Captain Kirk

Het aantal slachtoffers dat vorig jaar bij de Fraudehelpdesk aanklopte is sterk gestegen ten opzichte van de jaren daarvoor, zo laat de organisatie in een persbericht weten. Het aantal slachtoffers ging van 70 in 2017 naar 482 in 2019. De schade steeg van 141.000 euro naar 853.000 euro. Over de gehele linie genomen ontving de Fraudehelpdesk in 2019 meer meldingen van mensen die het slachtoffer van cybercrime zijn geworden. Maakten in 2018 nog 2800 slachtoffers melding die voor bijna 21 miljoen euro waren gedupeerd. Vorig jaar was dit naar 4600 slachtoffers gestegen met een schadebedrag van 26 miljoen euro. De meeste slachtoffers (1570) vielen in de categorie marktplaats/webwinkel. Een stijging van bijna 600 ten opzichte van het aantals slachtoffers in 2018. De schade die slachtoffers in deze categorie opliepen is met een totaal bedrag van 480.000 euro echter beperkt. Het grootste schadebedrag is voor de categorie beleggingsfraude (10,7 miljoen euro), gevolgd door datingfraude (3,7 miljoen euro) en advanced fee/bitcoinfraude (2,9 miljoen euro). De categorie cybercrime, waar ook phishing deel van uitmaakt, was goed voor 922 slachtoffers en een schadebedrag van bijna 1,5 miljoen euro. De Fraudehelpdesk waarschuwt internetgebruikers om alert te zijn, in het bijzonder bij schriftelijke verzoeken om geld (via e-mail, WhatsApp of sms) en wanneer men ongevraagd wordt benaderd met een betaalverzoek, een mooi aanbod of een onbekend 'probleem'. Bij de cijfers van de Fraudehelpdesk, dat door de overheid wordt gesubsidieerd, moet worden opgemerkt dat het hier alleen gaat om mensen die bij deze organisatie een melding maakten. Cijfers van slachtoffers die aangifte bij de politie doen zijn niet meegeteld. bron: security.nl

De Britse overheid wil dat elk IoT-apparaat dat in het Verenigd Koninkrijk wordt verkocht over een uniek wachtwoord beschikt. Daarnaast moeten Iot-fabrikanten tijdig reageren op meldingen van beveiligingslekken en moet duidelijk worden aangegeven hoelang een IoT-apparaat beveiligingsupdates ontvangt. Een wetsvoorstel dat dit mogelijk moet maken is vandaag aangekondigd. "Hoewel de Britse overheid altijd de industrie heeft aangemoedigd om met een vrijwillige aanpak te komen, is het nu duidelijk dat daadkrachtig optreden is vereist om ervoor te zorgen dat deze producten by design over sterke cybersecurity beschikken", zegt de Britse minister van Digitale Zaken en Breedband Matt Warman. Volgens Warman moet het wetsvoorstel miljoenen gebruikers tegen "cyber hacks" beschermen door drie beveiligingseisen aan IoT-apparaten te stellen. Ten eerste moeten alle IoT-apparaten over een uniek wachtwoord beschikken dat niet naar een universeel wachtwoord is te resetten. Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren. Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen. "Onze nieuwe wet houdt IoT-fabrikanten verantwoordelijk en stopt hackers die de privacy en veiligheid van mensen bedreigen", aldus Warman. "Het houdt in dat robuuste beveiligingsstandaarden in het ontwerp worden verwerkt en geen bijzaak zijn." De Britse regering hoopt het wetsvoorstel binnenkort voor te leggen aan het parlement. De eisen zijn volgens Warham samen met het bedrijfsleven en het Britse National Cyber Security Centre (NCSC) opgesteld. bron: security.nl

Een beveiligingslek in software die door managed serviceproviders wordt gebruikt geeft aanvallers op afstand toegang tot opgeslagen domeinbeheerderswachtwoorden. Een volledige beveiligingsupdate is nog niet voorhanden, wel een hotfix. Het gaat om de software N-Central van softwarebedrijf SolarWinds. Managed serviceproviders kunnen via N-Central de netwerken van hun klanten beheren. In het verleden zijn aanvallers erin geslaagd om bij managed serviceproviders die hun eigen beveiliging niet op orde hadden in te breken en daarvandaan klanten van de provider met ransomware te infecteren. Op 10 oktober 2019 werd een lek in N-Central aan SolarWinds gerapporteerd. Hierdoor kan een aanvaller de configuratie van klanten uitlezen en zo opgeslagen domeinbeheerderswachtwoorden achterhalen. SolarWinds had negentig dagen de tijd gekregen om de kwetsbaarheid te verhelpen. Het softwarebedrijf kwam niet binnen de gestelde tijd met een update. Vervolgens werd informatie over het beveiligingslek en een tool om daar misbruik van te maken op 21 januari openbaar gemaakt. Niet veel later werden de tool en informatie weer offline gehaald, zo meldt securitybedrijf Huntress. Tevens was er een screenshot online verschenen hoe kwetsbare servers via zoekmachine Shodan waren te vinden. Volgens de zoekmachine ging het om meer dan vierduizend N-Central-servers van een onbekend aantal managed serviceproviders. Op 24 januari publiceerde SolarWinds mitigatiemaatregelen om wachtwoorden uit N-Central te verwijderen die mogelijk door aanvallers zijn buitgemaakt. Dezelfde dag verscheen ook een hotfix die de auto-import feature tijdelijk uitschakelt. De feature zal met een toekomstige beveiligingsupdate weer worden ingeschakeld. Securitybedrijf Huntress meldt dat er managed serviceproviders zijn die uit voorzorg alle in N-Central opgeslagen accounts hebben uitgeschakeld. Daarnaast hebben deze providers van elke klant die via de softwaretool wordt beheerd een nieuw wachtwoord ingesteld dat niet aan een domeinaccount is gekoppeld. bron: security.nl

Onderzoekers hebben op internet ruim 16.000 Windows Remote Desktop Gateways gevonden die kwetsbaar voor aanvallen zijn. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Microsoft kwam eerder deze maand met updates voor twee ernstige kwetsbaarheden in de Remote Desktop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610. Via deze lekken kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Desktop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen. Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zodat aanvallers niet alleen kwetsbare Gateways kunnen overnemen, maar ook gebruikers die daarmee verbinding maken. Op 14 januari publiceerde Microsoft zoals gezegd beveiligingsupdates voor de kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid besloot zelfs een aparte waarschuwing voor de kwetsbaarheden te versturen. Inmiddels is er een exploit online verschenen waarmee kwetsbare Gateways op afstand zijn over te nemen. Het Dutch Institute for Vulnerability Disclosure voerde een scan uit op internet en ontdekte nog ruim 16.000 kwetsbare, ongepatchte Remote Desktop Gateways, zo meldt beveiligingsonderzoeker Victor Gevers. bron: security.nl

Er zijn verschillende groepen cybercriminelen die op dit moment kwetsbare Citrix-systemen aanvallen, maar één groep maakt daarbij ook gebruik van de EternalBlue-exploit die de NSA ontwikkelde. Dat meldt securitybedrijf FireEye. De aanvallers gebruiken een kwetsbaarheid in de Citrix Gateway om daarvandaan het achtergelegen bedrijfsnetwerk aan te vallen. Naast het installeren van een backdoor op het Citrix-systeem maken de aanvallers ook gebruik van de EternalBlue-exploit om achtergelegen machines aan te vallen. Deze door de Amerikaanse geheime dienst NSA ontwikkelde exploit maakt gebruikt van een beveiligingslek in Windows waarvoor sinds maart 2017 een beveiligingsupdate beschikbaar is. Lukt het de aanvallers om toegang tot de overige machines in het bedrijfsnetwerk te krijgen dan wordt de Ragnarok-ransomware geïnstalleerd. De ransomware versleutelt bestanden en vraagt vervolgens losgeld voor het ontsleutelen van de data. In het geval van Ragnarok gaat het om een bedrag van 8.000 euro voor één computer en 40.000 euro voor alle machines. Wanneer organisaties niet binnen vijf dagen betalen dreigen de aanvallers alle data te verwijderen en op internet te publiceren. Hoewel er nu een groep is ontdekt die het Citrix-lek gebruikt om ransomware te verspreiden gebruiken de meeste aanvallers de kwetsbaarheid om systemen met cryptominers te infecteren, aldus FireEye. Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn op internet nog altijd 10.000 kwetsbare Citrix-systemen te vinden, zo blijkt uit cijfers. Daarnaast is een veel groter aantal mogelijk al gecompromitteerd omdat de mitigaties niet op tijd werden doorgevoerd. bron: security.nl

Mozilla heeft de afgelopen weken een groot aantal malafide Firefox-extensies geblokkeerd die wachtwoorden en andere gegevens van gebruikers probeerden te stelen, instellingen wijzigden, geobfusceerde code gebruikten en gebruikers schadelijke software probeerden te laten installeren. Dat blijkt uit een overzicht van geblokkeerde Firefox-extensies. Mozilla houdt een overzicht bij van de Firefox-extensies die het bij gebruikers heeft geblokkeerd en van addons.mozilla.org heeft verwijderd. Firefox-extensies moeten zich aan bepaalde regels houden, anders worden ze verwijderd. Normaliter gaat het om een paar vermeldingen per week in het overzicht, maar alleen op 19 december ging het opeens om 61 vermeldingen, die vaak meerdere Firefox-extensies betreffen. De voornaamste reden was het zonder toestemming wijzigen van zoekinstellingen en het verzamelen van allerlei soorten gegevens, zonder dat gebruikers hier iets aan kunnen doen. Ook was er een extensie, Tamo Junto Caixa, die op afstand code uitvoerde. De add-ons vallen in verschillende categorieën, zoals extensies om YouTube-filmpjes te downloaden, documenten naar pdf om te zetten en pdf-bestanden te bekijken. Het gaat onder andere om extensies met de naam 2Ring, Rolimons Plus, RoliTrade, FromDocToPDF, WeatherPool en Your Social. Daarnaast blokkeert Mozilla ook nog altijd oudere versies van Adobe Flash Player omdat ze kwetsbaarheden bevatten. Later dit jaar wordt de ondersteuning van Flash Player gestopt. "Verrassingen kunnen in veel gevallen gepast zijn, maar ze zijn niet welkom wanneer het gaat om de security, privacy en controle van gebruikers. Het is zeer belangrijk om zo transparant als mogelijk te zijn bij het inzenden van een add-ons. De gebruiker moet eenvoudig kunnen zien wat de functionaliteit van je add-on is en niet na de installatie met onverwachte gebruikerservaringen worden geconfronteerd", aldus Mozilla aan ontwikkelaars. Aangezien Mozilla de extensies bij gebruikers blokkeert hoeven die hier zelf geen actie voor te ondernemen. bron: security.nl

Softwarebedrijf Citrix betreurt de gevolgen die de ernstige kwetsbaarheid in de Application Delivery Controller (ADC) en Gateway heeft gehad op klanten. Dat stelt het bedrijf bij het uitbrengen van de laatste beveiligingsupdate voor de kwetsbaarheid die sinds 17 december bekend is. Via het beveiligingslek kunnen aanvallers kwetsbare Citrix-systemen overnemen en daarvandaan bijvoorbeeld het bedrijfsnetwerk aanvallen. De eerste updates verschenen op 19 januari, hoewel Citrix in de aankondiging op 17 december mitigatiemaatregelen had gepubliceerd. Veel organisaties hadden deze maatregelen die bescherming tegen aanvallen boden niet op tijd doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen. "klantveiligheid is een topprioriteit voor Citrix", zegt Citrix-cio Fermin Serna bij de aankondiging van de laatste beveiligingsupdate voor de kwetsbaarheid. Deze patch is voor Citrix ADC en Gateway versie 10.5. "We betreuren de impact die deze kwetsbaarheid op getroffen klanten heeft gehad", voegt Serna toe. Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben. bron: security.nl

Criminelen maken gebruik van het ernstige beveiligingslek in Citrix om organisaties met ransomware te infecteren. De Duitse auto-onderdelenfabrikant Gedia zou op deze manier met de Sodinokibi-ransomware besmet zijn geraakt. Dit is dezelfde ransomware die eerder GWK Travelex infecteerde. Dat melden verschillende beveiligingsonderzoekers op Twitter. Aanvallers zouden eerst het Citrix-systeem overnemen en daarvandaan de achtergelegen computers in het netwerk van de organisatie infecteren. Citrix wordt onder andere gebruikt voor thuiswerken. Zo kunnen medewerkers vanuit huis toegang tot het intranet van een organisatie krijgen. Al bij het bekend worden van de kwetsbaarheid werd gewaarschuwd dat die voor de verspreiding van ransomware was te gebruiken. Dergelijke aanvallen waren echter tot nu toe niet waargenomen. Volgens een onderzoeker met het alias Under the Breach hebben de aanvallers achter de Sodinokibi-ransomware, die ook bekendstaat als REvil, niet alleen Gedia via het Citrix-lek geïnfecteerd, maar ook andere organisaties. Vanwege de infectie besloot de Duitse auto-onderdelenfabrikant het volledige netwerk uit te schakelen. "Het zal nog weken tot maanden duren voordat alle processen volledig zijn hersteld", zo liet Gedia in een verklaring weten. Volgens de Nederlandse beveiligingsonderzoeker Victor Gevers zijn erop internet nog 11.000 kwetsbare Citrix-systemen te vinden. Citrix heeft inmiddels beveiligingsupdates voor de kwetsbaarheid beschikbaar gemaakt. Vanavond verschijnt de laatste patch, bedoeld voor de oudste versie van de Citrix-software. Daarnaast biedt het softwarebedrijf een gratis scantool aan waarmee organisaties kunnen controleren of hun Citrix-systemen zijn gecompromitteerd. bron: security.nl

De Italiaanse mededingingsautoriteit AGCM heeft Facebook met een nieuwe miljoenenboete gedreigd. Eind 2018 oordeelde de toezichthouder dat Facebook haar gebruikers niet goed informeerde over het verzamelen en gebruiken van hun persoonlijke data voor commerciële doeleinden. Facebook stelt dat het platform gratis is te gebruiken, terwijl het eigenlijk data van gebruikers voor commerciële doeleinden verzamelt. Daardoor maakt Facebook zich schuldige aan een oneerlijke commerciële handeling, waarbij gebruikers worden verleid tot het maken van een "transactionele beslissing" die ze anders niet zouden maken, aldus de AGCM. Naast een boete van 5 miljoen euro die de toezichthouder Facebook destijds oplegde werd de sociale netwerksite ook verboden om op deze manier door te gaan. Facebook moest daarnaast op de website, binnen de app en persoonlijke pagina van elke geregistreerde Italiaanse gebruiker een verklaring plaatsen. Facebook verwijderde de "it’s free and always will be!" vermelding van de eigen website. Toch worden nieuwe gebruikers nog altijd niet goed geïnformeerd over het verzamelen en gebruiken van hun gegevens voor commerciële doeleinden, laat de toezichthouder verder weten. Ook heeft Facebook de verklaring over de werkwijze nooit gepubliceerd. Doordat Facebook dit niet heeft gedaan, terwijl het wel was verzocht, kan de AGCM opnieuw een boete van 5 miljoen dollar opleggen. bron: security.nl

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor een toename van aanvallen met de beruchte Emotet-malware. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld. Vanwege de toegenomen aanvallen met Emotet geeft het CISA systeembeheerders het advies om verschillende best practices te volgen, zoals het blokkeren van bepaalde e-mailbijlagen zoals .dll, .exe, .zip en andere bestansextensies. Tevens moeten gebruikers zo min mogelijk rechten krijgen, moeten netwerken en functies worden gescheiden en onnodige laterale communicatie worden beperkt. Tevens pleit het CISA voor het implementeren van Domain-Based Message Authentication, Reporting & Conformance (DMARC) en het blokkeren van verdachte ip-adressen door de firewall. bron: security.nl

Softwarebedrijf Citrix heeft samen met securitybedrijf FireEye een gratis opensourcetool beschikbaar gemaakt waarmee organisaties kunnen controleren of hun Citrix-systemen door aanvallers zijn gecompromitteerd. Het gaat dan speciaal om aanvallen die misbruik van een kwetsbaarheid in Citrix maken waarvoor afgelopen zondag een eerste beveiligingsupdate verscheen. Organisaties kunnen met de gratis tool lokaal hun Citrix-systemen scannen en zo snel achterhalen of die zijn gecompromitteerd. De tool, die compatibel is met alle ondersteunde versies van de Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP, maakt hiervoor gebruik van informatie over bekende aanvallen en exploits. Naast het toepassen van de mitigatiemaatregelen en installeren van de updates die op 19 januari verschenen en nog op 24 januari zullen verschijnen adviseert Citrix dat alle klanten deze tool draaien. Citrix waarschuwt dat de tool geen garantie biedt dat alle aanvallen worden opgemerkt. In het geval er wel aanwijzingen van een gecompromitteerd systeem worden aangetroffen krijgen organisaties het advies om een forensisch onderzoek uit te laten voeren. De "Indicator of Compromise Scanner for CVE-2019-19781" is te downloaden via GitHub. bron: security.nl

Microsoft heeft via een onbeveiligde database miljoenen klantgegevens gelekt. Volgens het techbedrijf was de klantensupportdatabase door een misconfiguratie 25 dagen lang voor iedereen op internet toegankelijk. De database, die 250 miljoen records bevatte, werd door een zoekmachine geïndexeerd en vervolgens door beveiligingsonderzoeker Bob Diachenko ontdekt. De miljoenen records bleken logs te bevatten van gesprekken tussen Microsoftmedewerkers en klanten van over de gehele wereld. Het ging om een periode van 14 jaar, van 2005 tot december 2019. De data was voor iedereen op internet met een browser toegankelijk. Er was geen wachtwoord of andere vorm van authenticatie vereist. Microsoft en Diachenko stellen dat de meeste persoonlijke identificeerbare informatie, zoals e-mailnamen, contractnummers en betaalinformatie, was verwijderd. In veel records werden echter toch persoonlijke gegevens aangetroffen, zoals e-mailadressen, ip-adressen, locaties, oplossingen, interne notities gemarkeerd als vertrouwelijk en andere zaken. Diachenko waarschuwde Microsoft op 29 december. Een dag later was de database beveiligd. In een verklaring stelt Microsoft dat door een misconfiguratie in de network security group van de database die sinds 5 december voor iedereen toegankelijk was. "Misconfiguraties zijn helaas een veelgemaakte fout in de industrie. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas stonden die voor deze database niet ingeschakeld", zegt Ann Johnson van Microsoft. Johnson stelt dat onderzoek naar de database geen misbruik heeft aangetoond. Microsoft zal alle getroffen klanten informeren. bron: security.nl

Onderzoekers hebben tijdens de Pwn2Own-wedstrijd in Miami meerdere zerodaylekken in industriële controlesystemen (ICS) aangetoond. Via de kwetsbaarheden, waarvoor nog geen beveiligingsupdate beschikbaar is, is het mogelijk om systemen plat te leggen of over te nemen. Pwn2Own is een jaarlijks terugkerend evenement dat sinds 2007 tijdens de CanSecWest-conferentie in Vancouver plaatsvindt. In eerste instantie richtte de wedstrijd zich alleen op browsers. Onderzoekers en hackers die onbekende kwetsbaarheden in browsers demonstreerden ontvingen hiervoor geldprijzen. Niet alleen werden meer programma's als doelwit toegevoegd, er volgde ook een tweede competitie genaamd Mobile Pwn2Own, die sinds 2013 in Tokyo wordt gehouden en is gericht op smartphones. Nu is er een derde competitie in Miami toegevoegd waar ICS-systemen het doelwit zijn. De wedstrijd, die door het Zero Day Initiative (ZDI) wordt georganiseerd, richt zich op acht producten in vijf categorieën: controleservers, OPC Unified Architecture (OPC UA) servers, DNP3 gateways, human machine interfaces (HMI) en engineering workstation software (EWS). Het gaat om producten van onder andere Rockwell Automation en Schneider Electric. Op de eerste dag van het evenement werden er dos-aanvallen tegen de Triangle Microworks SCADA data gateway en Iconics Genesis64 controleserver gedemonstreerd. Tevens lukte het onderzoekers om op afstand willekeurige code uit te voeren op de Rockwell Automation FactoryTalk View SE, de Iconics Genesis64 controleserver en Inductive Automation Ignition controleserver. Dergelijke systemen worden onder andere in de vitale infrastructuur en industriële processen gebruikt. In totaal ontvingen de onderzoekers voor de demonstratie van de onbekende kwetsbaarheden 110.000 dollar. Informatie over de kwetsbaarheden worden nu met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Nadat er patches zijn ontwikkeld zal het ZDI details over de beveiligingslekken vrijgeven. Vandaag vindt de tweede dag van het evenement plaats. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor een malware-exemplaar genaamd Starslord dat via e-mailbijlagen wordt verstuurd. Het gaat om een variant van de sLoad-malware waar vorige maand al voor werd gewaarschuwd. De naam Starslord verwijst naar een string in de malwarecode en is volgens Microsoft waarschijnlijk afgeleid van een stripheld. De malware zit in een zip-bestand dat via e-mail wordt verstuurd. Het zip-bestand bevat weer een wsf-bestand dat het systeem uiteindelijk infecteert. Eenmaal actief steelt de malware informatie van het systeem, waaronder screenshots, en kan aanvullende malware downloaden. Voor het versturen van de gestolen informatie maakt de malware gebruik van Microsofts Background Intelligent Transfer Service (BITS). Windows maakt gebruik van BITS voor het downloaden van updates. De service kan echter ook door malware worden gebruikt. Om analyse door onderzoekers tegen te gaan past de Starslord-malware verschillende trucs toe. De "polymorfische aard" van Starslord en de manier waarop die werkt zorgen ervoor dat de malware lastig is te detecteren, aldus Microsoft. bron: security.nl

Vpn-dienst ProtonVPN heeft de broncode en security-audits van de software openbaar gemaakt. ProtonVPN werd in 2017 gelanceerd en biedt apps voor verschillende platformen. De broncode van de software voor Android, iOS, macOS en Windows is nuopen source gemaakt en via GitHub te bekijken. Daarnaast heeft de vpn-aanbieder securitybedrijf SEC Consult een security-audit van de software laten uitvoeren. In de Windows-versie werden twee "medium" en twee "low" kwetsbaarheden aangetroffen. De Android-app bevatte één medium-lek en vier laag geclassificeerde beveiligingslekken, terwijl de iOS-app twee van dergelijke kwetsbaarheden bevatte. In de macOS-versie van de software werden geen beveiligingslekken aangetroffen. "Hoewel er binnen de versleutelde communicatie tussen de mobiele applicatie en backend-systemen problemen met certificaatvalidatie zijn aangetroffen, was het niet mogelijk om het versleutelde vpn-verkeer te ontsleutelen", aldus de onderzoekers. Die stellen verder dat er geen problemen zijn gevonden waarmee een aanvaller ongeautoriseerde toegang tot data van andere gebruikers had kunnen krijgen, tenzij er fysieke toegang tot het systeem van het slachtoffer was verkregen. ProtonVPN heeft verschillende van de gevonden kwetsbaarheden verholpen. "Vpn-diensten kunnen zeer gevoelige gebruikersgegevens benaderen", zegt Andy Yen, oprichter en ceo van Proton Technologies, het bedrijf achter ProtonVPN. Volgens Yen is het belangrijk dat vpn-diensten het vertrouwen van hun gebruikers winnen en wil ProtonVPN dit doen door broncode te publiceren. Daarnaast zullen er op periodieke basis security-audits van de apps worden uitgevoerd. bron: security.nl

Een beveiligingslek in verschillende virusscanners zorgt ervoor dat aangepaste RAR-bestanden die malware bevatten niet kunnen worden gescand, maar wel door de gebruiker zijn te openen. Het gaat om virusscanners die de scan-engine van Bitdefender gebruiken, waaronder Bullguard, G Data en Emsisoft. "De engine is via een speciaal geprepareerd RAR-archief te omzeilen, zodat de eindgebruiker die kan openen, maar niet de antivirussoftware. De engine kan het archief niet scannen en geeft het een "schoon" beoordeling", zegt onderzoeker Thierry Zoller die het probleem ontdekte. Bitdefender heeft inmiddels een beveiligingsupdate uitgebracht. Dat geldt nog niet voor alle andere partijen die van de scan-engine gebruikmaken. Bitdefender stelt dat 38 procent van de beveiligingsoplossingen wereldwijd met de scan-engine van het bedrijf werkt. Zodra de overige antivirusbedrijven het probleem hebben verholpen zal Zoller meer details vrijgeven. Het is niet de eerste keer dat de onderzoeker een dergelijke kwetsbaarheid in de engine van Bitdefender ontdekt. Via BZIP-bestanden was het eerder ook al mogelijk om de scan-engine te omzeilen. Volgens Zoller kostte het de nodige moeite om Bitdefender die kwetsbaarheid te laten patchen. bron: security.nl

Een bug in een recente versie van LastPass heeft ervoor gezorgd dat een onbekend aantal gebruikers een aantal dagen niet op de online wachtwoordmanager kon inloggen. In eerste instantie stelde LastPass nog dat het probleem niet aan de kant van het bedrijf lag. De fout is inmiddels verholpen. Tijdens het weekend klaagden gebruikers op Reddit en Twitter dat ze een foutmelding kregen tijdens het inloggen op LastPass, de populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Daardoor konden deze gebruikers niet op hun online accounts inloggen, tenzij ze het wachtwoord van die accounts zouden resetten. Het probleem speelde zowel bij de app als browserextensie. LastPass stelde in een reactie dat het geen probleem in de eigen dienst had gevonden. Verder onderzoek wees echter uit dat het probleem wel aan de kant van LastPass lag. In een blogpost stelt het bedrijf dat een bug in een recente release ervoor zorgde dat een "klein aantal" gebruikers met een "bepaalde geschiedenis" niet meer kon inloggen. Verdere details worden niet gegeven, behalve dat het euvel is verholpen. LastPass heeft naar eigen zeggen 13,5 miljoen gebruikers en zou door 47.000 organisaties worden gebruikt. bron: security.nl

LastPass is een onderzoek gestart naar aanleiding van gebruikers die niet op de online wachtwoordmanager kunnen inloggen. Verschillende gebruikers melden op Twitter en Reddit dat ze zowel via de smartphone-app als browserextensies hun in de cloud opgeslagen wachtwoorden niet kunnen benaderen. Gebruikers krijgen tijdens het inloggen een foutmelding te zien dat de server niet te bereiken is. Via Twitter meldt LastPass dat een "zeer klein aantal klanten" last van de foutmelding heeft, maar dat er geen problemen aan de kant van LastPass zijn vastgesteld. De wachtwoordmanager heeft ook een apart Twitteraccount waarmee de status wordt weergegeven. Daar laat het bedrijf weten dat sommige LastPass-klanten tijdens het inloggen met problemen te maken hebben. Er zouden echter nog geen problemen in de servers of diensten van LastPass zijn gevonden. LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Doordat mensen niet kunnen inloggen bij LastPass hebben ze geen toegang tot hun wachtwoorden en kunnen daardoor ook niet op andere online accounts inloggen, tenzij ze daarvan het wachtwoord resetten. Sommige van de getroffen gebruikers melden dat ze al een aantal dagen niet bij LastPass kunnen inloggen en dat de door LastPass aanbevolen stappen niet helpen. bron: security.nl

Google heeft een aanpassing aan de downloadcontrole van Chrome doorgevoerd waardoor de browser voortaan alle downloads controleert. Chrome maakt gebruik van Google Safe Browsing-dienst om te bepalen of een bestand kwaadaardig is. Hiervoor stuurt de browser de checksum en wat andere informatie van het bestand naar Google en ontvangt vervolgens een oordeel of het om een goedaardig of kwaadaardig bestand gaat. Voorheen werden echter niet alle downloads gecontroleerd. Chrome maakte gebruik van een lijst met extensies die het wel en niet moest controleren. Extensies die niet op de lijst stonden werden genegeerd. De aanpassing die Google heeft doorgevoerd zorgt ervoor dat alle extensies worden gecontroleerd, behalve die op de whitelist staan. "Dit houdt in dat bij bijna alle bestanden die je downloadt, de checksum en wat andere informatie over het bestand naar Google worden gestuurd. Het is nog onduidelijk wat dit voor de privacy inhoudt", aldus Yakov Shafranovich van securitybedrijf Nightwatch Cybersecurity. Gebruikers kunnen de downloadcontrole uitschakelen door Safe Browsing in zijn geheel uit te schakelen. De browser zal dan ook niet meer voor phishingsites en dergelijke waarschuwen. Er is geen optie om de downloadcontrole los van de controle van bezochte websites uit te schakelen. bron: security.nl

Microsoft heeft een nieuwe versie van Edge gelanceerd en belooft dat de browser meer privacy dan de oude Edge biedt. De nieuwste Edge-versie is op Chromium gebaseerd, de opensourcebrowser die ook de basis voor Google Chrome, Opera en andere browsers vormt. Vorig jaar verscheen al een testversie van Edge Chromium, maar nu is de definitieve versie uitgebracht. De browser biedt volgens Microsoft betere prestaties en meer privacy dan de oudere versie. Het techbedrijf heeft het zelfs over een "privacybelofte". Standaard blokkeert Edge Chromium trackers van websites die gebruikers nog nooit hebben bezocht en schadelijke trackers. Daarnaast kunnen gebruikers de browser strenger instellen zodat de meeste trackers worden geblokkeerd. Edge Chromium is beschikbaar voor macOS en Windows. In de toekomst zal de browser automatisch op Windows 10-computers worden geïnstalleerd en de oude Edge-versie vervangen. De komende weken zal deze migratie beginnen, waarbij er wordt begonnen met Windows Insiders. Vooralsnog zal de automatische upgrade naar de nieuwe Edge niet binnen bedrijven en onderwijsinstellingen plaatsvinden. bron: security.nl

Nog geen twee dagen na het verschijnen van een beveiligingsupdate voor het crypto-lek in Windows 10 en Server 2016/2019 zijn er proof-of-concept exploits verschenen. Door de kwetsbaarheid is het mogelijk om man-in-the-middle-aanvallen op versleutelde verbindingen uit te voeren, en zo vertrouwelijke informatie te achterhalen, en malware te signeren waardoor het van een betrouwbare partij afkomstig lijkt. Het beveiligingslek werd door de Amerikaanse geheime dienst NSA ontdekt. Volgens de dienst zullen aanvallers op korte termijn misbruik van de kwetsbaarheid maken. Inmiddels zijn ook twee proof-of-concept exploits online verschenen om de kwetsbaarheid te demonstreren. Via de exploits, onder andere van een Deense beveiligingsonderzoeker, is het mogelijk om bestanden in naam van een andere partij te signeren. Volgens Yolan Romailler van securitybedrijf Kudelski Security, dat één van de proof-of-concept exploits en een uitgebreide uitleg van de kwetsbaarheid online publiceerde, zal het lek niet door scriptkiddies of ransomware worden gebruikt. Het grootste probleem is de mogelijkheid voor het uitvoeren van man-in-the-middle-aanvallen. In deze gevallen moet de aanvaller nog steeds controle over het netwerk van het slachtoffer hebben. Onderzoeker Saleem Rashid demonstreerde op Twitter al een man-in-the-middle-aanval tegen GitHub. Romailler stelt dat de kwetsbaarheid niet eenvoudig is te misbruiken en er daarom is besloten de proof-of-concept exploit vrij te geven. De onderzoeker merkt op dat de kwetsbaarheid "niet goed genoeg" voor een plotselinge ransomware-uitbraak is, zoals bij WannaCry het geval was. "Dat is waarschijnlijk ook de reden waarom de NSA besloot om hun ontdekking niet zelf voor aanvallen te gebruiken, maar te rapporteren. Voor hen is het waarschijnlijk beter dat de VS is gepatcht, dan het risico te nemen dat het tegen de VS wordt ingezet, aangezien het aanvalsoppervlak zo groot is", besluit Romailler. bron: security.nl

Terwijl het crypto-lek in Windows 10 uitgebreid in het nieuws komt zijn er gisterenavond twee andere Windows-kwetsbaarheden verholpen die volgens Microsoft veel ernstiger zijn. Aanleiding voor het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid om hier een aparte waarschuwing voor te versturen. Het gaat om twee kwetsbaarheden in de Windows Remote Desktop Gateway. De Remote Dekstop Gateway laat gebruikers via de Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Via twee kwetsbaarheden in de Remote Dekstop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610, kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Het door de NSA ontdekte cryptolek is volgens Microsoft minder ernstig, aangezien deze kwetsbaarheid als "belangrijk" is bestempeld en een score van 8,1 krijgt. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Dekstop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen. Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zo waarschuwt het Zero Day Initiative (ZDI). Een aanvaller compromitteert eerst de Remote Desktop Gateway. Vervolgens worden alle gebruikers die op de gateway inloggen gecompromitteerd. Volgens Dustin Childs zijn de kwetsbaarheden in de Remote Desktop Gateway een aantrekkelijk doelwit voor aanvallers. bron: security.nl

Google zou voor 2022 third-party cookies in Chrome willen uitfaseren, zo heeft het techbedrijf in een blog bekendgemaakt. De maatregel zou de privacy van internetgebruikers moeten verbeteren. Adverteerders zijn echter al lang niet meer gevonden aan third-party cookies. Tegenwoordig worden namelijk ook first-party trackers gebruikt. Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website waren van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt. Safari en Firefox besloten daarop om third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken. Volgens Google heeft de beslissing van Apple en Mozilla om third-party cookies te blokkeren onbedoelde gevolgen die nadelig voor gebruikers en het web kunnen zijn. Zo zou het inkomen van websites en adverteerders worden geschaad en zouden trackers in plaats van cookies gebruikers via fingerprinting volgen. Hierbij wordt er een unieke "vingerafdruk" van het systeem van de gebruiker gemaakt zodat die over het web te volgen is. De Amerikaanse burgerrechtenbeweging EFF en onderzoekers stelden eerder al dat Google het eigen businessmodel verdedigt en er juist moet worden ingezet op het beschermen van de privacy van gebruikers door zowel third-party cookies als fingerprinting aan te pakken. Daarnaast liet de Ster onlangs weten dat cookieloos adverteren voor een hogere kwaliteit verkeer naar adverteerders zorgt. Verder stelt Google dat het de maatregel niet alleen kan doorvoeren, maar dat het gehele ecosysteem zich hiermee moet bezighouden. In het verleden is Google vaker bekritiseerd omdat het allerlei plannen aankondigt die jaren in beslag kunnen nemen, waardoor het bedrijf nu niets hoeft te doen. Wat betreft het uitfaseren van third-party cookies laat Google weten dat het van plan is om eind dit jaar een eerste proef uit te voeren. bron: security.nl

Een ernstig lek in een populaire WordPressplug-in maakt het mogelijk voor aanvallers om meer dan 130.000 websites over te nemen. De kwetsbaarheid bevindt zich in de plug-in "InfiniteWP Client". Via deze plug-in kunnen gebruikers vanaf hun eigen server een onbeperkt aantal WordPress-sites beheren. Volgens de ontwikkelaars van de plug-in is die door meer dan 513.000 websites geïnstalleerd, terwijl WordPress het op mee dan 300.000 actieve installaties houdt. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om als beheerder op de website in te loggen. Alleen het versturen van een speciaal geprepareerd request is voldoende, aldus securitybedrijf Wordfence. De ontwikkelaars van de InfiniteWP Client kwamen vorige week met een update voor het lek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 is beoordeeld. De update is sindsdien door ruim 168.000 WordPress-sites geïnstalleerd, wat inhoudt dat meer dan 132.000 sites nog risico lopen. Beheerders krijgen dan ook het dringende advies om de update met versienummer 1.9.4.5 te installeren. Details over het beveiligingslek zijn inmiddels openbaar gemaakt en Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken. bron: security.nl

Microsoft heeft vanavond meerdere beveiligingsupdates uitgebracht, waaronder voor een kwetsbaarheid in Windows 10 die door de NSA is gevonden en het mogelijk maakte om digitale handtekeningen van bestanden te vervalsen. Het lek is door Microsoft als "belangrijk" bestempeld. De kwetsbaarheid geeft aanvallers niet de mogelijkheid om zonder interactie van gebruikers het systeem over te nemen, zoals bij "kritieke" kwetsbaarheden het geval is. Het probleem bevindt zich in de manier waarop de Windows Crypto API Elliptic Curve Cryptography (ECC) certificaten valideert. Ontwikkelaars kunnen hun Windows-bestanden signeren, zodat gebruikers weten van wie het programma afkomstig is. Door het beveiligingslek had een aanvaller malware van een digitale handtekening kunnen voorzien die van een legitieme bron afkomstig leek. "De gebruiker zou geen manier hebben om te weten dat het bestand kwaadaardig was, omdat de digitale handtekening van een vertrouwde aanbieder afkomstig leek te zijn", aldus Microsoft. Via de kwetsbaarheid zou een aanvaller ook man-in-the-middle-aanvallen kunnen uitvoeren en vertrouwelijke informatie kunnen ontsleutelen op verbindingen tussen de gebruiker en betreffende software. Het techbedrijf verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken. De beveiligingsupdate van Microsoft zorgt ervoor dat de Windows CryptoAPI, die door Windows-gebaseerde applicaties wordt gebruikt en zorgt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten, ECC-certificaten nu wel volledig controleert. Het beveiligingslek is aanwezig in Windows 10, Server 2016 en Server 2019. Op de meeste Windowssystemen wordt de beveiligingsupdate automatisch geïnstalleerd. Het beveiligingslek, aangeduid als CVE-2020-0601, werd door de Amerikaanse geheime dienst NSA aan Microsoft gerapporteerd. De dienst wordt in het beveiligingsbulletin dan ook bedankt door het techbedrijf. Update Microsoft meldt in een aparte blogposting dat de kwetsbaarheid voor zover bekend nog niet door aanvallers is gebruikt. Nu informatie over het lek openbaar is zou dit echter slechts een kwestie van tijd zijn. Eerder gingen nog geruchten dat Microsoft updates voor de kwetsbaarheid al aan belangrijke klanten zou hebben aangeboden. Daarop stelt Microsoft dat het voor patchdinsdag aan geen enkele organisatie updates verstrekt die binnen productieomgevingen mogen worden gebruikt. Update 2 "Het is niet moeilijk voor te stellen hoe aanvallers van dit lek misbruik kunnen maken. Bijvoorbeeld ransomware of spyware is veel eenvoudiger te installeren wanneer het een geldig certificaat lijkt te hebben", zegt Dustin Childs van het Zero Day Initiative (ZDI). Daarnaast zorgt de update ervoor dat bij gebruik van een vervalst certificaat tegen een gepatcht Windows 10-systeem er een melding in de Windows Event-log wordt gemaakt, wat systeembeheerders kan helpen om te achterhalen of ze zijn aangevallen. Update 3 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat elke software, waaronder third-party non-Microsoft software, die van een specifieke functie gebruikmaakt om te bepalen of een X.509-certificaat van een vertrouwde partij afkomstig is, de fout in kan gaan bij het beoordelen van de betrouwbaarheid van de certificaatketen. Door de kwetsbaarheid kan een aanvaller certificaten spoofen, waardoor het mogelijk is om met TLS versleutelde communicatie te onderscheppen en aan te passen of een digitale handtekening te vervalsen. bron: security.nl