Captain Kirk

Vraag- en antwoordsite Quora is gecompromitteerd. Mogelijk zijn er gegevens van 100 miljoen Quora-gebruikers uitgelekt. Daarvoor waarschuwt Adam D'Angelo, CEO en mede-oprichter van Quora, op het eigen blog. Afgelopen vrijdag werd ontdekt dat een derde partij ongeautoriseerde toegang tot een van de Quora systemen heeft verkregen. Hoe dit precies is gebeurd, wordt nog onderzocht. Er wordt rekening mee gehouden dat er namen, e-mailadressen, versleutelde wachtwoorden en data van gelinkte netwerken van mogelijk 100 miljoen gebruikers zijn uitgelekt. Ook niet-publieke vragen en directe berichten van en aan gebruikers zijn mogelijk in handen van de kwaadwillenden gekomen. Quora zegt gebruikers van wie de data is uitgelekt, te zullen informeren. Zij zullen een nieuw wachtwoord moeten aanmaken. Ook geeft het platform aan zo transparant mogelijk te willen zijn over gecompromitteerde systemen, over het onderzoek dat is gestart naar de oorzaak van de hack en wat gebruikers zelf kunnen doen. "Het is onze verantwoordelijkheid om ervoor te zorgen dat dergelijke incidenten niet plaatsvinden en daarin hebben we gefaald", schrijft D'Angelo. "Om het vertrouwen van gebruikers te behouden, moeten we heel hard werken om dit in de toekomst te voorkomen." bron: security.nl

Onderzoekers van IT-beveiliger NCC Group, het moederbedrijf van Fox-IT, hebben een relatief eenvoudige manier ontdekt om te voorkomen dat malware zichzelf verspreidt in een Windows Active Directory-netwerk. Op verzoek van een niet nader genoemde klant ontwikkelde het bedrijf een onschuldige versie van de NotPetya ransomware, de Eternalglueworm, en verspreidde die op het netwerk van de klant. De klant wilde op deze manier de niet schadelijke malware observeren en leren hoe ze zich beter tegen gevaarlijke besmettingen kunnen beschermen, aldus The Register. Terwijl de worm zich door het bedrijfsnetwerk verspreidde ontdekte de NCC Group een relatief eenvoudige oplossing die beschermt tegen NotPetya-besmettingen. Bij de klant werd de Active Directory zo ingesteld dat het account ‘gevoelig’ is en dus niet kan worden ‘gedelegeerd’. Volgens een bericht op Microsoft Technet kunnen accountgegevens van een ‘gevoelig account’ niet door een vertrouwde applicatie naar andere computers of diensten op het netwerk worden doorgestuurd. “We ontdekten dat deze configuratie de verspreiding van NotPetya aanzienlijk zou hebben belemmerd”, zegt een woordvoerder van NCC tegen The Register. NotPetya verspreidde zich in 2017 met als meest bekende slachtoffer containerbedrijf Maersk. bron: security.nl

Wifitracking is gebonden aan strenge privacyregels en daarom in zeer weinig gevallen toegestaan. Dat meldt de Autoriteit Persoonsgegevens (AP) naar aanleiding van vragen over dit onderwerp. Wifitracking is het volgen van mensen via hun mobiele apparatuur. Daarbij wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken zoals stations. Volgens de AP gaat het echter bijna altijd om verwerking van persoonsgegevens en is het daarom aan strenge regels gebonden. "Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden", verklaart AP-bestuursvoorzitter Aleid Wolfsen. "Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy." Ook als de gegevens geanonimiseerd worden verwerkt en bewaard, is de Algemene Verordening Gegevensbescherming van toepassing, aldus de AP. De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking. "Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid", stelt de autoriteit. Maar zelfs dan zijn er vaak andere minder ingrijpende alternatieven. bron: security.nl

Een fan van de Zweedse Youtuber PewDiePie heeft ongeveer 50.000 printers gehackt om mensen op te roepen om het videokanaal van de vlogger te gaan volgen. Iemand met de Twitter-alias TheHackerGiraffe beweert honderden duizenden printers wereldwijd te hebben gescand op zoek naar open poort 9100. Hij maakte daarbij gebruik van een bestaande kwetsbaarheid bij zowel wifi- als netwerkprinters. Bij 50.000 printers is het gelukt om daadwerkelijk binnen te komen en een document te printen waarin de lezer wordt gevraagd om het videokanaal van PewDiePie op Youtube te gaan volgen. De Zweedse vlogger beheert al enige tijd het Youtube-kanaal met de meeste volgers (ruim 73 miljoen). Maar het Indiase muzieklabel T-Series zit hem de hielen met 72 miljoen volgers. TheHackerGiraffe is de actie gestart om PewDiePie aan meer volgers te helpen en zo zijn voorsprong te behouden. In een reactie aan The Verge vertelt TheHackerGiraffe dat mensen onderschatten wat voor desastreuze gevolgen zo’n kwetsbaarheid kan hebben. “Hackers hadden dit ook kunnen misbruiken om bestanden te stelen, malware te installeren, fysieke schade aan printers aan te richten, of in complete netwerken binnendringen.” bron: security.nl

Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door SamSam ransomware. En misschien is dat wel het topje van de ijsberg, zegt IT-beveiligingsbedrijf Fox-IT. Dat er geen duidelijk beeld is van het aantal SamSam-slachtoffers komt omdat deze ransomware anders werkt dan voorgaande ransomware-aanvallen. “De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen om zo meer schade aan te richten”, aldus Fox-IT. Volgens de onderzoekers gaan de makers van SamSam heel geraffineerd te werk. “Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups en worden de bestanden vergrendeld.” Ook zijn de bedragen die als losgeld worden gevraagd, veel hoger dan bij voorgaande ransomware-varianten, oplopend tot enkele tonnen. Vorige week werden in de VS nog twee Iraanse verdachten aangeklaagd die mogelijk verantwoordelijk zijn voor het maken en verspreiden van de ransomware. Toen werd geschat dat ongeveer 1 procent van de slachtoffers zich in Nederland zou bevinden. Een woordvoerder van Fox-IT zei maandag op BNR dat er in Nederland waarschijnlijk 41.000 Windows-servers draaien met het Remote Desktopprotocol (RDP) die mogelijk het doelwit van de criminelen kunnen worden. bron: security.nl

Aanvallers gebruiken een UPnP-lek in allerlei populaire thuisrouters om de SMB-poorten voor het internet te openen, zodat de achtergelegen machines in het netwerk kunnen worden aangevallen. Hierdoor zouden naar schatting 1,7 miljoen machines mogelijk risico lopen, zo laat internetgigant Akamai weten. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn. Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. In april waarschuwde Akamai al voor aanvallen waarbij kwetsbare routers als proxy werden gebruikt. Nu meldt de internetgigant dat aanvallers poort 139 en 445 op de router openzetten. Dit zijn de poorten die door Microsoft SMB worden gebruikt. De WannaCry-ransomware verspreidde zich bijvoorbeeld via een kwetsbaarheid in Microsofts SMB-service. Akamai speculeert dat de aanvallers de SMB-poorten openzetten om machines via hetzelfde beveiligingslek aan te vallen. Volgens Akamai zijn er 277.000 routers met een kwetsbare UPnP-implementatie en zijn bij 45.000 routers daarvan de SMB-poorten opengezet. Op basis van het aantal unieke ip-adressen dat per router werd waargenomen schat Akamai dat 1,7 miljoen achterliggende machines mogelijk risico lopen. Eigenaren van een kwetsbare router krijgen het advies om UPnP uit te schakelen of een nieuwe router te kopen. In deze pdf staat een overzicht van kwetsbare modellen. bron: security.nl

Malware die zich via het populaire tekenprogramma AutoCAD verspreidt om zo allerlei waardevolle documenten te stelen is nog steeds succesvol, zo waarschuwt securitybedrijf Forcepoint in een analyse. Al in 2000 werd de eerste AutoCAD-malware ontdekt. In 2012 bleek dat dergelijke malware ook voor cyberspionage wordt ingezet. De aanvallen zijn mogelijk doordat AutoCAD bij het openen van een tekening ook een aanvullend script kan uitvoeren, vergelijkbaar met macro's in Microsoft Office-documenten. Bij de nu waargenomen aanvallen maken de aanvallers gebruik van AutoCAD-tekeningen die bij andere slachtoffers zijn gestolen, alleen zijn voorzien van een kwaadaardig script. Zodra de malware actief is kan die ook de directories van andere AutoCAD-projecten op de computer infecteren. Op deze manier kan de malware zich verder verspreiden als medewerkers binnen een organisatie of met leveranciers bestanden uitwisselen. Infecties zijn in de Verenigde Staten, China, India, Turkije en verschillende Europese landen waargenomen. Het gaat onder andere om bedrijven in de automobiel- en energiesector. Onderzoekers van Forcepoint stellen dat het automatisch uitvoeren van de kwaadaardige scripts alleen plaatsvindt als de scripts zich op een bepaalde plek bevinden. Daarnaast laat AutoCAD ook een waarschuwing zien. "Enige social engineering is waarschijnlijk dan ook vereist", aldus de onderzoekers. De aanvalscampagne die ze ontdekten zou al sinds 2014 actief zijn. Organisaties die met AutoCAD werken krijgen het advies om het automatisch laden van onbetrouwbare bronnen uit te schakelen, instellen dat er bij het laden van een module altijd een pop-up verschijnt en dat verborgen bestanden zichtbaar worden gemaakt. bron: security.nl

Dell heeft klanten gewaarschuwd dat hun gegevens mogelijk zijn gestolen nadat er "ongeautoriseerde activiteit" op het netwerk is waargenomen. Het zou gaan om namen, e-mailadressen en gehashte wachtwoorden. Dell ontdekte op 9 november een aanval waarbij werd geprobeerd om gegevens te stelen van klanten op Dell.com. "Hoewel het mogelijk is dat een deel van deze informatie van Dells netwerk is weggehaald, heeft ons onderzoek geen definitief bewijs gevonden dat er iets is gestolen", aldus een verklaring van de computergigant. Creditcard- en andere klantgegevens zouden geen doelwit zijn geweest. Na ontdekking van de aanval heeft Dell een forensisch onderzoeksbedrijf ingeschakeld en de autoriteiten ingelicht. Tevens is van alle klanten het wachtwoord gereset en krijgen klanten van Dell het advies om hun wachtwoord, als ze dat ook voor andere websites gebruiken, ook daar te wijzigen. Verdere details over aanval zijn niet door Dell gegeven. bron: security.nl

Anti-malwarebedrijf Malwarebytes heeft voor het eerst besloten om mee te doen aan een anti-virustest, maar de malwarebestrijder heeft de nodige kritiek op de testmethode. Het testen van anti-virussoftware vindt al jaren plaats. Testlabs zoals AV-Test en AV-Comparatives publiceren geregeld tests. Anti-virusleveranciers kiezen er zelf voor om aan deze specifieke tests deel te nemen. In het verleden vermeed Malwarebytes deze tests, omdat die naar eigen zeggen niet met een realistische omgeving overeen komen. De tests richten zich alleen op een klein gedeelte en missen zo de volledige bescherming die een product kan bieden, aldus de malwarebestrijder. Vanwege het belang dat gebruikers aan dergelijke tests hechten is besloten om toch mee te doen aan de tests van het Duitse testlab AV-Test. De anti-viruspakketten die aan de test deelnamen werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Malwarebytes haalde in totaal 13,5 punten. Bij de detectie van malware eindigde Malwarebytes met 4 punten onderaan. Windows Defender, de gratis anti-virussoftware die in Windows 8.1 en 10 zit ingebouwd, presteert met 5,5 punten voor detectie en 17 punten in totaal veel beter. Malwarebytes stelt dat de test verschillende onderdelen van het programma niet heeft getest. Zoals de modules voor applicatiegedrag en webbeveiliging. Hiermee kunnen dreigingen eerder worden gestopt. Ook worden bij de anti-virustests de initiële infectievectoren niet gebruikt. De malwarebestrijder pleit dan ook voor het aanpassen van de tests, zodat er niet met relatief oude malware-exemplaren en infectievectoren wordt getest. Afsluitend stelt Malwarebytes aan gebruikers de vraag of ze liever een product hebben dat in de tests of in het echt goed presteert. bron: security.nl

Microsoft heeft een waarschuwing gegeven voor twee rootcertificaten van koptelefoonfabrikant Sennheiser waarvan de privésleutel is te achterhalen, waardoor gebruikers op verschillende manieren kunnen worden aangevallen. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd. Dit is de Trusted Root CA store. Browsers en Windows maken hier gebruik van om te kijken of door websites en software aangeboden certificaten zijn te vertrouwen. Gebruikers met beheerdersrechten kunnen certificaten aan de database toevoegen en verwijderen. Securitybedrijf Secorvo Security ontdekte bij een onderzoek naar de Trusted Root CA store twee onverwachte rootcertificaten, afkomstig van Sennheiser (pdf). De Sennheiser HeadSetup-software bleek de certificaten te installeren. Door een implementatiefout blijkt het mogelijk om de privésleutel van één van de "clandestien geïnstalleerde rootcertificaten" te bemachtigen, aldus de onderzoekers. Een aanvaller kan zo certificaten uitgeven die worden vertrouwd op systemen waar de Sennheiser-rootcertificaten zijn geïnstalleerd. Microsoft laat weten dat de rootcertificaten in kwestie onbeperkt zijn en gebruikt kunnen worden om extra certificaten uit te geven, die voor het signeren van software en serverauthenticatie zijn te gebruiken. Sennheiser werd op 23 juli over het probleem ingelicht en heeft nu een update voor de HeadSetup en HeadSetup Pro software uitgebracht die de certificaten verwijdert. Daarnaast heeft Microsoft de Certificate Trust List bijgewerkt om deze certificaten niet meer te vertrouwen. bron: security.nl

De FBI heeft twee botnets van meer dan 1,7 miljoen besmette computers die voor advertentiefraude werden gebruikt uit de lucht gehaald. De operatie van de FBI was gericht tegen twee bendes die botnets en servers in datacentra voor grootschalige advertentiefraude gebruikten. Bij advertentiefraude betalen adverteerders voor clicks op en views van advertenties die niet van echte mensen afkomstig zijn. Volgens de aanklacht deed de eerste bende zich van september 2014 tot december 2016 voor als een legitiem advertentienetwerk. In werkelijkheid vervalste de bende zowel websites waarop advertenties werden getoond als de views die van mensen afkomstig zouden zijn. In totaal zouden meer dan 5.000 domeinen door de criminelen zijn gespooft. Om de illusie te wekken dat echte mensen de advertenties op deze gespoofte websites bekeken werden servers in datacentra gebruikt. Deze servers simuleerden via een nepbrowser de activiteiten van internetgebruikers, zoals het scrollen door websites, het bekijken en stoppen van video's en doen alsof men op Facebook was ingelogd. Tevens leaseden de verdachten meer dan 650.000 ip-adressen, waarbij meerdere ip-adressen aan de servers in de datacentra werden toegekend. Vervolgens registreerden de verdachten deze ip-adressen alsof ze van thuisgebruikers waren. Het malafide advertentienetwerk wist zo miljarden views van advertenties te vervalsen, waardoor bedrijven meer dan 7 miljoen dollar voor advertenties betaalden die nooit door echte mensen waren gezien. Botnet De tweede bende die zich met advertentiefraude bezighield maakte gebruik van twee botnets die uit meer dan 1,7 miljoen besmette computers bestonden. De computers waren via e-mailbijlagen en ongepatchte software besmet geraakt met de Boaxxe- en Kovter-malware. Via de malware werden verborgen browsers gebruikt om gefabriceerde webpagina's te laden waarop weer advertenties van bedrijven werden geladen. Eigenaren van de besmette computers wisten niet dat dit plaatsvond en de bedrijven wisten niet dat hun advertenties niet door mensen werden bekeken. De bende wist op deze manier miljarden views van advertenties te vervalsen en zorgde ervoor dat bedrijven meer dan 29 miljoen dollar voor niet bekeken advertenties betaalden. Na de aanhouding van één van de verdachten besloot de FBI de infrastructuur van de botnets uit de lucht te halen. In totaal werden 23 domeinen waarvan het Kovter-botnet gebruikmaakte om besmette pc's aan te sturen naar een sinkhole geleid, zodat ze niet meer door de criminelen zijn te gebruiken. Verder diende de FBI zoekbevelen bij 11 verschillende Amerikaanse providers in waarbij informatie van 89 servers werd verzameld. In totaal heeft het Amerikaanse openbaar ministerie acht personen aangeklaagd, waarvan er drie zijn gearresteerd. De andere vijf zijn voortvluchtig. bron: security.nl

Sinds de nieuwe Europese privacywetgeving (AVG) op 25 mei in werking trad is het aantal gemelde datalekken in België sterk toegenomen. In heel 2017 ontving de Gegevensbeschermingsautoriteit 13 meldingen. Van 25 mei tot 21 november dit jaar werden er 317 datalekken bij de toezichthouder gemeld. Het aantal informatievragen, 3599 dit jaar tegenover 2145 vorig jaar, kende ook een sterke stijging. Verder werden er 148 klachten ingediend, terwijl dit er in 2017 nog 76 waren. Tevens opende de toezichthouder 137 adviesdossiers tegenover 44 vorig jaar. De AVG verplicht in bepaalde gevallen ook het aanstellen van een privacyfunctionaris, ook wel een functionaris voor gegevensbescherming genoemd. Deze functionaris moet bij de toezichthouder worden gemeld. Inmiddels staat de teller op 3540 aanmeldingen. De Gegevensbeschermingsautoriteit heeft nog geen boetes uitgedeeld voor het overtreden van de AVG. bron: security.nl

Lenovo mag doorgaan met het schikken van de massaclaim die wegens de Superfish-adware in de VS was aangespannen. Een Amerikaanse rechtbank gaf vorige week toestemming voor een schikking van 7,3 miljoen dollar. De definitieve goedkeuring van het voorstel is echter afhankelijk van een federale rechter. Als de schikking plaatsvindt zal er 8,3 miljoen dollar voor gedupeerde Lenovo-gebruikers in de Verenigde Staten beschikbaar komen. Naast de 7,3 miljoen dollar van Lenovo zal Superfish 1 miljoen dollar beschikbaar maken, zo meldt Bloomberg Law. Superfish is een programma dat ssl-verbindingen onderschepte om advertenties te injecteren. De adware gebruikte hiervoor een eigen rootcertificaat. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikte. Daardoor was het in bepaalde gevallen mogelijk om man-in-the-middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat geïnstalleerd waren. In totaal bleek Superfish op meer dan 40 verschillende type laptops te zijn geïnstalleerd. Vanwege het Superfish-debacle kondigde Lenovo verschillende maatregelen aan. Zo werd er een verwijdertool gepubliceerd en deed de fabrikant de belofte dat het in de toekomst schonere computers met minder vooraf geïnstalleerde software gaat leveren. Ook volgde een gratis abonnement van zes maanden op de virusscanner van McAfee. Daarnaast werd er herstelmedia zonder Superfish geleverd. Eerder dit jaar trof Lenovo een schikking van 3,5 miljoen dollar met de Amerikaanse toezichthouder FTC. Als onderdeel van deze schikking moet Lenovo ook de nadrukkelijke toestemming van gebruikers hebben voordat het in de toekomst dergelijke software installeert. Tevens moet het bedrijf de komende 20 jaar een uitgebreid softwarebeveiligingsprogramma implementeren voor de meeste consumentensoftware die standaard op laptops wordt meegeleverd. bron: security.nl

Voor de populaire virtualisatiesoftware VMware is een belangrijke beveiligingsupdate verschenen die een ernstige kwetsbaarheid in VMware Workstation en Fusion verhelpt waardoor een gevirtualiseerd guest-systeem code op de host kon uitvoeren, ook wel een guest-to-host escape genoemd. De kwetsbaarheid werd op 16 november tijdens een hackwedstrijd in China gedemonstreerd en leverde de onderzoeker die het probleem ontdekte 100.000 dollar op. Via VMware en soortgelijke software is het mogelijk om een virtual machine te draaien. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt. Ook is het met virtual machines eenvoudig om verschillende besturingssystemen op één computer te gebruiken. Onderzoeker Tianwen Tang van securitybedrijf Qihoo 360 demonstreerde tijdens de Tianfu Cup in China hoe een aanvaller vanuit een VMware virtual machine de host kon aanvallen. Details over het beveiligingslek werden vervolgens aan VMware gerapporteerd en niet openbaar gemaakt. Op deze manier kon de ontwikkelaar een beveiligingsupdate ontwikkelen, die binnen een week gereed was. Gebruikers van VMware Workstation Pro / Player krijgen het advies om naar versies 14.1.5 of 15.0.2 te updaten. Voor gebruikers van VMware Fusion Pro en Fusion zijn versies 10.1.5 en 11.0.2 verschenen. bron: security.nl

Microsoft heeft de uitrol van de Windows 10 October 2018 Update, ook bekend als versie 1809, tijdelijk geblokkeerd op computers met twee bepaalde Intel-drivers. De grafische stuurprogramma's werden in september door Intel uitgegeven. Volgens Microsoft zorgen de drivers er per ongeluk voor dat niet ondersteunde features in Windows worden ingeschakeld. Na het updaten naar Windows 10 versie 1809 kan in sommige gevallen het afspelen van geluid niet meer goed werken. Daarop heeft Microsoft besloten de uitrol tijdelijk te staken. Windows 10-gebruikers die voor hun Intel-videokaart driverversie 24.20.100.6344 of 24.20.100.6345 gebruiken en met problemen te maken hebben krijgen het advies om met Microsoft contact op te nemen. Vorige week besloot Microsoft de uitrol van de October 2018 Update te hervatten nadat de eerste versie bij sommige gebruikers voor problemen zorgde. In bepaalde gevallen verloren gebruikers bestanden tijdens het upgraden. Naast de aankondiging van de hervatte uitrol kwam Microsoft ook met een uitgebreide blogposting over de kwaliteitscontroles die het uitvoert en dat het de nieuwe uitrol van de October Update gefaseerd zal laten verlopen. Wanneer blijkt dat sommige applicaties niet compatibel met de October Update zijn, zal die niet worden aangeboden. De softwaregigant kondigde verder aan dat het van plan is om een "Windows update status dashboard" toe te voegen om meer informatie over problemen te geven die ervoor zorgen dat een update wordt geblokkeerd. De Windows 10 October 2018 Update introduceert extra privacyinstellingen en beveiligingsverbeteringen. Twee keer per jaar brengt de softwaregigant een grote feature-update voor Windows 10 uit. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. bron: security.nl

Een nieuwe cryptominer die Linux-systemen infecteert verwijdert niet alleen concurrerende cryptominers, ook aanwezige anti-virussoftware wordt verwijderd. Hoe de malware precies op Linux-systemen terechtkomt laat anti-virusbedrijf Doctor Web niet weten. Eenmaal actief op een systeem zoekt de cryptominer naar concurrerende cryptominers en verwijdert die. Wanneer de cryptominer niet met rootrechten is gestart gebruikt het twee kwetsbaarheden in Linux om de rechten te verhogen. Het gaat om een beveiligingslek uit 2013 en de Dirty COW-kwetsbaarheid uit 2016. Vervolgens zoekt de cryptominer naar de aanwezigheid van bepaalde anti-virussoftware. De malware stopt niet alleen de processen van de virusscanners, ook gebruikt het package managers om die te verwijderen. Na deze acties voegt de malware zich toe aan de Autorun-list en start een rootkit op het apparaat. Pas na al deze stappen wordt de daadwerkelijke cryptominer gestart die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. Het gebruik van rootkits door cryptominers is niet nieuw. Onlangs waarschuwde ook anti-virusbedrijf Trend Micro dat het een cryptominer had gevonden die van een rootkit-componet was voorzien. De rootkit verbergt het proces dat voor het delven van de cryptovaluta verantwoordelijk is voor monitoringtools. "Cryptomining-malware kan voor grote prestatieproblemen zorgen, met name op Linux-systemen, gegeven hun gebruik in het draaien en beheren van bedrijfsprocessen, van servers, workstations, ontwikkelframeworks en databases tot mobiele apparaten", zegt analist Augusto II Remillano van Trend Micro. Beheerders krijgen dan ook het advies om "securityhygiëne" toe te passen, zoals het regelmatig installeren van patches, het verkleinen van het aanvalsoppervlak via access control policies, het hardenen van systemen via security-extensies en het toepassen van het "least privilige"principe. bron: security.nl

Onderzoekers van de Vrije Universiteit Amsterdam (VUA) hebben een Rowhammer-aanval ontwikkeld die tegen ECC-geheugen kan worden uitgevoerd. Rowhammer maakt het mogelijk voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De in het verleden gedemonstreerde aanvallen werkten echter niet tegen ECC-geheugen. Error-correcting code (ECC)-geheugen is een bepaald soort geheugen dat extra informatie opslaat waarmee de processor "bit flips" kan detecteren en repareren. ECC-geheugen is kostbaarder dan normaal geheugen en wordt vooral in high-end servers gebruikt. ECC voegt genoeg redundantie toe dat het een enkele bit flip in een "memory word" kan repareren. In het geval van twee bit flips per memory word zorgt het ervoor dat het programma crasht. Alleen in het geval van drie bit flips op de juiste plek kan ECC worden omzeild. Gezien het risico op crashes werd dit altijd als onwaarschijnlijk geacht, aldus de onderzoekers van de VUA. De onderzoekers zijn een jaar bezig geweest om de werking van ECC-geheugen te onderzoeken. Dat leidde tot het inzicht dat ECC Rowhammer-aanvallen niet stopt, maar alleen vertraagt. Uiteindelijk vonden ze een manier om drie bit flips uit te voeren en zo de ECC-beveiliging te omzeilen. Dit kan echter de nodige tijd in beslag nemen. Afhankelijk van de gekozen exploit en omgeving kan het 32 minuten tot één week duren om kwetsbare bit flips te vinden. Het is daarbij niet nodig om fysieke toegang tot een systeem hebben. De aanval kan ook via een niet- geprivilegieerde remote shell worden uitgevoerd. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers ingelicht en coördineerde de communicatie met betrokken partijen. In een website over de nieuwe Rowhammer-aanval, die de naam ECCploit heeft gekregen, doen de onderzoekers verschillende aanbevelingen die organisaties kunnen nemen, waaronder het uitfaseren van geheugen dat kwetsbaar voor Rowhammer is. Tevens is er een paper over de aanval verschenen (pdf). De onderzoekers zullen volgend jaar mei tijdens het IEEE Symposium over Security en Privacy in San Francisco hun bevindingen presenteren. bron: security.nl

Criminelen hebben de beruchte Internet of Things-malware Mirai aangepast voor het infecteren van Linux-servers. Het gaat om ongepatchte Linux-servers die via een kwetsbaarheid in Hadoop Yarn worden gecompromitteerd. Apache Hadoop is een framework voor dataverwerking en opslag van bigdata-applicaties die in geclusterde systemen draaien. Yarn is verantwoordelijk voor het toewijzen van systeembronnen en plannen van taken. Een kwetsbaarheid in Hadoop Yarn maakt het mogelijk voor een aanvaller om willekeurige shellcommando's uit te voeren en malware te installeren. Het gaat dan om varianten van de Mirai-malware, die oorspronkelijk was ontwikkeld om Internet of Things-apparaten zoals ip-camera's en digitale videorecorders te infecteren. Bij de nu waargenomen aanvallen wordt alleen een x86-versie van Mirai geïnstalleerd. IoT-apparaten draaien op allerlei architecturen. Ontwikkelaars van de verschillende Mirai-varianten moesten hier bij de ontwikkeling van hun malware rekening houden. Door zich op Linux-servers te richten zou het gebruik van alleen een x86-versie volstaan. Daarnaast hebben Linux-servers in een datacentrum meer bandbreedte tot hun beschikking dan de IoT-apparaten van thuisgebruikers, waardoor ze veel beter voor ddos-aanvallen zijn in te zetten, aldus Matthew Bing van securitybedrijf Netscout. "Een handvol krachtige Linux-servers kan aanvallen genereren die overeenkomen met een veel groter IoT-botnet", aldus Bing. Hij merkt op dat de nu waargenomen aanvallen van een kleine groep aanvallers afkomstig lijken te zijn die handmatig op internet naar kwetsbare systemen zoeken. "Hun doel is duidelijk, zoveel mogelijk systemen met malware infecteren. Zodra er toegang is verkregen gedraagt Mirai op een Linux-server zich net als een IoT-bot en begint met het brute forcen van Telnet-gebruikersnamen en -wachtwoorden. Een verschil is dat tussen de kleine apparaten in het botnet nu ook krachtige Linux-servers aanwezig zijn." bron: security.nl

Een beveiligingslek in de AMP-plug-in voor WordPress wordt actief gebruikt om kwetsbare websites aan te vallen. Beheerders krijgen dan ook het dringende advies om de beschikbare beveiligingsupdate te installeren. AMP (Accelerated Mobile Pages) is een plug-in die ervoor zorgt dat de website sneller op mobiele apparaten wordt geladen. Drie weken geleden werd er een kwetsbaarheid in de plug-in gepatcht. Via het beveiligingslek kan een aanvaller een beheerdersaccount en een backdoor aan de website toevoegen. Om de aanval uit te voeren heeft een aanvaller wel "subscriber-level" toegang nodig. Bij de nu waargenomen aanvallen voegen de aanvallers een adminaccount genaamd "supportuuser" toe, maar er wordt niet uitgesloten dat er ook andere namen worden gebruikt. Het beveiligingslek wordt sinds een week aangevallen, zo laat securitybedrijf Wordfence weten. "Zoals altijd is de beste verdediging tegen deze aanvallen het up-to-date houden van de software van je website. De beveiligingsupdate voor AMP was al bijna twee weken beschikbaar voordat de aanvallen begonnen", zegt analist Mikey Veenstra. Onlangs werden WordPress-websites ook al aangevallen via een kwetsbaarheid in de GDPR Compliance-plug-in. bron: security.nl

De Emotet-malware waar de Amerikaanse overheid eerder dit jaar voor waarschuwde gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Dat laat securitybedrijf Secureworks in een analyse weten. Emotet is malware waarmee criminelen gegevens voor internetbankieren, wachtwoorden en andere informatie stelen. De initiële infectie door Emotet begint met een e-mail, die als bijlage bijvoorbeeld een Office-document met een kwaadaardige macro heeft. Zodra de gebruiker de macro activeert wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module waardoor de malware andere systemen binnen het netwerk kan aanvallen. Hiervoor maakt Emotet gebruik van Microsofts Server Message Block (SMB)-protocol. Zodra het systeem waar de malware via SMB verbinding mee maakt om een wachtwoord vraagt, gebruikt Emotet een lijst met zo'n 1000 wachtwoorden om toegang te krijgen. Wanneer de inlogpoging succesvol is wordt de machine besmet en probeert de malware zich verder binnen het netwerk te verspreiden. In oktober raakten nog 600 computers van een Amerikaanse openbare bibliotheek met Emotet besmet, alsmede 620 machines van een Amerikaanse gemeente. Een bijkomend risico van Emotet is dat gebruikers niet meer op hun account kunnen inloggen. Sommige organisaties staan een beperkt aantal inlogpogingen op een account toe, waarna de toegang wordt geblokkeerd. "Het account lockout-secenario is een echt risico en een potentiële kopzorg voor organisaties", aldus Symantec. Secureworks heeft de lijst van de ongeveer 1000 wachtwoorden die Emotet gebruikt openbaar gemaakt. Het securitybedrijf merkt op dat Emotet het belang van een goed wachtwoordbeleid aantoont. "Het verschil voor organisaties tussen het hebben van een sterk wachtwoordbeleid tegenover een zwak of helemaal geen wachtwoordbeleid wordt in het geval van Emotet gemeten in termen van honderden besmette computers, tientallen uren incident response en zelfs honderdduizenden dollars", zegt analist Mike McLellan. bron: security.nl

Windows 10 verstuurt uitgebreide informatie over het systeem en het gebruik naar Microsoft en dit is lastig voor gebruikers om uit te schakelen, zo stelt de Duitse overheid in een vandaag verschenen rapport. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is bezig met een onderzoek naar de beveiligingsmaatregelen van Windows 10. Op deze manier wil de overheidsinstantie de security van het besturingssysteem bepalen en kijken of er risico's zijn bij het gebruik van Windows 10. Ook moet het een framework en aanbevelingen opleveren om het besturingssysteem op een veilige manier te gebruiken en extra te beveiligen. Het onderzoek bestaat uit verschillende onderdelen, waarbij als eerste naar de manier werd gekeken waarop Windows 10 gegevens verzamelt en doorstuurt. Dit deel van het onderzoek is nu openbaar gemaakt. In het onderzoeksrapport wordt een overzicht gegeven van de onderdelen waarmee Windows 10 gegevens verzamelt en hoe deze data wordt verwerkt. Ook de manier waarop gegevens naar Microsoft worden verstuurd komt aan bod. Verder geeft het 63 pagina's tellende rapport een aanpak voor het monitoren van telemetrie-activiteiten. Uitschakelen Windows 10-gebruikers kunnen verschillende telemetrieniveaus instellen, zodat er meer of minder gegevens worden verzameld en verstuurd. Het besturingssysteem biedt echter geen standaardoptie om het verzamelen helemaal uit te schakelen. Via verschillende maatregelen kan dit echter wel worden gedaan. "Hoewel het technisch mogelijk is om het verzamelen en versturen van telemetriegegevens door Windows te voorkomen, is het lastig voor doorsnee gebruikers om te implementeren", aldus het BSI. De overheidsinstantie merkt verder op dat andere geïnstalleerde applicaties zoals Internet Explorer en Microsoft Office de mogelijkheid hebben om telemetriegegevens zonder de centrale telemetrie-service van Windows 10 te verzamelen en naar Microsoft te versturen. Voor de meer technische gebruikers heeft het BSI een apart document gepubliceerd waarin wordt beschreven hoe de telemetrie-activiteiten van het besturingssysteem zijn uit te schakelen (pdf). Gebruikers moeten hiervoor verschillende registersleutels aanpassen en services uitschakelen. Ook het instellen van firewallregels en het aanpassen van het hosts-bestand zijn nodig. Verder kunnen gebruikers netwerkgebaseerde maatregelen toepassen, waaronder het blokkeren van bepaalde domeinen via een http-proxy en het doorvoeren van dns-aanpassingen. Tevens meldt het BSI wat de gevolgen of bijwerkingen van de aanpassingen zijn. Privacyrisico Vorige week verschenen de resultaten van een Data Protection Impact Assessment (DPIA) naar de producten en diensten van Microsoft dat het ministerie van Justitie en Veiligheid had laten uitvoeren. Daarin werd gesteld dat gegevens die Windows 10 Enterprise en Microsoft Office van en over gebruikers verzamelen en in een database in de Verenigde Staten opslaan een risico voor de privacy van gebruikers vormen. Naar aanleiding van de onderzoeksresultaten stelde Microsoft dat het begin volgend jaar met een verbeterplan komt zodat het gebruik van haar producten voor de Nederlandse overheid binnen de context van de AVG en andere wet- en regelgeving mogelijk is. bron: security.nl

Adobe heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor ernstig beveiligingslek in Flash Player waardoor in het ergste geval systemen volledig kunnen worden overgenomen. Technische details over de kwetsbaarheid zijn al openbaar gemaakt. In het geval Adobe bekend is met aanvallen die misbruik maken van een kwetsbaarheid wordt dit specifiek in de beveiligingsbulletins vermeld. Dat is nu niet het geval, maar de kans op misbruik en aanvallen is wel aanwezig. Gebruikers krijgen dan ook het advies om de update zo snel als mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Dit geldt zowel voor Mac- als Windows-gebruikers. Updaten naar Flash Player 31.0.0.153 kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Aanvallen op Flash Player-gebruikers vinden niet alleen plaats via de browser, ook wordt er gebruik gemaakt van Office-documenten. Eerder dit jaar werden verschillende zeroday-aanvallen waargenomen waarbij doelwitten een Office-document kregen toegestuurd dat een Flash-object bevatte. Dit object wordt automatisch uitgevoerd zodra de gebruiker het document opent. Op deze manier kunnen ook gebruikers die Flash Player in de browser hebben geblokkeerd of uitgeschakeld worden aangevallen. bron: security.nl

De adresbalk van Safari was door een beveiligingslek te spoofen, waardoor aanvallers overtuigende phishingaanvallen tegen Apple-gebruikers hadden kunnen uitvoeren. De kwetsbaarheid werd al in juli van dit jaar door Apple verholpen, maar details over het beveiligingslek zijn nu openbaar gemaakt. Het probleem deed zich voor bij de kleine Latijnse letter "dum". Deze letter werd in Safari als een normale "d" weergegeven. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Zo is het mogelijk om een domein als "xn--iclou-rl3s.com" te registreren, dat alleen door Safari als "icloud.com" werd weergegeven. Bij andere browsers was de werkelijke domeinnaam wel te zien. Dit wordt ook wel een "homograph" aanval genoemd. Een aanvaller had zodoende voor allerlei domeinen met een "d" een phishingvariant kunnen maken, zoals Linkedin.com, Adobe.com, Wordpress.com, Dropbox.com, Godaddy.com en Reddit.com. Ook had een aanvaller al deze phishingvarianten van een geldig tls-certificaat kunnen voorzien. Apple werd begin april door securitybedrijf Tencent ingelicht, waarna het probleem begin juli in macOS, iOS, tvOS en watchOS werd gepatcht. bron: security.nl

Aanvallers combineren een kwetsbaarheid in Drupal en Linux om kwetsbare Drupal-webservers over te namen. Daarvoor waarschuwt securitybedrijf Imperva. Drupal is een contentmanagementsysteem dat door 2 procent van alle websites op internet wordt gebruikt, aldus cijfers van W3Techs. In maart van dit jaar werd er een zeer ernstige kwetsbaarheid in Drupal gepatcht waardoor aanvallers kwetsbare websites kunnen overnemen. Dit beveiligingslek wordt ook wel "Drupalgeddon 2" genoemd. Kort na het uitkomen van de beveiligingsupdate maakten aanvallers hier misbruik van om kwetsbare websites over te nemen. Via het Drupal-lek kunnen aanvallers hun eigen code met de rechten en gebruiker van de webapplicatie uitvoeren. Aanvallers willen graag langere tijd toegang tot een systeem behouden, zodat het opnieuw besmet kan worden als de kwaadaardige code wordt verwijderd. In het geval van op Linux-gebaseerde systemen wordt vaak een communicatiekanaal via SSH geopend, zegt Nadav Avital van Imperva. Wanneer er geen SSH-service is geïnstalleerd moet de aanvaller dit zelf doen. "Meestal heeft de webserver minimale permissies en kan geen nieuwe services installeren", aldus Avital. Bij de nu waargenomen aanvallen zoeken de aanvallers dan ook naar root-wachtwoorden in de configuratiebestanden, zodat SSH wel kan worden geïnstalleerd. Wanneer er geen root-wachtwoorden worden gevonden proberen de aanvallers drie verschillende exploits voor de Dirty COW-kwetsbaarheid. Dirty COW is de naam voor een uit 2016 stammende Linux-kwetsbaarheid waardoor een lokale gebruiker zijn rechten kan verhogen. Op deze manier kan een aanvaller root worden en zo alsnog SSH installeren. "Beheerders moeten er dan ook voor zorgen dat zowel hun webapplicatie als het besturingssysteem van de host volledig zijn gepatcht", merkt Avital op. bron: security.nl

Er is een nieuwe versie van de op privacy gerichte zoekmachine Startpage verschenen die gebruikers een verbeterde proxy biedt om zoekresultaten anoniem de bezoeken. StartPage is een Nederlandse zoekmachine die sinds 2009 bestaat en in 2016 samenging met de metazoekmachine Ixquick. De zoekmachine zegt geen persoonlijke informatie van gebruikers op te slaan of met derden te delen. "Wij kunnen geen profiel van je samenstellen en wij kunnen ook nooit gedwongen worden om persoonlijke gegevens over te dragen aan enige overheid, simpelweg omdat we geen gegevens hebben om te overhandigen", aldus Startpage op de eigen pagina. Nu is er een nieuwe versie gelanceerd die snellere resultaten biedt en over meer toegankelijke functies beschikt. Een andere belangrijke optie is de vernieuwde 'Anonieme Weergave'-proxy waarmee gebruikers websites anoniem kunnen bezoeken, zonder dat ze worden gevolgd en geprofileerd. De nieuwe proxy is sneller en effectiever dan de vorige proxy. Zodra gebruikers een website via de Anonieme Weergave-proxy bezoeken ziet deze website alleen Startpage. Volgens de zoekmachine is er een verschil met andere proxies die risicovolle JavaScript uitschakelen of helemaal toestaan. Veel websites vereisen JavaScript om te functioneren, maar het wordt ook gebruikt om internetgebruikers te volgen. In plaats van JavaScript volledig uit te schakelen gebruikt de Startpage.com Proxy verschillende technieken om noodzakelijke JavaScriptcode toe te staan, maar worden gevaarlijke elementen herschreven en geherdefinieerd. "Hiermee worden allerlei browser en 'device fingerprinting' trackingstechnieken voorkomen. Sites blijven er goed uitzien, terwijl je volledig anoniem blijft. Dat is iets wat veel VPNs niet kunnen bieden", zo laat de zoekmachine weten. bron: security.nl