Captain Kirk

De beruchte Emotet-malware is weer actief geworden en gebruikt nog ongelezen e-mails van al gemaakte slachtoffers om zich verder te verspreiden, wat het lastig voor spamfilters maakt om deze berichten te stoppen zo melden Cisco en Virus Bulletin. Gisteren kwam securitybedrijf Malwarebytes al met het bericht dat Emotet na maanden van inactiviteit weer begonnen was met het versturen van spammails. Emotet maakt gebruik van malafide doc-bestanden met kwaadaardige macro's om systemen te besmetten. Deze bestanden worden als e-mailbijlage verstuurd. Om potentiële slachtoffers te verleiden om de e-mailbijlage te openen lift Emotet mee op eerdere e-mailcommunicatie van het slachtoffer. Deze werkwijze van Emotet was al eerder bekend, maar is volgens Cisco zeer effectief om zich verder te verspreiden. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen. Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen. Virus Bulletin laat weten dat veel spamfilters de Emotet-mails niet als kwaadaardig bestempelen en zodoende doorlaten. "Dit is onderdeel van een zorgwekkende trend die we nu al enige tijd zien. Deze spamcampagnes hebben een veel hoger leveringspercentage dan normale spam. Soms weet tien procent van de spammails door de eerste verdedigingslaag heen te komen", zegt Martijn Grooten van Virus Bulletin. Volgens Cisco-onderzoeker Colin Grady is het eenvoudig voor te stellen dat iemand die een e-mail verwacht hier in trapt. "En het is een deel van de reden dat Emotet zich zo effectief via e-mail verspreidt. Door bestaande e-mailgesprekken over te nemen, en echte onderwerpen en e-mailinhoud toe te voegen, zijn de berichten veel willekeuriger en lastiger voor anti-spamsystemen om te filteren", aldus de onderzoeker. Wachtwoorden De inloggegevens die Emotet steelt voor het inloggen op het e-mailaccount van het slachtoffer worden ook gebruikt voor het versturen van de malafide antwoordmails. De afgelopen tien maanden ontdekte Cisco ruim 200.000 gestolen combinaties van gebruikersnamen en wachtwoorden waarmee de spamberichten werden verstuurd. Een gestolen wachtwoord blijkt gemiddeld een kleine 7 dagen voor het versturen van spam te worden gebruikt. Het grootste deel van de wachtwoorden was echter minder dan een dag in gebruik. Eenmaal actief op een systeem kan Emotet wachtwoorden van allerlei applicaties stelen en aanvullende malware installeren, waaronder ransomware. Grady adviseert internetgebruikers om tweefactorauthenticatie voor hun e-mailaccount in te stellen en alert te zijn op onverwachte of verdachte e-mails die uit de context lijken. bron: security.nl

De gegevens van meer dan 15 miljoen gebruikers van pdf-software Lumin PDF zijn via een onbeveiligde MongoDB-database in handen van derden terechtgekomen en via een hackingforum openbaar gemaakt. Het datalek vond in april van dit jaar plaats, maar is pas deze week bekend geworden. Lumin PDF biedt tools voor het bekijken, maken en beheren van pdf-documenten. Een MongoDB-database met de gegevens van gebruikers was voor iedereen op internet toegankelijk. De ontwikkelaar zou hier verschillende keren over zijn geïnformeerd, maar beveiligde de database niet. Daardoor zijn de gegevens van gebruikers in handen van een derde partij gekomen. Het gaat om Google-authenticatietokens, e-mailadressen, geslacht, namen, gesproken talen, gebruikersnamen en met bcrypt gehashte wachtwoorden van 15,4 miljoen gebruikers. Dat laat datalekzoekmachine Have I Been Pwned weten. Lumin PDF claimt zelf dat het 17 miljoen gebruikers heeft. Via Have I Been Pwned kunnen gebruikers in bijna 8,5 miljard gestolen records kijken of hun data ooit bij een website is gestolen. 57 procent van de buitgemaakte e-mailadressen was al via een ander datalek bij Have I Been Pwned bekend. bron: security.nl

Onderzoekers hebben een nieuwe spamcampagne van het Emotet-botnet ontdekt waarbij malafide doc-bestanden worden verstuurd. De doc-bestanden bevatten een kwaadaardige macro die wanneer ingeschakeld malware op het systeem downloadt. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. De laatste spamcampagne van het botnet vond zo'n vier maanden geleden plaats, aldus anti-malwarebedrijf Malwarebytes. Bij de nu ontdekte nieuwe campagne worden e-mails in het Duits, Engels, Italiaans en Pools verstuurd. De berichten gaan over nog niet betaalde rekeningen. Zodra gebruikers het meegestuurde doc-bestand openen verschijnt er een melding dat macro's moeten worden ingeschakeld. Volgens de melding van de criminelen is dit nodig om de werking van Microsoft Word te garanderen. Wanneer de gebruiker macro's inschakelen wordt Emotet op het systeem gedownload. Vervolgens probeert de malware zich lateraal door het netwerk te verspreiden en allerlei wachtwoorden van applicaties te stelen. Emotet is in het verleden gebruikt om ransomware op besmette computers te installeren. bron: security.nl

Onderzoekers van Cisco hebben een ernstig beveiligingslek in verschillende drivers van AMD ATI Radeon-videokaarten ontdekt waardoor een aanvaller systemen kan overnemen die een VMware virtual machine hosten. AMD heeft inmiddels nieuwe drivers uitgebracht waarin de kwetsbaarheid is verholpen. Het probleem doet zich voor bij het verwerken van pixel shaders, die worden gebruikt om objecten er realistischer eruit te laten zien. Door de kwetsbare driver een speciaal geprepareerde pixel shader binnen een VMWare guest te laten verwerken kan er geheugencorruptie ontstaan waardoor het mogelijk is om willekeurige code uit te voeren op de machine die de VMware guest host. Voorwaarde is wel dat de guestVM op Windows 10 draait. De kwetsbaarheid doet zich voor in de ATIDXX64.DLL driver in combinatie met videokaarten van de Radeon RX 550 en 550 series en VMWare Workstation 15. AMD werd op 8 mei van dit jaar over de kwetsbaarheid geïnformeerd. Gisteren kwam de chipfabrikant met nieuwe drivers. Op een schaal van 1 tot en met 10 wat betreft de ernst is het lek met een 9 beoordeeld. bron: security.nl

Onderzoekers van securitybedrijf Independent Security Evaluators (ISE) hebben in dertien routers en NAS-systemen in totaal 125 beveiligingslekken ontdekt waardoor aanvallers in het ergste geval de systemen op afstand kunnen overnemen. In 2013 voerde ISE al soortgelijk onderzoek. De onderzoekers besloten nu opnieuw te kijken hoe goed routers en NAS-systemen zijn beveiligd. Het hoofddoel van het onderzoek was om op afstand volledige controle over het apparaat te krijgen en zonder authenticatie commando's met rootrechten uit te voeren. Bij twaalf van de dertien apparaten lukte dit ook. In totaal leverde het onderzoek 125 verschillende kwetsbaarheden op. De onderzoekers rapporteerden deze kwetsbaarheden bij de verschillende fabrikanten. Hier werd echter verschillend op gereageerd. Zo hebben Buffalo, Drobo en Zioncom niet bevestigd dat ze de e-mail met informatie over de kwetsbaarheden hebben ontvangen. Ook de communicatie met Netgear verliep moeizaam, aldus de onderzoekers. Het is dan ook onduidelijk of alle kwetsbaarheden inmiddels zijn gepatcht. Gebruikers krijgen het advies om geen producten van fabrikanten te kopen die vaak met beveiligingslekken hebben te maken, moeten onnodige diensten worden uitgeschakeld en moeten remote acces features waar mogelijk worden vermeden. bron: security.nl

Er is een nieuwe versie van de populaire wachtwoordmanager LastPass verschenen die een kwetsbaarheid verhelpt waardoor opgeslagen wachtwoorden van gebruikers konden lekken. Het beveiligingslek was ontdekt door onderzoeker Tavis Ormandy van Google. LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Een probleem met het cachegeheugen van de wachtwoordmanager zorgde ervoor dat een kwaadaardige website het laatst gebruikte wachtwoord kon achterhalen. Alleen het bezoeken van de kwaadaardige website was voldoende, er was geen verdere interactie van gebruikers vereist. Ormandy rapporteerde het probleem op 30 augustus aan LastPass. Op 12 september verscheen er een nieuwe versie van de wachtwoordmanager. In de release notes heeft LastPass het over 'minor bug fixes'. Ormandy bestempelt de impact van de kwetsbaarheid echter als "high". De onderzoeker wilde de details afgelopen vrijdag 13 september openbaar maken, maar stelde dit uit omdat hij onderweg was. Gebruikers krijgen het advies om te updaten naar LastPass 4.33.0 / 4.33.4. Ormandy, die in het verleden vaker kwetsbaarheden in LastPass ontdekte, is van plan om later een demonstratie-exploit voor de kwetsbaarheid online te zetten. bron: security.nl

Duitse internetgebruikers zijn weer het doelwit van malware die zich voordoet als ransomware maar in werkelijkheid allerlei bestanden van het systeem wist. De malware verspreidt zich via een e-mail met het onderwerp "Bewerbung via Arbeitsagentur - Eva Richter" en doet zich voor als een sollicitatie. Naast een foto bevat de e-mail een zip-bestand. Dit zip-bestand bevat weer een bestand eindigend op pdf.exe. Doordat Windows standaard geen bestandsextensies toont zouden gebruikers kunnen denken dat het om een pdf-bestand gaat. Wanneer de gebruiker het bestand opent worden allerlei foto's, documenten, video's, databases, tekstbestanden en archieven verwijderd, alsmede alle shadowkopieën van bestanden. Tevens wordt de Windows 10-herstelomgeving uitgeschakeld. Vervolgens plaatst de malware in elke map een bericht dat de bestanden zijn versleuteld en er ongeveer 1500 dollar moet worden betaald voor het ontsleutelen van de bestanden. Doordat het hier om een wiper gaat zullen slachtoffers die betalen hun bestanden niet terugkrijgen, zo meldt Bleeping Computer. Vorige maand waren Duitse internetgebruikers het doelwit van een soortgelijke aanval met een zogenaamde sollicitatie en malware die bestanden wiste. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft internetproviders wereldwijd opgeroepen om DNS-over-HTTPS te gaan ondersteunen. Dit moet voorkomen dat straks een handvol bedrijven de dns-verzoeken van miljarden gebruikers zullen verwerken en er een gecentraliseerd ecosysteem ontstaat. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor dns-verzoeken te gebruiken. Volgens de EFF kan DoH de privacy van internetgebruikers enorm verbeteren. Er is echter ook kritiek op de technologie. Zo is Mozilla van plan om voor de DoH-implementatie binnen Firefox de dns-servers van internetbedrijf Cloudflare te gebruiken. Zodoende zal straks het dns-verkeer van alle Firefoxgebruikers via één partij lopen. De EFF stelt dat de dns-aanbieders die browserontwikkelaars zoals Google en Mozilla voor hun browser kiezen deze partijen meer macht geven en het mogelijk voor deze partijen maken om gebruikers te monitoren en censureren. Om te voorkomen dat er door DNS-over-HTTPS een sterk centraliserend effect ontstaat roept de EFF internetproviders daarom op om DoH zelf te gaan ondersteunen. Zodoende hebben gebruikers de security- en privacyvoordelen van de technologie, terwijl ze tegelijkertijd de keuze hebben om de dns-servers van hun eigen provider te blijven gebruiken. Verschillende providers, waaronder het Britse Faelix, zijn inmiddels begonnen om DoH te ondersteunen. "DoH moet op zo'n manier worden uitgerold dat het de rechten van gebruikers respecteert. Browsers moeten transparant zijn over wie toegang tot de dns-data heeft en gebruikers de keuze geven om hun eigen dns-aanbieder te kiezen", aldus Max Hunter van de EFF, die toevoegt dat internetproviders DoH ook moeten gaan ondersteunen om zo een gedecentraliseerd ecosysteem in stand te houden. bron: security.nl

Kabels staan onder invloed van oa vocht en temperatuur. Ook al is dit minimaal. Maar hoe langer de kabel, hoe meer het effect van de invloed van bijvoorbeeld temperatuur en vocht. Hoe meer splitsingen in een kabel zitten, hoe meer kans op uitval. Niet alleen in netwerkkabels. Ik had dit vroeger ook met antennekabels voor 27mc etc. Dus de verbinding die je nu hebt, is het beste. Verder zou je even alle kabelschoentjes kunnen controleren en indien je deze hebt, nog een keer met een kabeltang aandrukken of vervangen.

Onderzoekers hebben op internet 5 miljoen Exim-mailservers aangetroffen waarvan een onbekend aantal kwetsbaar is. Exim is zeer populaire mailserversoftware. Vorige week werd er in Exim een ernstige kwetsbaarheid gepatcht waardoor aanvallers op afstand code met rootrechten kunnen uitvoeren. Exim-lekken zijn in het verleden vaker het doelwit van criminelen geweest en kort na het verschijnen van de recente Exim-update werd bekend dat Exim-mailservers via een ouder lek uit juni met malware werden geïnfecteerd. Securitybedrijf Rapid7 besloot een scan op internet uit te voeren om te zien hoeveel Exim-mailservers er online zijn. Er werden meer dan 5 miljoen Exim-servers gevonden. Van meer dan 4,5 miljoen servers kon de versie worden vastgesteld. Zo'n 3,2 miljoen van de servers (73 procent) draaiden op Exim-versie 4.92.0. "Dit is goed nieuws, omdat het laat zien dat de meeste organisaties die Exim-servers draaien het up-to-date houden van deze belangrijke serversoftware prioriteit geven", zegt Bob Rudis van Rapid7. Rudis verwacht dan ook dat deze servers bij een volgende scan de laatste versie zullen draaien. Vorige week verscheen Exim 4.92.2. Eind juli was vanwege een andere kwetsbaarheid versie 4.92.1 uitgebracht. Dit versienummer komt echter niet voor in de scan van Rapid7. Eerder stelde het Canadese consultancybedrijf E-Soft op basis van 507.000 gescande Exim-mailservers dat de meeste servers één versienummer achterliepen. 74 procent van de Exim-servers die het bedrijf op 1 september scande draaide versie 4.92.0. Bijna hetzelfde percentage als de scan van Rapid7 laat zien. Versie 4.92.1 werd op slechts 1,3 procent van de servers aangetroffen. Dat wil niet zeggen dat de andere mailservers per definitie kwetsbaar zijn. Het is mogelijk om Exim-fixes te backporten, zodat de server is beschermd zonder de laatste versie te draaien. Het totale aantal kwetsbare Exim-servers is dan ook moeilijk vast te stellen. Wel krijgen beheerders het advies om de beschikbare update te installeren. "Actief misbruik is op dit moment nog niet waargenomen, maar de kans is aanwezig dat er op korte termijn misbruik gemaakt gaat worden door kwaadwillenden", aldus het Nationaal Cyber Security Centrum (NCSC). bron: security.nl

Antivirusbedrijf Sophos heeft besloten om de populaire sandboxtool Sandboxie gratis en op termijn open source te maken. Dat laat de virusbestrijder via de het eigen forum en de website van Sandboxie weten. Sandboxie is een programma voor Windowsgebruikers dat andere software in een sandbox kan draaien. In het geval de andere software wordt aangevallen, bijvoorbeeld via een exploit die misbruik van een beveiligingslek maakt, kan een aanvaller het onderliggende besturingssysteem niet overnemen. De aanvaller bevindt zich namelijk nog in de sandbox waar de aangevallen software in draait. In dit geval zou een aanvaller ook een exploit voor de sandbox moeten hebben om daar uit te breken. Daardoor vormt het een aanvullende beschermingslaag voor Windowscomputers. In 2013 werd Sandboxie door beveiligingsbedrijf Invincea overgenomen. Invincea werd op haar beurt in 2017 voor 100 miljoen dollar door antivirusbedrijf Sophos gekocht. Nu meldt de virusbestrijder dat het Sandboxie gratis gaat maken en dat de software uiteindelijk open source wordt. "Totdat de transitie naar open source is afgerond hebben we besloten om Sandboxie gratis te maken", zo laat Sophos op het eigen forum weten. De overstap heeft wel gevolgen voor de ondersteuning van de software. Die zal namelijk "community based" worden. bron: security.nl

Google is een nieuwe test met DNS-over-HTTPS (DoH) in Chrome gestart waarbij het kijkt of de huidig ingestelde dns-provider van de gebruiker DoH ondersteunt. Er is echter ook kritiek op het gebruik van DoH. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Met Chrome 78 gaat Google kijken of de ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google. Kritiek Onlangs kondigde ook Mozilla aan dat het DoH binnen Firefox gaat testen, waarbij het de dns-servers van internetbedrijf Cloudflare zal gaan gebruiken. Iets wat voor de nodige kritiek zorgt. Het houdt namelijk in dat Firefox al het dns-verkeer bij Cloudflare onderbrengt en dus al het verkeer van gebruikers naar één entiteit gaat. "Dit houdt in dat mensen buiten de Verenigde Staten nu volledig door de Amerikaanse overheid kunnen worden gevolgd", zegt het Zwitserse it-bedrijf Ungleich. Volgens de dienstverlener is het de vraag of DoH wel aan de AVG voldoet, aangezien het straks mogelijk standaard wordt. Gebruikers moeten zich niet aanmelden, maar afmelden. Ungleich vraagt Mozilla dan ook om DoH opt-in te maken en gebruikers zelf een provider te laten kiezen, in plaats van standaard Cloudflare te gebruiken. bron: security.nl

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin een ernstig beveiligingslek is verholpen dat aanvallers hadden kunnen gebruiken om het onderliggende systeem over te nemen. Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie zou voldoende zijn geweest. Verdere interactie van de gebruiker was niet vereist. Dergelijke kwetsbaarheden worden zelden in Chrome gevonden. Dit jaar kwam het één keer eerder voor dat Google een Chrome-lek als ernstig bestempelde. Vorig jaar verhielp Google vier ernstige lekken, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. De nu verholpen kwetsbaarheid (CVE-2019-5870) was aanwezig in het onderdeel van Chrome dat wordt gebruikt voor het afspelen van audio en video. Het beveiligingslek werd ontdekt door onderzoeker Guang Gong van securitybedrijf Qihoo 360. De onderzoeker kreeg vorig jaar 112.500 dollar van Google wegens een aanval waarmee Pixel-telefoons op afstand waren over te nemen. Het was de hoogste beloning die het bedrijf ooit heeft uitgekeerd. Hoeveel Gong nu voor zijn melding krijgt is nog onbekend. De onderzoeker rapporteerde het probleem op 29 augustus. Verder zijn er 51 andere kwetsbaarheden met Chrome 77.0.3865.75 verholpen. Daarmee was het onder andere mogelijk om de adresbalk te spoofen, andere browsers te starten, de downloadbescherming te omzeilen, het downloadvenster te spoofen en verschillende beveiligingsmaatregelen te omzeilen. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Tijdens de patchdinsdag van september heeft Microsoft 79 kwetsbaarheden gepatcht, waaronder twee beveiligingslekken die actief werden aangevallen voordat de updates beschikbaar waren. Via deze twee zerodaylekken kon een aanvaller die al toegang tot een systeem had zijn rechten verder verhogen. De aangevallen kwetsbaarheden bevinden zich in alle ondersteunde versies van Windows. Eén van de lekken werd ontdekt door securitybedrijf Qihoo 360. Wie de andere kwetsbaarheid vond laat Microsoft niet weten. Verder patchte Microsoft lekken in het Windows Text Service Framework (TSF) en Secure Boot die al voor het uitkomen van de updates openbaar waren. Deze kwetsbaarheden zijn voor zover bekend niet aangevallen, aldus Microsoft. De 79 lekken zijn onder andere gepatcht in Windows, Internet Explorer, Edge, Microsoft Office, Exchange Server, Lync en Team Foundation Server. Zestien van de kwetsbaarheden werden als ernstig bestempeld, wat inhoudt dat een aanvaller daarmee het onderliggende systeem kan overnemen. Het gaat onder andere om drie kwetsbaarheden in SharePoint, zo meldt het Zero Day Initiative. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Een beveiligingslek in de populaire e-mailserversoftware Exim dat afgelopen juni werd gepatcht wordt op het moment actief gebruikt om kwetsbare mailservers met malware te infecteren. Dat meldt securitybedrijf Positive Technologies. Via het lek kan een aanvaller op afstand commando's met rootrechten uitvoeren. Kort na het uitkomen van de beveiligingsupdate werden de eerste aanvallen al waargenomen. Nu een aantal maanden later vinden deze aanvallen nog steeds plaats. Aanvallers proberen via het lek een cryptominer op de mailserver te installeren die de machine de cryptovaluta Monero laat delven. Daarnaast probeert de malware zich naar andere systemen te verspreiden die via SSH toegankelijk zijn en in de known_hosts lijst van SSH zijn opgenomen. De malware, die Sustes wordt genoemd, maakt niet alleen gebruik van het Exim-lek. Ook kwetsbaarheden in Redis en Hadoop YARN ResourceManager worden uitgebuit. Tevens probeert Sustes accounts via bruteforce-aanvallen te compromitteren. De melding van Positive Technologies volgt op het nieuws over een nieuw ernstig beveiligingslek in Exim dat vorige week werd gepatcht. bron: security.nl

Google Chrome is opnieuw kwetsbaar wegens een "patch-gap" in de JavaScript-engine die de browser gebruikt, zo stelt onderzoeker István Kurucsai van securitybedrijf Exodus Intelligence. Er is sprake van een patch-gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. In het geval van Google Chrome speelt het probleem bij de V8 JavaScript-engine waar de browser gebruik van maakt. Een kwetsbaarheid in dit opensource-onderdeel werd halverwege augustus gepatcht. De oplossing voor Google Chrome zal later vandaag pas verschijnen. Aanvallers kunnen het tijdsvenster tussen de opensourcepatch en Chrome-patch misbruiken om een exploit te ontwikkelen en zo gebruikers aan te vallen. Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken. Gebruikers kunnen in afwachting van de update het uitvoeren van JavaScript in de browser uitschakelen. In april ontdekte Kurucsai ook al een patch-gap dat door de V8-engine werd veroorzaakt en eind augustus stelde ook Google dat er door de JavaScript-engine een patch-gat was ontstaan. bron: security.nl

Later deze maand zal bij Amerikaanse Firefox-gebruikers DNS-over-HTTPS (DoH) worden ingeschakeld, zo heeft Mozilla bekendgemaakt. DoH zorgt voor een versleutelde verbinding voor dns-verzoeken, zodat informatie van het dns-verzoek niet kan lekken. Op dit moment zijn dns-verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Dit kan echter gevolgen hebben voor zakelijke dns-configuraties en de software die ouders en scholen gebruiken om ongeschikte websites voor kinderen te blokkeren. De software kijkt namelijk naar het dns-verzoek van de gebruiker om te bepalen of een website moet worden geblokkeerd. Sinds vorig jaar juni voert Mozilla verschillende experimenten met Firefox DoH uit. Daarnaast hebben meer dan 70.000 Firefox-gebruikers DoH zelf ingeschakeld. Uit de nu verzamelde statistieken blijkt volgens Mozilla dat DoH een betrouwbare dienst is en dat de meeste gebruikers zullen profiteren van de bescherming die versleuteld dns-verkeer biedt. De browserontwikkelaar wil DoH daarom standaard gaan inschakelen. Mozilla zal wel rekening houden met bedrijven en gebruikers die software voor ouderlijk toezicht hebben ingeschakeld. 4,3 procent van de Firefox-gebruikers die aan het laatste DoH-experiment deelnam had ouderlijk toezicht van OpenDNS of Googles safe-search feature ingeschakeld. Doordat DoH dns-verzoeken versleutelt kunnen websites niet gefilterd worden. Een zelfde probleem kan bij bedrijven spelen die een eigen dns-server hebben opgezet. Sommige dns-servers kunnen een ander ip-adres voor een domeinnaam teruggeven, afhankelijk of de gebruiker van wie het verzoek afkomstig is zich op een publiek of bedrijfsnetwerk bevindt. Dit gedrag wordt "split-horizon" genoemd en wordt onder andere toegepast bij het hosten van productie en een nog in ontwikkeling zijnde websites. Via DoH zou er dan toegang tot websites kunnen worden verkregen die niet voor het publiek zijn bedoeld. Zodra Firefox detecteert dat gebruikers software voor ouderlijk toezicht gebruiken of dat er een bepaalde bedrijfsconfiguratie is ingesteld, zal DoH worden uitgeschakeld. In het geval van een split-horizon-configuratie zal Firefox op de standaard dns van het besturingssysteem terugvallen. Op deze manier zouden gebruikers geen hinder van de maatregel moeten ondervinden. Mozilla gaat DoH nu eind september geleidelijk onder Amerikaanse Firefox-gebruikers inschakelen. Mozilla zal laten weten wanneer de uitrol voor andere Firefox-gebruikers plaatsvindt. Gebruikers die niet willen wachten kunnen DoH eenvoudig zelf inschakelen. bron: security.nl

Securitybedrijf Rapid7 heeft een exploit voor het BlueKeep-lek in Windows aan de populaire securitytool Metasploit toegevoegd. Op dit moment zouden nog altijd 1 miljoen systemen die via internet toegankelijk zijn de beveiligingsupdate die de kwetsbaarheid verhelpt niet geïnstalleerd hebben. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Een community van ontwikkelaars maakt allerlei aanvullende modules voor de tool, waarmee de functionaliteit verder wordt vergroot. Deze ontwikkelaars hebben de oorspronkelijke versie van de nu toegevoegde module ontwikkeld, zo laat Rapid7 weten. BlueKeep is de naam voor een beveiligingslek in Remote Desktop Services (RDS) van Windows, waardoor systemen op afstand via het remote desktopprotocol zijn over te nemen. Het beveiligingslek, aanwezig in Windows XP, Server 2003, Vista, Windows 7 en Server 2008, werd op 14 mei door Microsoft gepatcht. Zowel Microsoft als allerlei overheidsinstanties wereldwijd waarschuwden de afgelopen maanden om de update te installeren, aangezien anders een computerworm zich via de kwetsbaarheid zou kunnen verspreiden. De BlueKeep-module in Metasploit is alleen geschikt voor 64-bit versies van Windows 7 en Windows 2008. Daarnaast moeten gebruikers handmatig een doelwit opgeven, het is op dit moment niet mogelijk om automatisch aanvallen uit te laten voeren. Gebruikers moeten daarnaast ook kennis van het kernelgeheugen van Windows hebben, anders is het niet mogelijk om de exploit goed uit te voeren. "Democratische toegang tot de mogelijkheden van aanvallers, waaronder exploits, is essentieel voor verdedigers - met name die op opensourcetools vertrouwen om risico's te begrijpen en vermijden", zegt Brent Cook van Rapid7. Cook wijst op een scan van BinaryEdge waaruit blijkt dat er nog altijd meer dan 1 miljoen systemen op internet zijn te vinden die kwetsbaar voor BlueKeep zijn. bron: security.nl

In de populaire e-mailserversoftware Exim is een nieuw beveiligingslek ontdekt waardoor het mogelijk is voor aanvallers om op afstand code met rootrechten uit te voeren. Op minstens 183.000 systemen in Nederland draait een Exim-mailserver, zo meldt het Nationaal Cyber Security Centrum (NCSC). Exim-servers die tls-verbindingen toestaan zijn kwetsbaar, zo blijkt uit een aankondiging op de Exim-mailinglist. De kwetsbaarheid kan bij het opzetten van de tls-verbinding met de mailserver worden misbruikt. Een oplossing die de aanval voorkomt is het niet aanbieden van tls, maar dit wordt door de Exim-ontwikkelaars afgeraden. Beheerders krijgen dan ook het advies om te updaten naar Exim 4.92.2 waarin het beveiligingslek is verholpen. Op dit moment zijn de ontwikkelaars nog niet bekend met exploits die van de kwetsbaarheid misbruik maken. Wel is er een rudimentaire proof-of-concept beschikbaar. In juni werden nog duizenden mailservers via een ander beveiligingslek in Exim door een worm aangevallen. Microsoft besloot klanten die Exim op het Azure-cloudplatform draaiden voor deze worm te waarschuwen. Het NCSC stelt dat de kans aanwezig is dat kwaadwillenden op korte termijn misbruik van het lek zullen maken. Een Canadees consultancybedrijf dat op 1 september bijna 888.000 mailservers analyseerde ontdekte dat Exim op 507.000 van de servers draaide, wat neerkomt op een aandeel van 57 procent. Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. Deze versie, 4.92.1, was vanwege een ander beveiligingslek in de software uitgekomen. bron: security.nl

Er is een nieuwe versie van WordPress verschenen die meerdere kwetsbaarheden verhelpt waardoor een aanvaller toegang tot websites had kunnen krijgen. WordPress 5.2.3 verhelpt in totaal acht beveiligingslekken, waarvan zeven keer cross-site scripting (XSS). Bij XSS plaatst een aanvaller code op een website die vervolgens in de browser van bezoekers wordt uitgevoerd. De nu verholpen XSS-lekken zijn dan ook voornamelijk een probleem voor websites die bezoekers en gebruikers toestaan om reacties te plaatsen. Een aanvaller zou een reactie met XSS-code kunnen achterlaten. Zodra de beheerder dit bericht bekijkt wordt de XSS-code in zijn browser uitgevoerd en kan de aanvaller een nieuwe beheerder aanmaken. Een andere aanvalsvector voor de XSS-lekken is het sturen van een kwaadaardige link naar een ingelogde beheerder. De achtste kwetsbaarheid betrof een open redirect waardoor gebruikers naar andere url's konden worden doorgestuurd. WordPress ging niet goed om met het valideren en sanitizen van een url, waardoor een open redirect mogelikj was. Zodoende had een aanvaller een link kunnen maken die begon met de vertrouwde kwetsbare website, maar vervolgens zou uitkomen op een malafide site. Dergelijke kwetsbaarheden worden vaak bij phishingaanvallen gebruikt, stelt securitybedrijf Wordfence. Updaten naar WordPress 5.2.3 kan via de automatische updatefunctie of het WordPress-dashboard. bron: security.nl

Whoow, respect hiervoor!

Dataplatform Segment heeft klanten gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot een bedrijfssysteem met klantgegevens. Segment is een startup die bedrijven helpt met het beheer van de data die ze over hun klanten en gebruikers verzamelen. Tussen 26 en 31 augustus wist een aanvaller het account van een Segment-medewerker te compromitteren en op een webapplicatie van het bedrijf in te loggen. Via de applicatie kreeg de aanvaller twee maanden aan data in handen van hoe bedrijven Segment gebruiken, alsmede accountgegevens. Het gaat dan om e-mailadressen, namen, ip-adressen en Segment "write keys". Dit zijn unieke identifiers waarmee Segment kan zien waar verzamelde data vandaan komt en naar welke bestemming het moet. Bij dertien klanten wist de aanvaller ook toegang tot de workspaces te krijgen. Workspaces bevatten alle databronnen die een bedrijf via Segment beheert. Volgens de startup heeft het meer dan 15.000 klanten. Naar aanleiding van het incident heeft Segment de wachtwoorden en sessies van alle medewerkers gereset en multifactorauthenticatie verplicht. Hoe de aanvaller het account van de Segment-medewerker kon compromitteren is niet bekendgemaakt. bron: security.nl

Onderzoekers hebben malware ontdekt die zowel Windowssystemen als MikroTik-routers aanvalt. De malware wordt door antivirusbedrijf Trend Micro Glupteba en verspreidt zich via social engineering. De makers van de malware maken namelijk gebruik van malafide advertenties op downloadsites. Deze advertenties bieden een download aan die in werkelijkheid de malware is. Zodra de gebruiker het gedownloade bestand opent worden er allerlei gegevens uit Chrome, Opera en de Yandex-browser gestolen, zoals cookies, browsegeschiedenis, gebruikersnamen en wachtwoorden. Daarnaast probeert de malware vanaf het besmette systeem MikroTik-routers in het lokale netwerk aan te vallen. Hiervoor maakt de malware gebruik van een kwetsbaarheid in Winbox die vorig jaar april door MikroTik werd gepatcht. Via het beveiligingslek kan er toegang tot de gebruikersdatabase en zodoende het beheerderswachtwoord worden verkregen. Het wachtwoord wordt vervolgens naar de aanvallers gestuurd. Vervolgens worden verschillende services zoals Telnet en Winbox op de router uitgeschakeld. Dit wordt waarschijnlijk gedaan om te voorkomen dat andere aanvallers de router via dezelfde kwetsbaarheid overnemen, zo stellen de onderzoekers. Als laatste wordt de router als proxy ingesteld om kwaadaardig verkeer door te sturen, zoals spam. "Bij het instellen van routers moet security de hoogste prioriteit krijgen", zegt onderzoeker Jaromir Horejsi van Trend Micro. "De meeste apparaten in woningen en kantoren zijn met deze apparaten verbonden en kunnen worden getroffen wanneer een router is gecompromitteerd." bron: security.nl

Mozilla is voorlopig niet van plan om adblockers voor Firefox te beperken, zo heeft het laten weten na ophef over aanpassingen die Google binnen Chrome wil doorvoeren. Google biedt extensie-ontwikkelaars verschillende programmeerinterfaces (API's) waar ze binnen hun extensie gebruik van kunnen maken. Vorig jaar november liet Google weten dat het in versie drie van deze API's veranderingen wil doorvoeren die gevolgen voor adblockers zullen hebben. Adblockers maken gebruik van een API genaamd "blocking webRequest", waarmee ze in- en uitgaand verkeer van de browser kunnen onderscheppen, blokkeren, doorsturen of aanpassen. Google heeft een nieuwe API voorgesteld genaamd "declarativeNetRequest". Deze API beperkt de mogelijkheden van adblockers door het aantal regels alsmede het aantal beschikbare filters en acties te beperken, aldus Mozilla. Adblockers zouden hierdoor requests van de browser alleen nog kunnen observeren en niet meer aanpassen of blokkeren. Sommige ontwikkelaars van adblockers stelden dat ze hierdoor hun extensie niet meer konden beheren of dat de functionaliteit zou worden beperkt. Google stelde in een tegenreactie dat het adblockers niet gaat blokkeren, maar ontwikkelaars moeten hun extensie nog steeds aanpassen en krijgen minder mogelijkheden. De huidige versie 2 van de Chrome API is bijna honderd procent compatibel met de API van Firefox. Mozilla laat echter weten dat het niet alle aanpassingen van Google zal volgen. Zo is de browserontwikkelaar voorlopig niet van plan om de WebRequest-API te verwijderen en wordt er nu met extensie-ontwikkelaars samengewerkt om te kijken hoe ze de API gebruiken en hoe Mozilla ze kan ondersteunen. Aangezien de aanpassingen die Google wil doorvoeren nog niet definitief zijn kan Mozilla nog niet zeggen welke aanpassingen ontwikkelaars van Firefox-extensies moeten doorvoeren. bron: security.nl

Op internet zijn meer dan 47.000 Supermicro-servers te vinden die een aanvaller de mogelijkheid bieden om op afstand willekeurige usb-apparaten te mounte, zo stelt securitybedrijf Eclypsium in een vandaag verschenen analyse. Het probleem zit in de baseboard management controllers (BMCs) van de servers. Via een BMC kan een beheerder de server beheren en het is dan ook een belangrijk onderdeel. In het geval van de BMCs van de Supermicro X9-, X10- en X11-platformen spelen er verschillende problemen in de manier waarop de platformen virtuele media implementeren. Via deze optie is het mogelijk om op afstand een disk image als een virtuele usb cd-rom of floppy drive aan te sluiten. Wanneer de virtual media service van de BMCs op afstand wordt benaderd staat die plaintext-authenticatie toe, verstuurt het meeste verkeer onversleuteld en gebruikt voor de rest een zwak encryptiealgoritme. Daarnaast is het mogelijk om de authenticatie te omzeilen. Dit maakt het mogelijk voor aanvallers om toegang tot de server te krijgen door de authenticatiedata van de gebruiker te onderscheppen, standaardwachtwoorden te gebruiken en in sommige gevallen zonder wachtwoord in te loggen. Zodra de aanvaller toegang heeft kan die via virtual media service op dezelfde manier het systeem bedienen als wanneer hij fysieke toegang tot de usb-poort zou hebben. Zo is het mogelijk om een nieuw besturingssysteem te laden, keyboard en muis te bedienen en zo de server aan te passen, malware te installeren of het systeem in zijn geheel uit te schakelen. Eclypsium waarschuwde Supermicro in juni en juli van dit jaar. De computerfabrikant heeft vandaag beveiligingsupdates uitgebracht. Het securitybedrijf wilde weten hoe groot het probleem is en voerde een scan uit op tcp-poort 623, waardoor de BMCs toegankelijk zijn. Er werden meer dan 47.000 Supermicro-servers in negentig landen ontdekt waar dit het geval is. Volgens de onderzoekers alsmede Supermicro is het belangrijk dat BMCs nooit direct toegankelijk vanaf het internet zijn. bron: security.nl