Captain Kirk

Antivirusbedrijf Sophos neemt securitybedrijf Secureworks voor een bedrag van 859 miljoen dollar over, zo is vandaag bekendgemaakt. Secureworks werd in 2011 voor een onbekend bedrag door Dell overgenomen en werd in 2016 naar de beurs gebracht. Vorig jaar kreeg het securitybedrijf met verschillende ontslagrondes te maken. Sophos, dat eerder voor 3,9 miljard dollar door de Amerikaanse investeringsmaatschappij Thoma Bravo werd overgenomen, wil de oplossingen van Secureworks, dat onder andere endpoint- en netwerkbeveiliging biedt, binnen de eigen producten integreren. bron: https://www.security.nl

Onderzoekers hebben in verschillende end-to-end versleutelde clouddiensten kwetsbaarheden gevonden, waardoor een aanvaller via een gecompromitteerde server allerlei aanvallen kan uitvoeren. In het ergste geval kan er zo toegang tot gegevens worden verkregen. Het gaat om Sync, pCloud, Icedrive en Seafile. De bedrijven bieden end-to-end versleutelde cloudopslag. Daarbij stellen de cloudproviders dat ze geen toegang tot gebruikersdata hebben. Ze noemen dit zelf "zero-knowledge encryption". Jonas Hofmann en Kien Tuong Truong van ETH Zurich besloten de clouddiensten te onderzoeken. Eerder vonden onderzoekers van de universiteit al een manier om bij MEGA opgeslagen data te ontsleutelen. Nu keken de onderzoekers naar de eerder genoemde clouddiensten, waarbij er wordt uitgegaan van een gecompromitteerde cloudserver. De aanvaller kan hierbij bestanden lezen, aanpassen en data injecteren. Dit leverde tien soorten aanvallen op. Volgens de onderzoekers hoeven aanvallers geen uitgebreide kennis van encryptie te hebben om die uit te voeren en zijn het ook praktische aanvallen, die niet al teveel middelen vereisen. Het gaat onder andere om het niet authenticeren van user key material, waardoor een aanvaller zijn eigen keys kan injecteren. Andere problemen betreffen ongeauthenticeerde public keys, protocol downgrades, het delen van bestanden via links, niet-geauthenticeerde encryptiemodes, 'unauthenticated chunking', het aanpassen van bestandsnamen en hun locatie, het aanpassen van de metadata van bestanden en het injecteren van mappen en bestanden. De onderzoekers informeerden Sync, pCloud, Seafile en Icedrive eind april. Volgens de onderzoekers liet Icedrive weten de problemen niet te zullen verhelpen.Seafile gaf aan de problemen met het downgraden van protocollen te verhelpen. Van Sync en pCloud hadden de onderzoekers per 10 oktober nog altijd geen reactie ontvangen. Voor het onderzoek werd ook naar cloudprovider Tresorit gekeken, maar deze dienst bleek voor de meeste aanvallen niet kwetsbaar. bron: https://www.security.nl

Aanvallers maken opnieuw actief misbruik van een XSS-kwetsbaarheid in Roundcube Webmail, zo meldt securitybedrijf Positive Technologies. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De afgelopen jaren werden er meerdere kwetsbaarheden in de software misbruikt waardoor cross-site scripting (XSS) mogelijk is. CVE-2024-37383 is de nieuwste XSS-kwetsbaarheid die bij aanvallen wordt ingezet. Roundcube kwam op 19 mei met een beveiligingsupdate voor het probleem. Via het beveiligingslek kan een aanvaller door middel van een malafide bericht berichten van de mailserver stelen. Ook wordt gebruikers een html-pagina getoond die hen vraagt om opnieuw in te loggen. Ingevulde gegevens worden vervolgens naar de aanvaller gestuurd. Aanvallers blijken al sinds 8 juni misbruik van het beveiligingslek te maken, door een e-mail met malafide bijlage te sturen naar een niet nader genoemd land van het Gemenebest van Onafhankelijke Staten, aldus het securitybedrijf. Eerder dit jaar waarschuwde de Amerikaanse overheid nog voor twee misbruikte XSS-kwetsbaarheden in RoundCube Webmail (CVE-2023-43770 en CVE-2020-13965). ESET meldde daarnaast misbruik van een ander XSS-probleem (CVE-2023-5631). bron: https://www.security.nl

Aanvallers zijn erin geslaagd de Zendesk-omgeving van het Internet Archive te compromitteren en hebben naar gebruikers die ooit een supportvraag indienden een e-mail gestuurd. Onlangs wisten aanvallers gegevens van 31 miljoen gebruikers van het Internet Archive te stelen. Nu blijkt ook de Zendesk-omgeving gecompromitteerd. Zendesk biedt een online omgeving waarmee organisaties vragen van klanten en gebruikers kunnen verwerken. Tal van mensen die ooit een supportticket bij het Internet Archive aanmaakten ontvingen onderstaande e-mail, zo blijkt uit meldingen op X en Reddit. Volgens het bericht heeft het Internet Archive gelekte API-keys niet geroteerd, waardoor gecompromitteerde tokens die onder andere toegang tot de Zendesk-omgeving bieden nog steeds werken. Het Internet Archive kwam vorige week met een 'services update' over het datalek en de aanval. "We nemen een voorzichtige, doordachte aanpak om onze verdediging opnieuw op te bouwen en te versterken. Onze prioriteit is ervoor te zorgen dat het Internet Archive sterker en veiliger online komt." Er is nog niet op het nieuwste incident gereageerd. bron: https://www.security.nl

Beveiligingscamera's en BeeStation NAS-apparaten van fabrikant Synology zijn via kritieke kwetsbaarheden op afstand over te nemen. Er zijn firmware-updates uitgebracht om de problemen te verhelpen. Via de beveiligingslekken in de Synology-camera's kan een remote aanvaller willekeurige code uitvoeren, beveiligingsmaatregelen omzeilen en denial of service-aanvallen uitvoeren. Gebruikers van Synology Camera BC500, TC500 en CC400W worden aangeraden te updaten naar firmware-versie 1.1.3-0442 of nieuwer. Daarnaast is er ook een beveiligingsupdate voor de Synology BeeStation Manager (BSM) uitgekomen. De Synology BeeStation is een eenvoudig NAS-apparaat. Een kritieke kwetsbaarheid laat een aanvaller op afstand willekeurige code uitvoeren. Gebruikers wordt aangeraden te updaten naar versie 1.1-65373 of nieuwer. De kwetsbaarheden hebben geen CVE-nummers gekregen. Verdere details zijn niet gegeven. bron: https://www.security.nl

Microsoft is door een bug weken aan beveiligingslogs van klanten verloren, zo heeft techbedrijf laten weten. De logbestanden kunnen een belangrijke rol spelen bij het detecteren van aanvallen of de aanwezigheid van aanvallers op een netwerk. De bug, die op 2 september door Microsoft werd geintroduceerd, zorgde ervoor dat er geen logdata naar het interne loggingplatform van het techbedrijf werd verstuurd. Het gaat om sign-in logs en activiteitslogs van Microsoft Entra, platformlogs van Azure Logic Apps en Azure Healthcare API's, incomplete beveiligingswaarschuwingen van Microsoft Sentinel. onvolledige SignTransaction en SignHistory logs van Azure Trusted Signing, onvolledige logs in Application Insights van Azure Virtual Desktop en 'datadiscrepanties' in rapportages van Microsofts Power Platform. Nadat de bug zich op 2 september voordeed startte Microsoft op 6 september een onderzoek. Op 18 september werd duidelijk dat het probleem groter was dan het techbedrijf in eerste instantie dacht. Uiteindelijk werd het probleem op 30 september volledig verholpen. Microsoft meldde het probleem in het Microsoft 365 portal, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn er adminrechten nodig om hier toegang tot te krijgen en zullen securityteams de melding daardoor hebben gemist. De onderzoeker zegt met twee Microsoft-klanten bekend te zijn die niet via de portal werden ingelicht. Microsoft laat aan TechCrunch weten dat alle getroffen klanten zijn ingelicht en waar nodig worden geholpen. Microsoft kwam recentelijk nog onder vuur te liggen vanwege de toegang tot logbestanden. Vorig juli werd bekend dat aanvallers hadden ingebroken op de Exchange Online-omgeving van het techbedrijf, waarbij tienduizenden e-mails werden gestolen. De Amerikaanse overheid kwam vervolgens met het advies aan organisaties om hun Exchange Online-omgeving te monitoren. Misbruik zou alleen aan de hand van een bepaald item in de logbestanden zijn te detecteren. Deze optie was echter alleen beschikbaar voor klanten die van een Enterprise E5-licentie gebruikmaken. Dit zorgde voor felle kritiek van beveiligingsonderzoekers en de Amerikaanse overheid, die stellen dat alle klanten toegang tot dergelijke logs moeten hebben. Na de kritiek besloot Microsoft logs voor Exchange Online en andere Microsoft 365-diensten zonder extra kosten beschikbaar te maken. bron: https://www.security.nl

Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC). Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties. Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist. Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37. bron: https://www.security.nl

Google is begonnen om de populaire adblocker uBlock Origin bij gebruikers uit te schakelen, zo meldt ontwikkelaar Raymond Hill op X en blijkt uit screenshots van gebruikers. In augustus kwam Google al met een melding bij gebruikers van uBlock Origin dat het de adblocker gaat uitschakelen en vorige week verscheen een melding binnen de browser dat de support van uBlock Origin stopt. Gebruikers hebben nu allerlei screenshots gedeeld waarin te zien is dat Google Chrome uBlock Origin heeft uitgeschakeld. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Vanwege de beperkingen is er geen Manifest V3-versie van uBlock Origin beschikbaar. Google liet eerder al weten dat het Manifest V2-extensies bij Chrome-gebruikers gaat uitschakelen. Volgens cijfers van het techbedrijf is bijna veertig procent van de Chrome-extensies nog niet naar V3 gemigreerd. Tegenover The Verge laat Google weten dat meer dan 93 procent van de 'actief beheerde' extensies in de Chrome Web Store inmiddels van V3 gebruikmaakt. bron: https://www.security.nl

Tijdens de patchronde van oktober heeft Oracle 334 patches uitgebracht, waaronder voor kritieke kwetsbaarheden in WebLogic Server en andere producten. Net als bij vorige patchrondes zegt Oracle dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Verschillende van de kwetsbaarheden die nu zijn verholpen hebben op een schaal van 1 tot en met 10 een impactscore van 9.8. Het gaat onder andere om Oracle Outside In Technology, Oracle WebLogic Server, Oracle Business Intelligence Enterprise Edition, Oracle Solaris Cluster, Oracle Commerce Guided Search, Oracle Communications Unified Assurance, Oracle Enterprise Communications Broker en Oracle SD-WAN (Aware/Edge). Van deze producten is vooral WebLogic Server een populair doelwit in het verleden geweest, waarbij kwetsbaarheden kort na het verschijnen van updates werden aangevallen. De nu verholpen kwetsbaarheid in het product (CVE-2024-21216) is volgens Oracle eenvoudig door een ongeauthenticeerde aanvaller te misbruiken. Verdere details zijn niet gegeven. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 21 januari 2025. bron: https://www.security.nl

Een spoofing-kwetsbaarheid in Zendesk maakte het mogelijk voor een beveiligingsonderzoeker om op eenvoudige wijze toegang tot interne tickets en Slack-kanalen van honderden grote bedrijven te krijgen. Zendesk heeft het probleem inmiddels verholpen. Zendesk biedt een online omgeving voor klantsupport. Bedrijven kunnen een eigen e-mailadres voor klantensupport, zoals support@company.com, aan de Zendesk-omgeving koppelen. Wanneer een klant het e-mailadres mailt genereert Zendesk automatisch een ticket, waarna een supportteam het ticket kan oppakken. Zendesk voorziet hierbij elke e-mail van een uniek ticket-ID. Ook genereert Zendesk een automatisch reply-to e-mailadres bestaand uit support+uniek ticket-ID@company.com. Dit adres zorgt ervoor dat alle communicatie aan het juiste ticket wordt toegevoegd. Zendesk biedt ook een feature voor 'ticket collaboration'. Wanneer iemand in de CC van een e-mail reply wordt gezet, zal Zendesk deze persoon automatisch toevoegen aan het ticket, waardoor die de volledige ticketgeschiedenis in het supportportaal kan bekijken. Een aanvaller kon hier op eenvoudige wijze misbruik van maken. Als een aanvaller het support e-mailadres en ticket-ID wist, die vaak eenvoudig te raden zijn om dat deze ID's opeenvolgend zijn, kon de aanvaller zich via e-mailspoofing als de originele afzender voordoen. De aanvaller stuurt hiervoor een fake e-mail naar support+uniek ticket-ID@company.com en voegt zijn eigen e-mailadres in de CC. Zendesk denkt dat het toegevoegde CC-adres legitiem is en geeft het e-mailadres van de aanvaller toegang tot de ticketgeschiedenis. De onderzoeker meldde het probleem bij Zendesk, maar volgens het bedrijf was de kwetsbaarheid 'out of scope'. Slack De onderzoeker ontdekte dat het probleem was te misbruiken om ook toegang tot de Slack-omgevingen van bedrijven te krijgen. Slack is een populaire zakelijke communicatietool waar talloze organisaties en bedrijven gebruik van maken. De Zendesk-kwetsbaarheid maakte het mogelijk om de verificatie van Slack te omzeilen. Slack laat gebruikers onder andere inloggen via een Apple-account gekoppeld aan het bedrijfsdomein. Een aanvaller kon hier misbruik van maken door eerst een Apple-account aan te maken met het e-mailadres support@company.com en de verificatiecode aan te vragen. Apple stuurt de verificatiecode vanaf appleid@id.apple.com naar support@company.com en Zendesk creëert automatisch een ticket. De aanvaller stuurt tegelijkertijd een e-mail naar support@company.com, om zo te zien waar de nummering van unieke ticket-ID's is. Via de spoofing-bug in Zendesk stuurt de aanvaller nu een gespoofte e-mail afkomstig van appleid@id.apple.com met het geraden unieke ticket-ID en plaatst zijn eigen e-mailadres in de CC. De aanvaller krijgt nu toegang tot de Zendesk-tickets en kan de verificatiecode voor het Apple-account zien en daarmee inloggen op het Slack-kanaal van de betreffende onderneming. De onderzoeker informeerde naar eigen zeggen meerdere bedrijven voor het probleem, wat hem 50.000 dollar aan beloningen opleverde. Uiteindelijk kwam ook Zendesk met een oplossing. Omdat de onderzoeker informatie al met Zendesk-klanten had gedeeld, wat in strijd met de regels van het bugbountyprogramma is, besloot Zendesk de onderzoeker geen beloning uit te keren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de populaire WordPressplug-in Jetpack maakt het mogelijk voor aanvallers om gebruikersdata van websites te stelen. Er zijn updates uitgebracht om het probleem te verhelpen. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Meer dan vier miljoen websites maken er gebruik van. Automattic is het hostingbedrijf achter WordPress.com. Een kwetsbaarheid die sinds 2016 in de plug-in aanwezig is maakt het mogelijk voor ingelogde gebruikers om ingevulde webformulieren van bezoekers te lezen. De kwetsbaarheid bevindt zich in een optie van Jetpack voor het toevoegen van web- en contactformulieren. Volgens Automattic zijn er geen aanwijzingen dat er misbruik van het lek is gemaakt, maar nu er updates beschikbaar zijn bestaat het risico dat dit wel gaat gebeuren. WordPress-beheerders worden opgeroepen de update te installeren, maar op de meeste sites zal dit automatisch gebeuren, aldus Automattic. bron: https://www.security.nl

Microsoft waarschuwt organisaties voor het einde van de support van Exchange Server 2016 en 2019 over precies een jaar. Na 14 oktober 2025 zal Microsoft geen beveiligingsupdates, bugfixes en technische support meer bieden voor problemen die zich met de mailserversoftware voordoen. "Klantinstallaties van Exchange 2016 en Exchange 2019 blijven natuurlijk na 14 oktober 2025 draaien; vanwege de aankomende end of support datum en mogelijke toekomstige beveiligingsrisico's raden we ten sterkte aan om nu in actie te komen." Het techbedrijf adviseert klanten om te migreren naar Exchange Online of Microsoft 365. Voor bedrijven en organisaties die de mailserversoftware on-premises willen draaien komt Microsoft met Exchange Server SE. Deze versie zal aan het begin van het derde kwartaal van 2025 verschijnen. In het geval van Exchange 2016 adviseert Microsoft om eerst naar Exchange 2019 te upgraden en dan in een in-place upgrade naar Exchange Server SE uit te voeren. bron: https://www.security.nl

Cisco onderzoekt de mogelijke diefstal van broncode en andere gegevens, nadat iemand op internet claimt deze data in handen te hebben en aanbiedt. Het zou naast broncode ook gaan om zaken als certificaten, hardcoded credentials, API-tokens, AWS private buckets, Azure storage buckets, ssl-certificaten en private en public keys. "Cisco is bekend met berichten dat een aanvaller claimt toegang te hebben tot bepaalde Cisco-gerelateerde bestanden", aldus een woordvoerder van het netwerkbedrijf tegenover Bleeping Computer. "We zijn een onderzoek gestart om deze claim te verifieren en het onderzoek is nog gaande." Na berichten op X over de mogelijke datadiefstal daalde de koers van Cisco. In 2022 wisten criminelen in te breken op systemen van Cisco, waarna de gestolen data op internet werd gepubliceerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Veeam Backup & Replication bij het uitvoeren van ransomware-aanvallen. Dat meldt antivirusbedrijf Sophos. Veaam kwam begin vorige maand met updates voor het beveiligingslek. Het bedrijf biedt oplossingen voor het maken en restoren van back-ups en repliceren van software. Een kwetsbaarheid in Backup & Replication maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de back-uperserver uit te voeren. De impact van de kwetsbaarheid (CVE-2024-40711) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sophos zegt vorige maand meerdere ransomware-aanvallen te hebben gezien, waarbij aanvallers gecompromitteerde inloggegevens en de Veeam-kwetsbaarheid gebruikten. De aanvallen begonnen via gecompromitteerde vpn-gateways zonder multifactorauthenticatie. Sommige van de vpn-servers draaiden verouderde softwareversies. Zodra er toegang was verkregen werd de Veaam-kwetsbaarheid gebruikt en maakten aanvallers een lokaal account aan. Vervolgens werden gegevens gestolen en uiteindelijk de ransomware uitgerold. In het verleden zijn kwetsbaarheden in Veeam vaker gebruikt bij ransomware-aanvallen. bron: https://www.security.nl

ChatGPT wordt gebruikt voor de ontwikkeling en verspreiding van malware, zo stelt OpenAI in een rapport. Het gaat dan om het debuggen van malware, ondersteuning bij de ontwikkeling van Android-malware en maken van scripts voor het aanvallen van vitale infrastructuur. In het rapport beschrijft de ChatGPT-ontwikkelaar hoe verschillende groepen van de chatbot gebruikmaken voor het uitvoeren van aanvallen. Naast malware gaat het ook om beïnvloedings campagnes en het maken van nep-accounts op social media. "Aanvallers gebruiken onze modellen vooral voor taken in een specifieke, tussenliggende fase van de activiteit - nadat ze basale tools hadden verkregen zoals internettoegang, e-mailadressen en socialmedia-accounts, maar voordat ze “afgeronde” producten zoals socialmediaposts of malware via verschillende distributiekanalen op internet verspreidden", aldus OpenAI. Het gebruik van ChatGPT heeft echter niet geleid tot doorbraken in de mogelijkheid om nieuwe malware te ontwikkelen of viraal met bepaalde content te gaan, zo laat het rapport verder weten. Tevens stelt OpenAI dat het zelf ook doelwit van aanvallen is. Zo waren persoonlijke en zakelijke e-mailadressen van OpenAI-medewerkers het doelwit van spearphishing. De aanvallen waren echter niet succesvol, aldus het rapport. bron: https://www.security.nl

Google waarschuwt Chrome-gebruikers dat de ondersteuning van de populaire adblocker uBlock Origin op korte termijn mogelijk stopt. "Deze extensie wordt binnenkort misschien niet meer ondersteund omdat deze de best practices voor Chrome-extensies niet volgt", zo laat de Chrome Web Store weten. In augustus kwam het techbedrijf al met een melding bij gebruikers van uBlock dat het de adblocker gaat uitschakelen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Volgens cijfers van Google is bijna veertig procent van de Chrome-extensies nog niet naar V3 gemigreerd. Zo zal er geen V3-versie van uBlock Origin komen. De ontwikkelaar van de adblocker stelt dat dit niet mogelijk is door de beperkingen die Google via V3 oplegt. Aangezien V2 straks niet meer in Chrome wordt ondersteund is Google een traject gestart, waarbij deze extensies straks niet meer via de Web Store zijn te downloaden en uiteindelijk bij gebruikers worden uitgeschakeld. "Google gebruikt zijn dominante marktaandeel onder Windows-browsers concurrentieverstorend om zijn advertentiemonopolie te versterken door adblockers te blokkeren", aldus Tim Sweeney van gameontwikkelaar Epic Games. bron: https://www.security.nl

Mozilla heeft een actief aangevallen kritieke kwetsbaarheid in Firefox in 25 uur gepatcht, zo laat de browserontwikkelaar weten. Vorige week bleek dat gebruikers van Tor Browser, dat een aangepaste Firefox-versie gebruikt, via het beveiligingslek zijn aangevallen. In een blogposting geeft Mozilla iets meer informatie over de aanval, waarover het vorige week dinsdag door antivirusbedrijf ESET werd ingelicht.. De virusbestrijder had een zogenoemde 'full exploit chain' in handen gekregen waarmee een aanvaller op afstand code op de computer van gebruikers kan uitvoeren. Mozilla ontving de informatie en wist in 25 uur de exploit te analyseren, waarbij de nodige reverse engineering was vereist, en een update te ontwikkelen. Eerder dit jaar ontving Mozilla nog een industry award omdat het kwetsbaarheden die tijdens hackwedstrijd Pwn2Own werden gedemonstreerd in 21 uur had verholpen. Bij deze wedstrijd staat Mozilla klaar en weet het dat er mogelijk onbekende beveiligingslekken worden gedemonstreerd. In dit geval was er geen voorbereiding. Naast het verhelpen van de kwetsbaarheid kijkt Mozilla naar eigen zeggen ook naar maatregelen om Firefox beter tegen dit soort aanvallen te beschermen. bron: https://www.security.nl

Ik gok dat je bedoelt dat je tegen problemen aan loopt wanneer je niet de originele inktpatronen in je printer wilt gebruiken. Dit is een bekend voorval. Ook ik heb eens geprobeerd inktpatrones van derde in een HP-printer te gebruiken. Gaf eigenlijk niets anders dan ellende. Uiteindelijk heb ik ze maar weer vervangen voor de originele patronen. Was klaar met iedere keer een work-around toe te moeten passen.

Gebruikers van Tor Browser zijn aangevallen via een kritieke kwetsbaarheid in Firefox waarvoor Mozilla eerder deze week een beveiligingsupdate uitbracht. Dat laat het Tor Project weten, de ontwikkelaars van Tor Browser en het Tor-netwerk. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Om het Tor-netwerk te kunnen gebruiken is Tor Browser vereist. De browser bestaat uit een aangepaste versie van Firefox, aangevuld met verschillende browserplug-ins en andere aanpassingen om gebruikers extra te beschermen. Deze week meldde Mozilla dat aanvallers actief misbruik maken van een een kritieke kwetsbaarheid in Firefox (CVE-2024-9680), waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. De kwetsbaarheid was gevonden door een onderzoeker van antivirusbedrijf ESET. Alleen het bezoeken van een gecompromitteerde of malafide website of te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Hoelang gebruikers via de kwetsbaarheid zijn aangevallen voordat de patch beschikbaar kwam is onbekend. Ook verdere details ontbraken. Er is nu een nieuwe versie van Tails verschenen, een op privacy gericht besturingssysteem dat ook van het Tor-netwerk en Tor Browser gebruikmaakt. In de release notes van de nieuwe Tails-versie meldt het Tor Project dat het via Mozilla heeft vernomen dat Tor Browser-gebruikers via het beveiligingslek in Firefox zijn aangevallen. Meer informatie is op dit moment niet beschikbaar. In het verleden zijn vaker kwetsbaarheden in Firefox gebruikt voor het aanvallen van Tor Browser-gebruikers. Onder andere de FBI zat achter deze aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van onversleutelde persistent cookies van de F5 BIG-IP Local Traffic Manager (LTM) om zo andere apparaten op het netwerk te vinden, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het cyberagentschap roept organisaties op om de persistent cookies te versleutelen. F5 BIG-IP bestaat uit hard- en software voor het beheer en beveiligen van netwerkverkeer. De Local Traffic Manager wordt gebruikt voor load balancing, monitoring, logging en analytics. Het systeem bevindt zich tussen clients en hosts en kan zo het verkeer van en naar een datacenter beheren. Standaard stuurt de LTM onversleutelde cookies naar clients. F5 adviseert het versleutelen van cookies. Het CISA geeft nu een zelfde advies. Informatie van onversleutelde persistent cookies kan aanvallers helpen om andere apparaten op het netwerk te vinden. Het agentschap geeft niet heel veel details, maar stelt dat aanvallers in de praktijk de cookies gebruiken om andere apparaten op het netwerk, die niet aan het internet zijn blootgesteld, te enumereren. bron: https://www.security.nl

Meer dan 28.000 mensen zijn door het downloaden van illegale software besmet geraakt met cryptomalware, zo stelt antivirusbedrijf Doctor Web. De gebruikers hadden illegale versies van kantoorsoftware geïnstalleerd, alsmede cheats voor online games en beleggingsbots. De software bevatte malware die het systeem van gebruikers inzette voor cryptomining, waarbij de rekenkracht van de computer wordt gebruikt voor het minen van cryptovaluta. Daarnaast biedt deze malware aanvallers ook toegang tot het besmette systeem. Daarnaast bevatte de malware ook een 'clipper' voor het stelen van cryptovaluta. Clipper-malware maakt gebruik van het feit dat cryptogebruikers die een betaling willen doen of geld naar een andere wallet willen overmaken hiervoor vaak het walletadres van de begunstigde kopiëren en vervolgens in een veld op de transactiepagina plakken. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. De aanvallers zouden op deze manier zeker zesduizend dollar aan crypto hebben buitgemaakt. Volgens Doctor Web zijn meer dan 28.000 slachtoffer van de malware geworden. "Aangezien de computers van slachtoffers door het installeren van illegale versies van populaire software besmet raakten, blijft het belangrijkste advies om dit soort incidenten te voorkomen het downloaden van software van officiële bronnen, het gebruik van opensource-alternatieven en installeren van adequate antivirussoftware." bron: https://www.security.nl

Firewalls van Palo Alto Networks zijn via verschillende kritieke kwetsbaarheden in Palo Alto Networks Expedition op afstand over te nemen, zo laat het securitybedrijf weten, dat updates heeft uitgebracht om de problemen te verhelpen. Via de kritieke kwetsbaarheden is command injection mogelijk en kan een ongeauthenticeerde aanvaller uit de Expedition-database gebruikersnamen, cleartext wachtwoorden, apparaatconfiguraties en API-keys van PAN-OS firewalls stelen. Via de gestolen inloggegevens zou een aanvaller vervolgens toegang tot de firewall kunnen krijgen. De impact van de drie kritieke kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score tussen de 9.2 en 9.9. Expedition is een tool voor het migreren van configuraties van een andere leverancier naar PAN-OS, het besturingssysteem dat op de netwerkapparaten van Palo Alto Networks draait. Het netwerkbedrijf zegt niet bekend te zijn met actief misbruik, maar waarschuwt dat proof-of-concept exploitcode op internet is te vinden. Details over de kwetsbaarheden zijn door securitybedrijf Horizon3.AI openbaar gemaakt. Naast het installeren van de beschikbaar gemaakte updates wordt organisaties ook aangeraden om te controleren of hun firewall al niet is gecompromitteerd. bron: https://www.security.nl

Het Internet Archive heeft de persoonlijke gegevens van 31 miljoen gebruikers gelekt. Het gaat om e-mailadressen, gebruikersnamen en met het bcrypt-algoritme gemaakte wachtwoordhashes. Dat heeft de archiveringswebsite via X bekendgemaakt. De gegevens werden eind september bij de website buitgemaakt, zo meldt datalekzoekmachine Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomen. De 31 miljoen gestolen e-mailadressen zijn inmiddels aan Have I Been Pwned toegevoegd. 54 procent daarvan was al via een ander datalek bij de zoekmachine bekend. Hoe de gegevens konden worden gestolen is niet bekend. De website liet enige tijd een melding van een aanvaller zien dat het te maken had met een datalek. Internet Archive laat daarover weten dat de website via een JavaScript-library is gedefacet en dat er gebruikersnamen, e-mailadressen en gesalte en gehashte wachtwoorden zijn gestolen. De website was de afgelopen dagen ook het doelwit van meerdere ddos-aanvallen. Het Internet Archive archiveert onder andere software, video's, audio en websites. Vorige maand had het Internet Archive meer dan 866 miljard webpagina's gearchiveerd. bron: https://www.security.nl

Mozilla waarschuwt gebruikers van Firefox voor een actief aangevallen kritieke kwetsbaarheid in de browser waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. Alleen het bezoeken van een gecompromitteerde of malafide website of te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Het probleem bevindt zich in een onderdeel genaamd 'Animation timelines', dat wordt gebruikt bij het weergeven van CSS-animaties. De kwetsbaarheid zorgt voor een use-after-free waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. Mozilla heeft beveiligingsupdates voor de kwetsbaarheid uitgebracht, maar laat niet weten hoelang gebruikers al via het lek zijn aangevallen. Gebruikers worden opgeroepen te updaten naar Firefox 131.0.2, Firefox ESR 115.16.1 of Firefox ESR 128.3.1. Dit kan via Mozilla.org of de automatische updatefunctie. De impact van de kwetsbaarheid, aangeduid als CVE-2024-9680, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Tor Project heeft een nieuwe versie van Tor Browser uitgebracht, aangezien die op Firefox is gebaseerd, en roept gebruikers op meteen te updaten. bron: https://www.security.nl

Aanvallers maken gebruik van SharePoint, OneDrive en Dropbox voor het uitvoeren van phishingaanvallen en sinds halverwege april is er een toename zichtbaar, aldus Microsoft. Om detectie te voorkomen werken de aanvallers met afgeschermde bestanden die alleen voor de doelwitten van de aanval toegankelijk zijn. Daarnaast zijn de bestanden 'view-only', waardoor ze niet te downloaden zijn en beveiligingsoplossingen niet de aanwezigheid van embedded url's kunnen detecteren, stelt Microsoft. De aanval bestaat uit verschillende stappen, waarbij als eerste het SharePoint-, OneDrive- of Dropbox-account van een leverancier wordt gecompromitteerd die door het doelwit wordt vertrouwd. De aanvaller maakt vervolgens in de genoemde bestandshostingsdiensten een malafide bestand aan. Vervolgens wordt het bestand met alleen het doelwit of doelwitten gedeeld. Die ontvangen dan een bericht dat de vertrouwde leverancier met hen een bestand heeft gedeeld. De gebruikers moeten eerst inloggen voordat ze het bestand kunnen bekijken. Dit bestand is alleen toegankelijk voor het beoogde doelwit, zal na bepaalde tijd verdwijnen en het pdf-document dat via het bestand wordt gedeeld is niet te downloaden. Het malafide document doet zich voor als een 'preview' en probeert de gebruiker op een "View my message" link te laten klikken. Zodra de gebruiker op deze link klinkt wordt er een phishingpagina geladen die om inloggegevens vraagt en de multifactorauthenticatie probeert te voltooien. Via de phishingpagina krijgt de aanvaller een token in handen waarmee toegang tot het account van het doelwit wordt verkregen. Deze toegang wordt vervolgens gebruikt voor business email compromise (BEC) aanvallen, waaronder ook ceo-fraude valt. bron: https://www.security.nl