvallers is geweest adviseert Adobe om de update te installeren als het uitkomt. ColdFusion Een andere belangrijke update is voor ColdFusion 2016 en 2018 verschenen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. De twee nu verholpen kwetsbaarheden maakten het mogelijk om willekeurige bestanden uit de ColdFusion-installatiedirectory te lezen en bestanden in de webroot- of subdirectory uit te voeren. Dit maakt het uitvoeren van willekeurige code in de context van de ColdFusion-service mogelijk, waardoor een aanvaller toegang tot websites en webservers kan krijgen. Organisaties krijgen het advies om Update 14 voor ColdFusion 2016 en Update 8 voor ColdFusion 2018 snel te installeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. bron: security.nl

Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows. Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app. De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen. Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben. Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen. De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers. Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers. bron: security.nl

Op 11 februari kwam Microsoft met een kritieke beveiligingsupdate voor Exchange, maar een maand later blijkt dat een groot aantal servers nog altijd ongepatcht is. En dat kan een serieus probleem voor organisaties zijn, aangezien servers via de kwetsbaarheid volledig zijn over te nemen. De enige vereiste voor een aanvaller is dat hij toegang tot het e-mailaccount van een gebruiker op de server heeft. Vervolgens is het mogelijk om willekeurige code met systeemrechten uit te voeren. Zo kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Een week geleden werd beken dat aanvallers actief misbruik van de kwetsbaarheid maken. Securitybedrijf Kenna Security besloot te onderzoeken hoe snel organisaties de Exchange-update uitrollen en de resultaten zijn niet bemoedigend, zegt onderzoeker Jonathan Cran. Hij bekeek de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd. Daarnaast maakte Cran gebruik van een dataset van Outlook Web Access (OWA)-servers, verzameld via zoekmachine BinaryEdge. Het ging in totaal om 220.000 publiek toegankelijke OWA-servers. Daarvan bleek 74 procent zeker kwetsbaar te zijn. Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht. "Laat alles vallen en patch deze kwetsbaarheid meteen. Op dit moment vormt dit lek een groter risico dan de meeste andere kwetsbaarheden in de bedrijfsomgeving", aldus de onderzoeker. bron: security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, bevindt zich in grote financiële problemen nu Cisco zich als sponsor heeft teruggetrokken. De stichting verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. De stichting kan dankzij allerlei sponsoren bestaan. Eind februari liet Cisco weten dat het stopte als grootste financiële sponsor in de Verenigde Staten. Daardoor raakte de Shadowserver Foundation meteen vier van de zeven gedoneerde ontwikkelaars/systembeheerders in de Verenigde Staten kwijt. De overige drie gedoneerde medewerkers zullen er op 26 mei mee stoppen. Tevens moet Shadowserver de complete Amerikaanse datacenterinfrastructuur voor 26 mei naar een nieuwe locatie verhuizen. Het gaat om 104 serverracks, 1340 servers en zo'n 12 petabytes aan opslag. "Als een kleine non-profitorganisatie heeft Shadowserver niet de financiële reserves om op deze onverwachte gebeurtenissen en van buiten opgelegde tijdschema's te reageren", zo laat de stichting weten. Zonder directe hulp zal Shadowserver dan ook moeten stoppen met het aanbieden van de belangrijkste diensten, waaronder de gratis netwerkrapporten met informatie over besmette systemen. "Dit betekent het einde van onze mogelijkheid om nationale CERTs en providers te waarschuwen over besmette slachtoffers binnen hun netwerken, en het tijdig voorkomen van te misbruiken, verkeerd geconfigureerde of gecompromitteerde apparaten wereldwijd. Shadowserver is de enige dagelijkse gratis dienst voor het internet op deze schaal", gaat de stichting verder. Er wordt dan ook met spoed naar nieuwe geldschieters gezocht. Belangrijk om hierbij te vermelden is dat het hier alleen om de Amerikaanse afdeling van Shadowserver gaat. De Europese tak wordt via de Europese entiteit van de stichting gefinancierd. "Maar zij zullen op de lange termijn waarschijnlijk ook de gevolgen van de sluiting van ons Amerikaans datacenter voelen", besluit de organisatie. bron: security.nl

Hoewel om een buitengewone situatie gaat is ook bij de bestrijding van het coronavirus de AVG van kracht, zo heeft het Europees Comité voor gegevensbescherming (EDPB) bekendgemaakt. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Op dit moment zijn zowel publieke als private organisaties bezig met de bestrijding van het coronavirus en kunnen daarbij persoonsgegevens verwerken. "Databeschermingsmaatregelen zoals de AVG zijn geen belemmering voor maatregelen die in de strijd tegen het coronavirus worden genomen. Ik wil echter onderstrepen dat zelfs in deze buitengewone tijden de dataverwerker de bescherming van persoonlijke data van de personen in kwestie moet beschermen. Er moet dan ook rekening worden gehouden met een aantal zaken om de rechtmatige verwerking van persoonlijke gegevens te garanderen", zegt EDPB-voorzitter Andrea Jelinek. In het geval van de huidige uitbraak biedt de AVG juridische grondslagen om persoonlijke data te verwerken, zonder de noodzaak om toestemming van de persoon in kwestie te krijgen. "Dit geldt bijvoorbeeld wanneer het verwerken van persoonlijke data noodzakelijk is in het openbaar belang wat betreft de volksgezondheid, om vitale belangen te beschermen of andere juridische verplichtingen", aldus Jelinek. Wanneer er elektronische communicatiegegevens worden verwerkt, zoals mobiele locatiegegevens, gelden er extra regels. Zo kunnen locatiegegevens alleen worden gebruikt wanneer ze zijn geanonimiseerd, of met toestemming van de betrokkenen. "Autoriteiten zouden zich eerst moeten richten op het verwerken van locatiegegevens op anonieme wijze. Dit kan helpen bij het genereren van overzichten met het aantal mobiele apparaten op een bepaalde locatie", gaat de EDPB-voorzitter verder. Wanneer het niet mogelijk is om geanonimiseerde data te verwerken kunnen lidstaten in het belang van nationale en openbare veiligheid noodwetgeving doorvoeren. "Deze noodwetgeving is mogelijk onder de voorwaarde dat het een noodzakelijke, gepaste en proportionele maatregel binnen een democratische samenleving is. Wanneer dergelijke maatregelen worden geïntroduceerd zijn lidstaten verplicht om voldoende beschermingsmaatregelen toe te voegen, zoals de mogelijkheid voor individuen om naar de rechter te stappen", besluit Jelinek. bron: security.nl

De partij achter de Brave-browser heeft bij de Ierse privacytoezichthouder een officiële klacht tegen Google Ierland ingediend voor het overtreden van de AVG (pdf). Google zou namelijk het beginsel van doelbinding, zoals beschreven in de privacywetgeving overtreden, stelt Johnny Ryan van Brave. "Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel", zo laat de Autoriteit Persoonsgegevens over doelbinding weten (pdf). Ryan vroeg Google zes maanden lang wat het bedrijf met zijn gegevens doet. Google zou hier echter geen antwoord op hebben gegeven. Daarnaast heeft Brave een document gepubliceerd waarin het claimt dat Google op allerlei vlakken het principe van doelbinding overtreedt en data van gebruikers voor allerlei andere doeleinden gebruikt dan wordt aangegeven (pdf). Daarbij baseert Brave zich op documenten van Google zelf. "Het onderzoek laat zien dat Google persoonlijke data via integraties met websites, apps en besturingssystemen verzamelt voor honderden slecht gedefinieerde verwerkingsdoeleinden", aldus Ryan. "Googles doelen zijn zo vaag omschreven dat ze geen betekenis of limiet hebben. Het resultaat is een intern vrij gebruik van data die het AVG-principe van doelbinding overtreedt." Brave wil dat de Ierse toezichthouder tegen Google optreedt. Dit zou verschillende gevolgen voor het techbedrijf kunnen hebben. Zo zou Google niet langer automatisch via de eigen producten data over gebruikers mogen verzamelen, zou het niet meerdere toestemmingsverzoeken voor verschillende verwerkingsdoeleinden kunnen bundelen en zouden Google-gebruikers hun eerder gegeven toestemming kunnen intrekken. Naast het indienen van de klacht heeft Brave Europese toezichthouders hier ook op gewezen. bron: security.nl

WordPress krijgt een automatische updatefunctie voor plug-ins en themes die gebruikers hebben geïnstalleerd, wat het aantal aanvallen op WordPress-sites moet terugdringen. Dat heeft de softwareontwikkelaar via de eigen website bekendgemaakt. Volgens marktvorser W3Techs wordt WordPress door 36 procent van alle websites op internet gebruikt. Bij websites met een bekend contentmanagementsysteem (CMS) is dit zelfs 63 procent. In het verleden werden WordPress-sites geregeld gecompromitteerd omdat beheerders beschikbare beveiligingsupdates voor het platform niet hadden geïnstalleerd. Om deze gebruikers te beschermen kwam WordPress eind 2013 met een automatische updatefunctie voor alleen het CMS. WordPress biedt gebruikers ook honderden themes en plug-ins voor het aanpassen van websites, die door externe partijen zijn ontwikkeld. De afgelopen jaren hebben aanvallers op grote schaal gebruikgemaakt van kwetsbaarheden in plug-ins en themes om WordPress-sites te compromitteren en van kwaadaardige code te voorzien. Deze code probeerde bezoekers weer met malware te infecteren of stuurde ze door naar spamsites. In tegenstelling tot de WordPress-updates moeten gebruikers updates voor hun theme of plug-in handmatig installeren. Iets wat niet alle beheerders doen, waardoor websites kwetsbaar zijn voor aanvallen. Daar gaat nu verandering in komen. De versie van WordPress 5.4 die in augustus verschijnt zal namelijk over een automatische updatefunctie voor plug-ins en themes beschikken. Beheerders moeten zelf aangeven welke themes en plug-ins ze automatisch willen laten updaten. Daarnaast zal het CMS ook een e-mail versturen wanneer er updates zijn doorgevoerd. De automatische updatefunctie is nu als losse WordPressplug-in te testen, maar zal straks onderdeel van WordPress zelf worden. Via de plug-in hoopt het WordPress-team feedback over de werking te ontvangen. De updatefunctie moet het aantal gecompromitteerde WordPress-sites gaan terugdringen, hoewel het niet alle aanvallen zal stopen. Het vereist namelijk dat beheerders zelf aangeven dat ze hiervan gebruik willen maken. Daarnaast zijn er de afgelopen maanden meerdere zerodaylekken in plug-ins ontdekt die werden aangevallen voordat er een update beschikbaar was. In sommige gevallen worden kwetsbare themes en plug-ins niet meer onderhouden door de ontwikkelaar, waardoor websites ondanks een automatische updatefunctie kwetsbaar blijven, tenzij beheerders ze verwijderen. Beheerders krijgen dan ook het advies om gebruikte plug-ins en themes nauwlettend in de gaten te houden. Hieronder een voorbeeld van hoe de updatefunctie er mogelijk gaat uitzien. bron: security.nl

Beste Ldv, Dit is een bekende manier om toegang te krijgen op je computer. Ze bellen je op en melden dat je een probleem hebt. Volgens willen ze je best helpen en koet je "even" een tooltje op je computer downloaden zodat ze mee kunnen kijken. Volgens nemen ze alles over en mag je vaak je beurs trekken om bepaalde, door de beller veroorzaakte, problemen op te lossen. Zolang je je systeem up-to-date houdt, regelmatig scant op virussen en een backup bij houdt, hoef je je geen zorgen te maken. De vrienden uit vaak India zullen je waarschijnlijk nog wel vaker bellen. Doe ze maar de groeten van mij

Google heeft een gratis opensourcetool gelanceerd om Linux-systemen tegen usb-injectieaanvallen te beschermen. Het gaat dan specifiek om aanvallen waarbij er bijvoorbeeld een usb-stick op een systeem wordt aangesloten die zich als toetsenbord voordoet en toetsaanslagen op het systeem injecteert. Een aanvaller zou zo kunnen proberen om toegang tot systemen te krijgen of vertrouwelijke data stelen. De "USB Keystroke Injection Protection" van Google moet dergelijke aanvallen voorkomen. De tool kijkt hoe toetsaanslagen worden ingevoerd om te bepalen of het om een aanval gaat of een persoon die bijvoorbeeld inlogt. Bij een injectieaanval worden toetsaanslagen namelijk veel sneller ingevoerd dan een mens zou kunnen. Gebruikers kunnen een gewenste invoerwaarde opgeven die met hun typesnelheid overeenkomt, of dit laten monitoren door de tool. De tool is zelf in twee modes te draaien, namelijk Hardening en Monitor. Standaard staat de Hardening-mode ingeschakeld, die alle als verdacht geclassificeerde usb-apparaten blokkeert. De Monitoring-mode blokkeert deze apparaten niet, maar slaat informatie over het apparaat op in een logbestand. "Toetsaanslaginjectieaanvallen zijn lastig te detecteren en te voorkomen, aangezien ze via usb plaatsvinden, de meestgebruikte aansluiting voor computerapparatuur, en een Human Interface Device-driver vereisen, die op de meeste besturingssystemen met muis- toetsenbordinvoer aanwezig is", zegt Sebastian Neuner van Google. "De tool maakt het lastiger voor aanvallers terwijl de gebruiker niet hoeft te beslissen of een apparaat kwaadaardig of goedaardig is, behalve bij het verfijnen van de heuristieke waarden." De tool draait als een daemon en is via GitHub verkrijgbaar. bron: security.nl