Captain Kirk

Nieuwe transportprotocollen voor het domain name system (dns) maken het lastiger om dns-verzoeken te monitoren en organisaties moeten hier rekening mee houden, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet (pdf). "Systeem- of netwerkbeheerders en securityprofessionals zijn gewend dat dns-verkeer onversleuteld naar poort 53 gaat. Recentelijk zijn er nieuwe dns-transporten gestandaardiseerd waarbij encryptie wordt gebruikt om vertrouwelijkheid en integriteit te bieden in de aanwezigheid van een kwaadwillende op het netwerk", zo laat NCSC weten. Het gaat om de dns-transporten DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT). Dns-verzoeken zijn normaal onversleuteld. Hierdoor kan informatie over de gebruiker lekken en is het mogelijk voor kwaadwillenden om dns-verkeer in te zien of te veranderen. DoH en DoT moeten dit probleem verhelpen door een versleutelde verbinding voor dns-verzoeken te gebruiken. Zowel Google als Mozilla zullen DoH aan hun browser toevoegen. Het NCSC waarschuwt dat dit gevolgen heeft voor organisaties die onversleuteld dns-verkeer inspecteren. Die zullen na verloop van tijd hun inzicht zien afnemen. "Organisaties die security-monitoring of filtering doen op de resolvers die zijn geconfigureerd op systeemniveau zullen merken dat deze maatregelen ineffectief worden zodra applicaties een andere DNS-resolver gaan gebruiken", merkt de overheidsinstantie op. Zo is Mozilla van plan om voor DoH de dns-servers van Cloudflare te gaan gebruiken. Firefoxgebruikers slaan daardoor de dns-servers van hun eigen provider over. Voor organisaties kunnen DoH en DoT verschillende gevolgen hebben, zoals beveiligingsmaatregelen die ineffectief worden, het lekken van gevoelige informatie en connectiviteitsproblemen op interne netwerken en vpn's. Het NCSC adviseert organisaties om op de apparaten die in beheer zijn een voorkeursresolver in te stellen. Wanneer de voorkeursresolver DoH of DoT ondersteunt kunnen de dns-transporten worden ingeschakeld. "Hoe lang gecentraliseerde dns-monitoring nog een effectieve maatregel blijft, is sterk afhankelijk van de snelheid waarmee Mozilla en Google ondersteuning in hun software activeren. Als u vandaag begint met het aanpassen van uw dns-monitoring, dan wordt u niet verrast door de naderende veranderingen", besluit het NCSC. bron: security.nl

Routerfabrikant D-Link adviseert eigenaren van vier routermodellen om een nieuw apparaat aan te schaffen wegens een ernstig beveiligingslek waarvoor geen beveiligingsupdate zal verschijnen. De routers in kwestie zijn namelijk end-of-life en worden niet meer door de fabrikant met updates ondersteund. Het gaat om de DIR-655, DIR-866L, DIR-1565 en DIR-652. Het beveiligingslek, dat door onderzoekers van securitybedrijf Fortinet werd ontdekt, maakt het mogelijk voor een aanvaller om op afstand zonder wachtwoord willekeurige code uit te voeren en volledige controle over het apparaat te krijgen. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 9,8 beoordeeld. Aangezien er geen update meer uitkomt raadt D-Link verder gebruik van de routers af. bron: security.nl

Chrome gaat alle http-content op https-sites blokkeren om zo gebruikers te beschermen. Volgens het techbedrijf besteden Chrome-gebruikers inmiddels 90 procent van hun tijd op https-sites. Het komt nog altijd voor dat https-sites content via het onversleutelde http downloaden. Dit wordt ook wel mixed content genoemd. Een aanvaller kan deze content aanpassen of onderscheppen, of bijvoorbeeld gebruiken om trackingcookies te injecteren. Standaard blokkeren browsers al allerlei mixed content zoals scripts en iframes. Vanaf Chrome 79 start Google een proces om uiteindelijk alle http-content op https-sites te blokkeren. Met de lancering van Chrome 79 in december van dit jaar krijgt de browser een nieuwe instelling waarmee gebruikers geblokkeerde mixed content kunnen toestaan. De volgende stap in het proces komt met de lancering van Chrome 80 in januari 2020. Chrome zal dan automatisch alle audio en video die via http wordt geladen eerst via https proberen te laden. Wanneer dit niet lukt wordt de content geblokkeerd. Via de eerder genoemde instelling kunnen gebruikers deze content alsnog laden. Vanaf Chrome 81 zal de browser dezelfde werkwijze toepassen bij afbeeldingen die via http worden geladen. Uiteindelijk zal de browser alleen nog toestaan dat https-sites https-content laden. Webontwikkelaars krijgen van Google het advies om meteen al hun mixed content naar https te upgraden om waarschuwingen en andere problemen te voorkomen. bron: security.nl

Microsoft heeft een noodpatch voor een actief aangevallen beveiligingslek in Internet Explorer vanwege problemen bij sommige gebruikers opnieuw uitgebracht. Op 23 september verscheen de update voor een kwetsbaarheid (CVE-2019-1367) waardoor aanvallers volledige controle over systemen konden krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. De kwetsbaarheid bevond zich in de laatste versie van Internet Explorer 10 en 11 en werd gevonden door onderzoeker Clément Lecigne van Googles Threat Analysis Group. Volgens Microsoft werd de kwetsbaarheid actief aangevallen, maar verdere details werden niet gegeven. Sommige Windowsgebruikers kregen na de installatie van de noodpatch met printproblemen te maken. Daarom heeft Microsoft besloten om de update opnieuw uit te brengen. Op de meeste systemen wordt de update automatisch geïnstalleerd, Daarnaast is die beschikbaar via WSUS en de Microsoft Update Catalogus. In eerste instantie moesten gebruikers de eerdere noodpatch handmatig installeren. bron: security.nl

Het aantal grootschalige ransomware-aanvallen is aan het afnemen, maar de schade door gerichte campagnes neemt juist toe, zo waarschuwt de FBI. De opsporingsdienst stelt dat de afgelopen maanden overheidsinstanties, zorginstellingen en bedrijven in allerlei sectoren slachtoffer zijn geworden. Getroffen organisaties moesten honderdduizenden dollars voor het ontsleutelen van hun data betalen en waren miljoenen dollars kwijt voor het herstel van hun systemen. Voor de verspreiding van ransomware maken cybercriminelen gebruik van drie methodes: e-mail, het remote desktopprotocol (RDP) en ongepatchte beveiligingslekken in software, aldus de FBI. Daarbij hebben aanvallers het niet altijd direct voorzien op hun doelwit. De FBI is bekend met meerdere incidenten waarbij aanvallers managed service providers (MSP's) aanvielen om daarvandaan klanten van de MSP te besmetten. De FBI adviseert organisaties die door ransomware zijn getroffen om niet te betalen, maar stelt dat het begrijpt dat wanneer de bedrijfsvoering plat ligt alle opties worden bekeken. Ook wanneer bedrijven betalen vraagt de FBI om melding van ransomware-incidenten te doen. Verder geeft de opsporingsdienst verschillende tips om ransomware-infecties te voorkomen, zoals het uitschakelen van macro's, het beveiligen van RDP, het gebruik van gevirtualiseerde omgevingen, het geven van bewustzijnstrainingen aan medewerkers, het toepassen van applicatiewhitelisting en netwerkscheiding en het installeren van beveiligingsupdates. bron: security.nl

Google waarschuwt gebruikers met een Google-account voortaan voor zwakke en gelekte wachtwoorden en zal dit ook bij Chrome-gebruikers gaan doen, zo meldt het bedrijf vandaag. Het Google-account beschikt over een ingebouwde wachtwoordmanager, die nu is voorzien van Password Checkup. Begin dit jaar lanceerde Google Password Checkup als een extensie voor Chrome. Nu is de feature onderdeel van de wachtwoordmanager van het Google-account geworden. Password Checkup controleert of opgeslagen wachtwoorden niet via datalekken bij andere websites zijn gelekt. Google zegt dat het meer dan 4 miljard gebruikersnamen en wachtwoorden heeft gevonden die van verschillende datalekken afkomstig zijn. Daarnaast waarschuwt de feature voor zwakke wachtwoorden. Gebruikers kunnen via passwords.google.com hun opgeslagen wachtwoorden beheren en controleren. De Chrome-extensie van Password Checkup is sinds de lancering in februari meer dan 1 miljoen keer gedownload. Later dit jaar zal Google de tool direct aan Chrome toevoegen. Op deze manier zouden gebruikers "realtime bescherming" bij het invoeren van hun wachtwoorden krijgen, zonder dat ze een aparte extensie hoeven te installeren. bron: security.nl

Google Chrome gaat websites die TLS 1.0 en 1.1 voor het opzetten van een versleutelde verbinding gebruiken als 'niet veilig' bestempelen, zo heeft het bedrijf aangekondigd. Het TLS-protocol bestaat inmiddels meer dan 20 jaar. Alle grote browserontwikkelaars hebben aangegeven dat ze de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen zullen stoppen. Bij websites die straks nog steeds van deze oudere versies gebruikmaken zullen browsers een foutmelding laten zien. Google is van plan om de ondersteuning stapsgewijs uit te faseren. Vanaf 13 januari 2020 zullen Chrome 79 en nieuwere versies van de browser een 'niet veilig' waarschuwing tonen bij websites die nog van TLS 1.0 en 1.1 gebruikmaken. Ondanks de waarschuwing, die informatie over de verouderde TLS-configuratie bevat, kunnen gebruikers de website in kwestie nog wel gewoon bezoeken. Met de lancering van Chrome 81 in maart 2020 zal de browser het bezoeken van websites met TLS 1.0 en 1.1 blokkeren. Beheerders en webmasters krijgen het advies om nu TLS 1.2 of nieuwer in te schakelen. Volgens Google verloopt nog 0,5 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies. bron: security.nl

Onderzoekers hebben besmette advertenties ontdekt die beveiligingslekken in Chrome en WebKit gebruikten om internetgebruikers pop-ups te tonen en naar malafide websites door te sturen. Dat stelt securitybedrijf Confiant op basis van eigen onderzoek. De eerste reeks besmette advertenties maakten misbruik van een beveiligingslek in Google Chrome waardoor de pop-upblocker werd omzeild. Op deze manier was het mogelijk om pop-ups te tonen die eigenlijk geblokkeerd hadden moeten worden. Deze kwetsbaarheid (CVE-2019–5840) werd op 11 april aan Google gerapporteerd en op 4 juni met de lancering van Chrome 75 verholpen. De tweede serie besmette advertenties maakte misbruik van een kwetsbaarheid in WebKit en werd gebruikt voor het doorsturen van internetgebruikers naar malafide websites. WebKit is een browser engine waar verschillende browsers op draaien, waaronder Apple Safari. Het beveiligingslek werd op 7 augustus aan Apple gerapporteerd. Op 19 september werd het probleem in iOS 13 verholpen, gevolgd door een Safari-update op 24 september. "De afgelopen zes maanden hebben aanvallers obscure browserlekken gebruikt om ingebouwde beveiligingsmaatregelen van browers tegen pop-ups en gedwongen redirects te omzeilen", zegt Eliya Stein van Confiant. Het bedrijf denkt dat de besmette advertenties meer dan een miljard keer zijn getoond. bron: security.nl

Gebruikers van LibreOffice, Microsoft Office en OpenOffice zijn het doelwit van malafide ODT-bestanden die malware proberen te installeren, zo waarschuwen onderzoekers van Cisco. ODT (OpenDocument Text) is de bestandsextensie voor tekstdocumenten binnen het Open Document Format (ODF) Het is eigenlijk een zip-bestand met daarin xml-gebaseerde bestanden. Onlangs ontdekte Cisco drie aanvalscampagnes waarbij malafide ODT-bestanden werden ingezet. Waarschijnlijk is er bewust voor ODT gekozen om detectie door beveiligingssoftware te omzeilen. De eerste twee campagnes waren gericht tegen Microsoft Office, de derde campagne tegen gebruikers van LibreOffice en OpenOffice. Bij de eerste twee aanvallen moesten gebruikers op een embedded object in het document klikken en vervolgens een beveiligingswaarschuwing negeren. Hierna werd er een remote administrative tool (RAT) gedownload die de aanvallers volledige controle over het systeem van de gebruiker gaf. De aanval tegen LibreOffice en OpenOffice maakte gebruik van een soort macro's om code te downloaden en uit te voeren. Veel details over deze aanval ontbreken. Mogelijk dat het onderdeel van een penetratietest uitmaakte, maar ook het gebruik door aanvallers wordt niet uitgesloten. "Door bekende platformen aan te vallen vergroten aanvallers hun kans om toegang tot machines te krijgen. En het gebruik van het ODT-bestandsformaat laat zien dat aanvallers graag nieuwe infectiemechanismes proberen, mogelijk om te zien of deze documenten voor meer infecties zorgen of beter in staat zijn om detectie te omzeilen", aldus Cisco-onderzoeker Warren Mercer, die toevoegt dat sommige virusscanners en sandboxes niet goed met ODT-bestanden omgaan. bron: security.nl

Er is een nieuwe versie van de populaire pdf-lezer Foxit Reader verschenen die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval volledige controle over een systeem had kunnen krijgen. Alleen het openen van een kwaadaardig pdf-document of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest. Het beveiligingslek (CVE-2019-5031) bevond zich in de JavaScript-engine van de pdf-lezer. Via een kwaadaardig pdf-document was het mogelijk om een "out-of-memory" conditie te veroorzaken en vervolgens willekeurige code op het systeem uit te voeren, zoals het installeren van malware. Een aanvaller zou het slachtoffer eerst een kwaadaardig pdf-document moeten laten openen. Foxit Reader biedt echter ook een browserplug-in die pdf's op websites opent. Wanneer de plug-in was ingeschakeld volstond het bezoeken van een kwaadaardige of gecompromitteerde website. De ontwikkelaar van Foxit Reader werd op 2 april geïnformeerd door Cisco. Oorspronkelijk zouden de onderzoekers de details drie maanden later op 2 juli openbaar maken. Foxit Software vroeg echter om meer tijd en kreeg die ook. De nieuwe deadline werd vervolgens op 30 augustus gezet. Ook dit tijdsvenster ging Foxit Software niet halen en opnieuw werd er uitstel aangevraagd en verleend. Een beveiligingsupdate is nu eindelijk beschikbaar en gebruikers krijgen het advies om te updaten naar Foxit Reader 9.7. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8,8 beoordeeld. bron: security.nl

Opnieuw is er in de populaire e-mailserversoftware Exim een ernstig beveiligingslek ontdekt waardoor aanvallers in het ergste geval kwetsbare systemen zouden kunnen overnemen. Begin deze maand verscheen er een patch voor een andere ernstige kwetsbaarheid in de software. Het probleem, aangeduid met CVE-2019-16928, doet zich voor bij het verwerken van een lange Extended HELO (EHLO) string. Mailservers gebruiken de EHLO-string als ze met een andere mailserver verbinding maken om mail te versturen. In het geval van een lange EHLO-string kan het Exim-proces crashen en ontstaat er een heap-based buffer overflow. Het lijkt mogelijk om via deze overflow code op de server uit te voeren, zo staat in de omschrijving van de kwetsbaarheid. Beheerders van een Exim-mailserver krijgen het advies om naar versie 4.92.3 van de software te updaten. Begin deze maand lieten onderzoekers nog weten dat er 5 miljoen Exim-mailservers op internet te vinden zijn. bron: security.nl

In het tweede kwartaal van dit jaar zijn meer Belgische internetgebruikers het slachtoffer van phishing geworden dan in het eerste kwartaal. Daarmee is ook het aantal slachtoffers in de eerste helft van 2019 hoger uitgekomen dan het aantal slachtoffers in de eerste helft van vorig jaar. Dat meldt Febelfin, de overkoepelende organisatie van Belgische banken. In het tweede kwartaal werden 1810 Belgen via phishing voor meer dan 1,9 miljoen euro bestolen. In het eerste kwartaal ging het nog om 1189 slachtoffers die voor 735.000 euro werden gedupeerd. Het totaal aantal slachtoffers voor de eerste helft van 2019 bedraagt daardoor 2999, met een schadebedrag van ruim 2,6 miljoen euro. In de eerste helft van 2018 werden 2646 Belgen opgelicht voor een bedrag van ruim 3,7 miljoen euro. Het aantal slachtoffers neemt dus toe, maar het totale schadebedrag is gedaald. Vorig jaar bedroeg het gemiddelde schadebedrag per slachtoffer 1422 euro, dit jaar is dat 885 euro. Febelfin merkt op dat de impact per slachtoffer erg kan verschillen. Het ene slachtoffer werd voor 0,99 euro bestolen, terwijl er ook gevallen bekend zijn waarbij tienduizenden euro's werden gestolen. "De stijging tegenover het vorige kwartaal toont aan dat cyberfraude een cyclisch gegeven is waarin na een daling de inspanningen van cybercriminelen worden opgevoerd en de waakzaamheid bij het publiek wellicht afneemt", aldus Febelfin. De organisatie merkt op dat het belangrijk blijft om internetgebruikers te informeren over de gevaren van phishing en het feit dat cybercriminelen steeds nieuwe kanalen gebruiken om mensen op te lichten. bron: security.nl

De Duitse overheid heeft een nieuwe minimale standaard gepubliceerd waar veilige browsers aan moeten voldoen. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, al een eerste versie van de eisen. De "Browser-Abgleichstabelle zum Mindeststandard des BSI für sichere Web-Browser" beschrijft verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het versleuteld opslaan van wachtwoorden, ondersteuning van Content Security Policy, sandboxing en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Tevens heeft het BSI gekeken of Mozilla Firefox 68 Extended Support Release (ESR), Google Chrome 76, Microsoft Internet Explorer 11 en Microsoft Edge 44 aan de eisen voldoen (pdf) en is er een lijst met aanbevelingen opgesteld om browsers veilig te kunnen gebruiken. Zo moet Flash standaard zijn uitgeschakeld, alsmede het synchroniseren van data met de cloud, automatisch aanvullen en de opslag van wachtwoorden door de wachtwoordmanager van de browser. bron: security.nl

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor. De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert. Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen. "Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien", zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor. bron: security.nl

Mozilla heeft Snapchat om opheldering gevraagd of het gebruikmaakt van emotiedetectietechnologie. Dagelijks wisselen meer dan 200 miljoen mensen foto's via de populaire app uit. Snapchat beschikt over een patent om via smartphonecamera's de stemming van gebruikers te bepalen. "Maakt Snapchat al gebruik van emotiedetectie in de app? We weten het niet. Snap gebruikt vage, brede taal in het privacybeleid, waardoor het onze foto's op verschillende manieren kan gebruiken en taggen", aldus Mozilla. Om het publiek over emotiedetectie en de gevolgen daarvan te informeren werkte de opensourceontwikkelaar samen met Noah Levenson, de maker van "Stealing Ur Feelings". Een zes minuten durende documentaire over emotiedetectietechnologie. De documentaire is mogelijk gemaakt door 50.000 dollar van Mozilla. De ontwikkelaar wil daarnaast bedrijven verantwoordelijk houden zodat gebruikers weten wanneer en hoe emotiedetectie wordt gebruikt en hier controle over hebben. "Iedereen heeft het recht om te weten hoe Snap gegevens over zijn of haar gezicht verzamelt en analyseert, met name als bedrijven die data gebruiken om af te leiden hoe je je voelt", aldus Mozilla, dat via een petitie Snapchat om opheldering vraagt. bron: security.nl

Na meer dan vier maanden is er een nieuwe versie van Pi-hole verschenen, de populaire software om trackers en advertenties netwerkbreed mee te blokkeren. De nieuwste versie van Pi-hole ondersteunt geen adblock-achtige lijsten meer, waardoor er minder domeinen worden tegengehouden bij gebruikers die hiervan gebruik maakten. Pi-hole is een applicatie die naast de Raspberry Pi op allerlei hardware geïnstalleerd kan worden. Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Pi-hole laat gebruikers ook zien welke domeinen er allemaal zijn geblokkeerd. De software ondersteunde voorheen adblock-achtige filterlijsten zoals Easylist en Easyprivacy. In deze filterlijsten staat vermeld welke domeinen of trackers een adblocker moeten blokkeren. De lijsten konden aan Pi-hole worden toegevoegd, maar daar is nu een einde aan gekomen. Volgens de Pi-hole-ontwikkelaars waren deze lijsten nooit bedoeld om aan een HOST-achtig bestand te worden toegevoegd. Daarnaast zorgde het voor allerlei false positives door de lijsten op deze manier te gebruiken. Pi-hole zal deze lijsten, wanneer ze door gebruikers zijn toegevoegd, voortaan negeren. Dit kan wel voor een vermindering van het aantal geblokkeerde domeinen zorgen. Daarnaast zijn er aan Pi-hole 4.3.2 allerlei andere fixes en aanpassingen doorgevoerd. bron: security.nl

Naast een noodpatch voor Internet Explorer heeft Microsoft buiten de vaste patchcyclus om ook een beveiligingsupdate voor Windows Defender en de eigen Endpoint Protection-software uitgebracht. Het gaat om een kwetsbaarheid in de manier waarop de antivirussoftware bestanden verwerkt. Een aanvaller kan via het beveiligingslek voorkomen dat legitieme gebruikers systeembestanden kunnen uitvoeren, waardoor er een denial of service ontstaat. Volgens Microsoft is er geen misbruik van de kwetsbaarheid bekend en zijn de details niet openbaar gemaakt. Het probleem werd gevonden door onderzoeker Charalampos Billinis van F-Secure en Wenxu Wu van Tencent Security. De beveiligingsupdate wordt automatisch door Windows Defender en Microsoft Forefront Endpoint Protection geïnstalleerd. bron: security.nl

De bende achter de beruchte Emotet-malware gebruikt het nieuwste boek van klokkenluider Edward Snowden om malware te verspreiden. Na een periode van vier maanden is de Emotet-bende weer actief en begonnen met het versturen van e-mailberichten die als bijlage een doc-bestand bevatten. Dit document is voorzien van een kwaadaardige macro die wanneer ingeschakeld Emotet op de computer installeert. Bij de eerste spamberichten die Emotet verstuurde werd er meegelift op eerdere e-mailconversaties van al gemaakte slachtoffers. Sinds gisteren maakt de malware gebruik van een andere tactiek, aldus antimalwarebedrijf Malwarebytes. In allerlei talen, waaronder Engels, Italiaans, Spaans, Duits en Frans, zijn er berichten verstuurd die als onderwerp Snowdens nieuwe boek hebben. De memoires van de klokkenluider zijn sinds vorige week verkrijgbaar. Volgens de verstuurde spamberichten is het boek als bijlage meegestuurd. In werkelijkheid is het een doc-bestand dat via de kwaadaardige macro Emotet installeert. Zodra potentiële slachtoffers het document openen staat daarin dat Word niet geactiveerd is en Enable Editing en Enable Content moet worden ingeschakeld om Word zonder problemen te blijven gebruiken. Gebruikers die de instructies opvolgen raken echter besmet met Emotet. De Duitse overheid waarschuwde gisteren nog voor de nieuwe Emotet-uitbraak die al voor grote economische schade heeft gezorgd en noemde het eerder nog de gevaarlijkste malware ter wereld. Emotet steelt allerlei wachtwoorden van besmette systemen, kan de machines voor het versturen van spam gebruiken en is in staat om aanvullende malware te installeren, waaronder ransomware. bron: security.nl

Microsoft heeft gisterenavond een noodpatch uitgebracht voor een ernstige kwetsbaarheid in Internet Explorer die actief is aangevallen voordat de update beschikbaar was. Via het zerodaylek kon een aanvaller in het ergste geval volledige controle over het systeem krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. De kwetsbaarheid bevond zich in de laatste versie van Internet Explorer 10 en 11 en werd gevonden door onderzoeker Clément Lecigne van Googles Threat Analysis Group. Verdere details over de waargenomen aanvallen zijn niet beschikbaar gemaakt. De noodpatch zal op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is er een workaround waarbij de toegang tot het bestand jscript.dll moet worden beperkt. Dit kan echter gevolgen hebben voor features van de browser die van dit bestand afhankelijk zijn. Microsoft adviseert dan ook om de update zo snel als mogelijk te installeren. bron: security.nl

Honderdduizenden ip-camera's van de merken Apexis en Sumpple zijn door een datalek voor kwaadwillenden toegankelijk, zo hebben onderzoekers aan RTL Nieuws laten weten. Het gaat onder andere om 14.000 camera's in Nederland en 6.000 apparaten in België. De meeste camera's bevinden zich in de Verenigde Staten (163.000), gevolgd door Duitsland (58.000) en Frankrijk (42.000), aldus RTL-journalist Daniel Verlaan vandaag op Twitter. De camera's worden onder andere via Amazon verkocht. Via een app kunnen gebruikers vanaf het internet met hun camera meekijken. Onderzoeker ontdekten dat de database met gebruikersgegevens zeer slecht beveiligd is. Daardoor kunnen kwaadwillenden eenvoudig de gegevens achterhalen waarmee het mogelijk is om met de camera's mee te kijken. "De wachtwoorden van gebruikers worden wel degelijk versleuteld opgeslagen met Bcrypt, maar Sumpple bewaart alle API-calls naar de camera's in dezelfde database met daarin plaintext (!!!): e-mailadres, wachtwoord, token en ip-adres van de camera", stelt Verlaan. Apexis, het moederbedrijf van Sumpple, heeft het probleem nog altijd niet verholpen en reageerde ook niet op berichten van de journalist en de onderzoekers. Gebruikers krijgen dan ook het advies om ip-camera's van beide merken niet meer te gebruiken. bron: security.nl

Google heeft twee malafide adblockers die zich voordeden als de populaire adblockers AdBlock en uBlock uit de Chrome Web Store verwijderd. Dat laten de ontwikkelaars van de adblocker AdGuard weten. De malafide adblockers waren gebaseerd op de code van de originele AdBlock-extensie. Ze blokkeerden dan ook advertenties, waardoor gebruikers dachten dat het om legitieme extensies ging. Na verloop van tijd lieten beide adblockers echter dubieus gedrag zien. Zo werden er "affiliate" cookies op het systeem van gebruikers geplaatst. Wanneer gebruikers iets kopen bij websites waarvoor de cookies gelden ontvangt de ontwikkelaar van de malafide adblockers een commissie. Het ging om meer dan 300 websites waarvan er affiliate cookies werden geplaatst, waaronder AliExpress, Booking.com, LinkedIn.com en Microsoft.com. De malafide adblockers hadden bij elkaar meer dan 1,6 miljoen gebruikers. Na het verschijnen van de blogposting van AdGuard zijn de extensies door Google verwijderd. AdGuard adviseert Chrome-gebruikers om geen extensies via de zoekfunctie van de Web Store te zoeken. Daarnaast wordt aangeraden om niet zomaar extensies te installeren, maar af te vragen of de extensie wel echt nodig is. bron: security.nl

Microsoft heeft een update voor Windows Defender en Security Essentials uitgebracht waardoor de virusscanners bij handmatige scans slechts een handvol bestanden scanden. Gebruikers die de virusscanners een snelle of volledige scan van het systeem lieten uitvoeren ontdekten dat er slechts tientallen bestanden werden gescand, in plaats van de duizenden bestanden die normaliter worden gecontroleerd. Het probleem ontstond na een update voor Windows Defender en Microsoft Security Essentials die 16 september door Microsoft werd uitgerold. Na klachten van gebruikers heeft de softwaregigant nu nieuwe virusdefinities (1.301.1684.0) voor de antivirussoftware uitgebracht waarmee het scanprobleem wordt verholpen. De virusdefinities worden automatisch geïnstalleerd. bron: security.nl

Google heeft voor de tweede keer in nog geen twee weken tijd een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waardoor een aanvaller het onderliggende systeem had kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. Er zou geen verdere interactie van de gebruiker zijn vereist. In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Inclusief deze kwetsbaarheid zijn er dit jaar pas drie van dergelijke lekken gevonden. Vorig jaar ging het om vier lekken, een "recordaantal" voor de browser. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. De nu verholpen ernstige kwetsbaarheid bevindt zich in de gebruikersinterface. Verdere details zijn niet gegeven. Het beveiligingslek werd ontdekt door onderzoeker Khalil Zhani. Hoeveel Google de onderzoeker zal betalen voor de melding van het lek is nog niet bekend. Op 10 september kwam Google met een update voor een andere ernstige kwetsbaarheid in Chrome. Ook de beloning voor de onderzoeker die dit probleem rapporteerde is nog niet bekendgemaakt. Verder zijn er in Chrome 77.0.3865.90 drie andere kwetsbaarheden verholpen waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Onderzoekers van antivirusbedrijf Sophos hebben duizenden versies van de beruchte WannaCry-ransomware ontdekt die door een corrupt zip-bestand niet werken. Ruim twee jaar na de grote WannaCry-uitbraak wordt de ransomware nog steeds miljoenen keren per maand gedetecteerd. WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart 2017 door Microsoft werd gepatcht. Dat de malware nog steeds actief is laat zien dat tal van organisaties geen beveiligingsupdates voor Windows installeren. De WannaCry-versie die zich in mei 2017 verspreidde was voorzien van een killswitch. WannaCry probeerde op besmette systemen verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Een Britse beveiligingsonderzoeker registreerde deze domeinnaam, hoewel hij op dat moment niet wist dat de domeinnaam als een killswitch fungeerde. De onderzoekers van Sophos vroegen zich af hoe het kon dat de killswitch niet voorkwam dat besmette computers andere computers aanvielen. Daarnaast was het ook onduidelijk waarom niemand over door WannaCry versleutelde bestanden klaagde. Verder onderzoek wees uit dat de originele WannaCry nog zelden wordt waargenomen. Het blijkt dat met name aangepaste versies van de ransomware rondgaan. Bijna al deze varianten, ruim 2700 unieke versies, waren aangepast waardoor de killswitch niet meer werkte. Hierdoor kan de ransomware andere systemen in het netwerk aanvallen, wat de miljoenen detecties per maand verklaart. Toch waren de onderzoekers niet bekend met getroffen organisaties waar bestanden waren versleuteld. WannaCry beschikt over verschillende onderdelen. Eén onderdeel verspreidt de ransomware naar andere machines. Een ander onderdeel is verantwoordelijk voor het versleutelen van bestanden. Dit tweede onderdeel bevindt zich in een met een wachtwoord beveiligd zip-bestand. De inhoud van het zip-bestand wordt op de computer uitgepakt en uitgevoerd, waarna WannaCry bestanden versleutelt. Bij alle WannaCry-versies die de killswitch konden omzeilen bleek dat het zip-bestand corrupt was geraakt, waardoor er geen bestanden werden versleuteld. Dit verklaarde voor de onderzoekers waarom WannaCry nog steeds zo actief is, maar niemand erover klaagt. Dat neemt niet weg dat organisaties hun computers moeten patchen, zo besluiten de onderzoekers (pdf). bron: security.nl

De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren, heeft een Top 25 van gevaarlijkste softwarefouten gepubliceerd. Via deze ernstige fouten, die volgens MITRE veel voorkomen, kunnen aanvallers data stelen, software overnemen of voorkomen dat software kan functioneren. De Top 25 is bedoeld voor ontwikkelaars, testers, gebruikers en projectmanagers van software, alsmede onderzoekers en onderwijzers om inzicht te bieden in de meestvoorkomende beveiligingsdreigingen in de software-industrie. De lijst is samengesteld op basis van een "data-driven" aanpak waarbij er naar actuele beveiligingslekken en hun impact is gekeken. Vervolgens is er op elke kwetsbaarheid een scoreformule losgelaten om de dreiging en wijdverbreidheid te bepalen. In het overzicht komen kwetsbaarheden voor zoals buffer overflows, cross-site scripting, SQL-injection, het gebruik van hard-coded wachtwoorden, het niet goed controleren van certificaten en het niet goed valideren van gebruikersinvoer. Hieronder het volledige overzicht. Naast het CVE-systeem is MITRE ook verantwoordelijk voor de Common Weakness Enumeration (CWE) lijst waarmee kwetsbaarheden worden gecategoriseerd. bron: security.nl