Captain Kirk

Om de stabiliteit en veiligheid van het Tor-netwerk te verbeteren heeft het Tor Project besloten om 750 servers uit het netwerk te verwijderen. Deze servers draaien oude versies van de Tor-serversoftware die end-of-life zijn en niet meer worden ondersteund. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. Het is aan de eigenaren van deze servers om de Tor-software up-to-date te houden. Dat blijkt in de praktijk niet altijd te gebeuren. Op dit moment zijn er meer dan 6.000 servers in het Tor-netwerk die 85 verschillende versies van de Tor-software draaien. Sommige van deze versies stammen uit 2013 en worden al jaren niet meer ondersteund. "Helaas hebben servers die end-of-life zijn negatieve gevolgen voor het netwerk. Elke server die een verouderde versie draait brengt de stabiliteit en veiligheid van het netwerk in gevaar. Verouderde servers maken het lastiger voor ons om belangrijke fixes uit te rollen en ze kunnen het ook lastiger maken om sommige nieuwe features uit te rollen", zegt David Goulet van het Tor Project. In totaal gaat het om 750 servers die voor 12 procent van de totale bandbreedte van het Tor-netwerk verantwoordelijk zijn. Van de 750 servers gaat het om 62 exit-nodes die 1,68 procent van het totale exit-verkeer verzorgen. Goulet verwacht dat het opschonen dan ook geen grote impact op het Tor-netwerk zal hebben. Het Tor Project heeft inmiddels de directory authorities opdracht gegeven om de end-of-life Tor-servers te blokkeren. Directory authorities zijn speciale servers in het Tor-netwerk waarmee de Tor-software die gebruikers op hun computer hebben staan de Tor-servers kan vinden die zich in het Tor-netwerk bevinden. De volgende Tor-versie die volgende maand uitkomt zal de end-of-life servers standaard blokkeren. Beheerders van dergelijke servers wordt opgeroepen om een nieuwere Tor-versie te installeren. bron: security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft zestig kwetsbaarheden in Windows, Office en andere software verholpen. Geen van de beveiligingslekken is volgens de softwaregigant voor het uitkomen van de updates aangevallen. Negen van de kwetsbaarheden zijn als ernstig bestempeld. Via dergelijke lekken kan een aanvaller volledige controle over een systeem krijgen met nauwelijks enige interactie van de gebruiker. Het gaat dan bijvoorbeeld om kwetsbaarheden in Edge en Internet Explorer die alleen al bij het bezoeken van een kwaadaardige of gecompromitteerde website kunnen worden misbruikt. Ook via een kwetsbaarheid in Remote Desktop Services (RDP) had een aanvaller systemen kunnen overnemen. In dit geval had een gebruiker verbinding met een kwaadaardige server moeten maken, bijvoorbeeld via social engineering of een man-in-the-middle-aanval, aldus Cisco. Cortana Een "security feature bypass" voor Windows 10 Mobile maakt het mogelijk om via spraakassistent Cortana toegang tot bestanden op een vergrendelde telefoon te krijgen. In dit geval heeft een aanvaller wel fysieke toegang tot het toestel nodig. Microsoft heeft geen beveiligingsupdate voor het probleem uitgebracht, maar adviseert gebruikers van Windows 10 Mobile om Cortana op het lockscreen uit te schakelen, zo meldt het Zero Day Initiative. Naast Windows en Microsoft Office zijn er ook kwetsbaarheden in Internet Explorer, Edge, ChakraCore, Microsoft Office Services en Web Apps, SQL Server Management Studio, Microsoft Dynamics 365 en Windows Update Assistant verholpen. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Afsluitend waarschuwt Microsoft gebruikers van Windows 7 en Windows Server 2008 R2 dat beide platformen vanaf 14 januari 2020 geen beveiligingsupdates meer zullen ontvangen. Gebruikers van deze platformen wordt aangeraden naar een nieuwere Windowsversie te upgraden. bron: security.nl

De Amerikaanse geheime dienst NSA waarschuwt dat verschillende Advanced Persistent Threat (APT) groepen gebruikmaken van kwetsbaarheden in de vpn-software van Pulse Secure, Palo Alto en Fortinet om organisaties aan te vallen (pdf). APT-groepen zijn volgens securitybedrijven en onderzoekers vaak statelijke actoren of groepen die in dienst van een land opereren. Via de beveiligingslekken kan een aanvaller kwetsbare systemen overnemen of toegang tot versleutelde vpn-sessies krijgen. Beveiligingsupdates voor de kwetsbaarheden zijn al maanden beschikbaar, maar nog niet alle organisaties hebben die geïnstalleerd. Als een aanvaller via de beveiligingslekken inloggegevens heeft gestolen, dan zullen die gegevens ook na het installeren van de updates werken. De NSA adviseert dan ook om inloggegevens na het patchen van de vpn-software te resetten en daarna pas de vpn-oplossing op het externe netwerk aan te sluiten. Het gaat dan onder andere om het intrekken van bestaande serversleutels en certificaten. Tevens geeft de NSA verschillende adviezen voor het uitrollen en beveiligen van vpn-oplossingen, zoals het loggen van vpn-gebruik, het verplichten van tweefactorauthenticatie, het vermijden van propriëtaire ssl-vpn-protocollen, het monitoren van logbestanden en het niet toestaan dat vpn-beheerders via de publieke vpn-webapplicatie op de beheerdersinterface inloggen. In plaats daarvan moet beheerderstoegang worden beperkt tot interne beheerdersnetwerken. Eerder kwam ook de Britse overheid al met een waarschuwing dat APT-groepen het op kwetsbare vpn-oplossingen hebben voorzien. bron: security.nl

De populaire e-mailclient Thunderbird wordt voorzien van ingebouwde OpenPGP-ondersteuning zodat gebruikers zonder het installeren van aanvullende add-ons versleuteld kunnen e-mailen. De nieuwe functionaliteit zal de Enigmail-add-on vervangen die nu wordt gebruikt om OpenPGP-support in Thunderbird mogelijk te maken. Enigmail zal tot de herfst van 2020 worden ondersteund. Thunderbird ondersteunt al jaren de S/MIME (Secure/Multipurpose Internet Mail Extensions) encryptiestandaard en zal dit ook blijven doen. Via Enigmail was het mogelijk om Thunderbird met de OpenPGP-standaard te gebruiken. Met de lancering van Thunderbird 78 zal er een verandering plaatsvinden in het type add-ons dat de e-mailclient ondersteunt. Thunderbird 68.x zal de laatste versie zijn die in combinatie met Enigmail is te gebruiken. Thunderbird 68.x wordt tot de herfst van volgend jaar ondersteund. Thunderbird 78, die voor de zomer van 2020 staat gepland, zal gebruikers helpen met het migreren van bestaande sleutels en instellingen. Enigmail-ontwikkelaar Patrick Brunschwig zal voortaan het Thunderbirdteam bij de OpenPGP-implementatie ondersteunen. Gebruikers van Thunderbird 78 die voorheen geen gebruik van Enigmail maakten zullen het gebruik van OpenPGP zelf moeten inschakelen. Wel zal de e-mailclient gebruikers helpen met het "ontdekken" van de nieuwe functionaliteit. Thunderbird kan de GnuPG-software vanwege licenties niet standaard bundelen, aldus de ontwikkelaars. Gebruikers moeten daarvoor externe software zoals GnuPG of GPG4Win installeren. Voor Thunderbird 78 zal er een alternatieve library worden gebruikt. Doordat er geen gebruik van GnuPG wordt gemaakt zullen verschillende onderdelen anders werken dan nu met Enigmail het geval is. Het gaat dan om zaken als de gebruikersinterface, vertrouwensmodellen, key management en het uitwisselen van encryptiesleutels die moeten worden herzien. bron: security.nl

De Windowsversies van iTunes en iCloud waren kwetsbaar voor een aanval via een tekstbestand, waardoor een aanvaller in het ergste geval volledige controle over het systeem had kunnen krijgen. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Geregeld worden er beveiligingslekken in iTunes en iCloud gevonden waardoor een aanvaller op afstand willekeurige code kan uitvoeren als er bijvoorbeeld speciaal geprepareerde webcontent of mediabestanden door de software worden verwerkt. Een beveiligingsonderzoeker met het alias "riusksk" ontdekte echter een manier hoe er via een speciaal geprepareerd tekstbestand een buffer overflow is te veroorzaken, waardoor een aanvaller vervolgens willekeurige code op het systeem kan uitvoeren. Naast dit beveiligingslek zijn er ook verschillende andere kwetsbaarheden in iCloud en iTunes verholpen waardoor een aanvaller kwetsbare systemen had kunnen overnemen. Gebruikers krijgen het advies om te updaten naar iTunes voor Windows 12.10.1, iCloud voor Windows 10.7 of iCloud voor Windows 7.14. De updates voor iCloud en iTunes zijn via de website van Apple te downloaden. bron: security.nl

Cybercriminelen maken gebruik van social engineering om tweefactorauthenticatie (2FA) te omzeilen, zo waarschuwt de FBI. De Amerikaanse opsporingsdienst heeft verschillende methodes in kaart gebracht die aanvallers toepassen om 2FA te omzeilen, waarbij social engineering de voornaamste methode is. De FBI benoemt in de waarschuwing aan bedrijven verschillende gevallen van sim-swapping. Bij sim-swapping belt een oplichter de telecomprovider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. "Veel van deze aanvallen zijn afhankelijk van het social engineeren van servicemedewerkers van grote telecombedrijven, die de informatie aan de aanvallers geven", aldus de FBI in een Private Industry Notification die door Public Intelligence openbaar werd gemaakt (pdf). Een belangrijke maatregel om dergelijke aanvallen te voorkomen is bewust te zijn dat ze voorkomen, zo stelt de opsporingsdienst. Organisaties worden dan ook aangeraden om hun gebruikers en beheerders over "social engineering trickery" te onderwijzen. Verder wordt geadviseerd om aanvullende of complexere vormen van multifactorauthenticatie toe te passen, zoals biometrie of gedragsauthenticatiemethodes. "Hoewel dit ongemak voor de gebruik kan introduceren", zo merkt de FBI op. "Zeer zeldzaam" Alex Weinert van Microsoft stelt dat aanvallen op multifactorauthenticatie (MFA) bestaan, maar "zeer zeldzaam" zijn. Het aantal accounts dat via MFA is beveiligd en gecompromitteerd, bedraagt minder dan 0,1 procent van de populatie, aldus Weinert. "Vergeleken met wachtwoordaanvallen, zijn aanvallen tegen niet-wachtwoordauthenticators zeer bijzonder." Dat neemt niet weg dat MFA kwetsbaar is voor aanvallen. Volgens de Microsoftmedewerker zijn bijna alle authenticators die tegenwoordig in gebruikt zijn, zoals telefoons, e-mail, one-time passcode (OTP) tokens en push notificaties, kwetsbaar voor eenvoudige aanvallen waarbij het voor de authenticator gebruikte communicatiekanaal wordt overgenomen of er sprake is van een machine-in-the-middle voor het uitvoeren van real-time phishing. "Aanvallen die MFA omzeilen zijn zo bijzonder dat we er geen goede statistieken van hebben, maar als ze voorkomen, gaat het meestal om één of twee gevallen", merkt Weinert op. Hij maakte een overzicht van verschillende authenticators en hun kwetsbaarheden. Dan blijkt dat smartcards, Windows Hello en FIDO-tokens bescherming bieden tegen real-time phishing en het kapen van het communicatiekanaal. Afsluitend krijgen alle gebruikers het advies om MFA voor hun accounts in te schakelen en uiteindelijk naar sterkere authenticators zoals Windows Hello of FIDO-tokens over te stappen. bron: security.nl

Microsoft heeft in augustus een gerichte aanval ontdekt waarbij aanvallers probeerden om 241 Microsoft-accounts via wachtwoordresets over te nemen. In vier gevallen waren de aanvallers succesvol. De aanvallen zijn uitgevoerd door een groep die volgens Microsoft banden met de Iraanse overheid heeft. De groep, met de naam Phosphorus, had het voorzien op prominente Iraniërs die buiten Iran wonen, journalisten die over geopolitiek schrijven en accounts van een Amerikaanse presidentscampagne. In een periode van dertig dagen deden de aanvallers meer dan 2700 pogingen om e-mailaccounts van Microsoftgebruikers te identificeren. Vervolgens werden 241 van die accounts aangevallen. Vier van de accounts werden ook gecompromitteerd. Het ging niet om de accounts van de presidentscampagne en de gebruikers zijn geïnformeerd, aldus Microsoft. Voor het uitvoeren van de aanvallen gebruikte de groep informatie die het over doelwitten had verzameld. Met deze informatie werd geprobeerd de wachtwoorden van gebruikers te resetten. Zo zocht de groep naar het secondaire e-mailaccount van het doelwit dat aan het Microsoft-account was gekoppeld. Via de verificatie die naar dit tweede account werd gestuurd kon de groep het gekoppelde Microsoft-account overnemen. In andere gevallen gebruikten de aanvallers telefoonnummers van hun doelwitten om een wachtwoordreset uit te voeren. De aanvallen waren volgens Microsoft niet geraffineerd en maakten gebruik van een grote hoeveelheid persoonlijke informatie waarmee accounts werden geïdentificeerd en aangevallen. De softwaregigant stelt dat dit laat zien dat de groep zeer gemotiveerd is en veel tijd investeert in het verzamelen van informatie. Afsluitend krijgen gebruikers het advies om tweefactorauthenticatie voor hun account in te schakelen. bron: security.nl

Een beveiligingslek in de versleutelde chat-app Signal maakte het mogelijk om de microfoon van gebruikers zonder interactie op afstand in te schakelen. Het gaat om een soortgelijke kwetsbaarheid waar FaceTime eerder dit jaar mee te maken kreeg. Het beveiligingslek in de Androidversie van Signal werd ontdekt door Google-onderzoeker Natalie Silvanovich. Het ging om een logische fout waardoor Signal een inkomend gesprek beantwoordde nog voordat de gebelde persoon opnam. Op deze manier was het mogelijk om de microfoon op afstand en zonder interactie van de gebruiker in te schakelen. Een aanvaller zou via een aangepaste versie van Signal een bericht naar de telefoon van het doelwit kunnen sturen terwijl het inkomende gesprek gaande was. Via dit bericht was het mogelijk om de telefoon van het doelwit het gesprek te laten beantwoorden. Het ging hierbij alleen om audiogesprekken, aangezien de gebruiker video in gesprekken handmatig moet inschakelen. De iOS-versie heeft met een soortgelijk probleem te maken, maar daar bleek het door een fout in de gebruikersinterface toch niet mogelijk om de aanval werkend te krijgen. De ontwikkelaars van Signal hebben een beveiligingsupdate uitgebracht die het probleem verhelpt. Gebruikers krijgen dan ook het advies om naar de laatste versie te updaten. Signal-ontwikkelaar Moxie Marlinspike laat op Twitter weten dat de telefoon wel zou rinkelen en zou laten zien dat er werd gebeld. Daarnaast zou het beantwoordde gesprek in het overzicht van de gesprekslijst zichtbaar zijn. Het was dan ook niet mogelijk om de microfoon stilletjes in te schakelen, aldus Marlinspike. bron: security.nl

Nieuwe transportprotocollen voor het domain name system (dns) maken het lastiger om dns-verzoeken te monitoren en organisaties moeten hier rekening mee houden, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet (pdf). "Systeem- of netwerkbeheerders en securityprofessionals zijn gewend dat dns-verkeer onversleuteld naar poort 53 gaat. Recentelijk zijn er nieuwe dns-transporten gestandaardiseerd waarbij encryptie wordt gebruikt om vertrouwelijkheid en integriteit te bieden in de aanwezigheid van een kwaadwillende op het netwerk", zo laat NCSC weten. Het gaat om de dns-transporten DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT). Dns-verzoeken zijn normaal onversleuteld. Hierdoor kan informatie over de gebruiker lekken en is het mogelijk voor kwaadwillenden om dns-verkeer in te zien of te veranderen. DoH en DoT moeten dit probleem verhelpen door een versleutelde verbinding voor dns-verzoeken te gebruiken. Zowel Google als Mozilla zullen DoH aan hun browser toevoegen. Het NCSC waarschuwt dat dit gevolgen heeft voor organisaties die onversleuteld dns-verkeer inspecteren. Die zullen na verloop van tijd hun inzicht zien afnemen. "Organisaties die security-monitoring of filtering doen op de resolvers die zijn geconfigureerd op systeemniveau zullen merken dat deze maatregelen ineffectief worden zodra applicaties een andere DNS-resolver gaan gebruiken", merkt de overheidsinstantie op. Zo is Mozilla van plan om voor DoH de dns-servers van Cloudflare te gaan gebruiken. Firefoxgebruikers slaan daardoor de dns-servers van hun eigen provider over. Voor organisaties kunnen DoH en DoT verschillende gevolgen hebben, zoals beveiligingsmaatregelen die ineffectief worden, het lekken van gevoelige informatie en connectiviteitsproblemen op interne netwerken en vpn's. Het NCSC adviseert organisaties om op de apparaten die in beheer zijn een voorkeursresolver in te stellen. Wanneer de voorkeursresolver DoH of DoT ondersteunt kunnen de dns-transporten worden ingeschakeld. "Hoe lang gecentraliseerde dns-monitoring nog een effectieve maatregel blijft, is sterk afhankelijk van de snelheid waarmee Mozilla en Google ondersteuning in hun software activeren. Als u vandaag begint met het aanpassen van uw dns-monitoring, dan wordt u niet verrast door de naderende veranderingen", besluit het NCSC. bron: security.nl

Routerfabrikant D-Link adviseert eigenaren van vier routermodellen om een nieuw apparaat aan te schaffen wegens een ernstig beveiligingslek waarvoor geen beveiligingsupdate zal verschijnen. De routers in kwestie zijn namelijk end-of-life en worden niet meer door de fabrikant met updates ondersteund. Het gaat om de DIR-655, DIR-866L, DIR-1565 en DIR-652. Het beveiligingslek, dat door onderzoekers van securitybedrijf Fortinet werd ontdekt, maakt het mogelijk voor een aanvaller om op afstand zonder wachtwoord willekeurige code uit te voeren en volledige controle over het apparaat te krijgen. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 9,8 beoordeeld. Aangezien er geen update meer uitkomt raadt D-Link verder gebruik van de routers af. bron: security.nl

Chrome gaat alle http-content op https-sites blokkeren om zo gebruikers te beschermen. Volgens het techbedrijf besteden Chrome-gebruikers inmiddels 90 procent van hun tijd op https-sites. Het komt nog altijd voor dat https-sites content via het onversleutelde http downloaden. Dit wordt ook wel mixed content genoemd. Een aanvaller kan deze content aanpassen of onderscheppen, of bijvoorbeeld gebruiken om trackingcookies te injecteren. Standaard blokkeren browsers al allerlei mixed content zoals scripts en iframes. Vanaf Chrome 79 start Google een proces om uiteindelijk alle http-content op https-sites te blokkeren. Met de lancering van Chrome 79 in december van dit jaar krijgt de browser een nieuwe instelling waarmee gebruikers geblokkeerde mixed content kunnen toestaan. De volgende stap in het proces komt met de lancering van Chrome 80 in januari 2020. Chrome zal dan automatisch alle audio en video die via http wordt geladen eerst via https proberen te laden. Wanneer dit niet lukt wordt de content geblokkeerd. Via de eerder genoemde instelling kunnen gebruikers deze content alsnog laden. Vanaf Chrome 81 zal de browser dezelfde werkwijze toepassen bij afbeeldingen die via http worden geladen. Uiteindelijk zal de browser alleen nog toestaan dat https-sites https-content laden. Webontwikkelaars krijgen van Google het advies om meteen al hun mixed content naar https te upgraden om waarschuwingen en andere problemen te voorkomen. bron: security.nl

Microsoft heeft een noodpatch voor een actief aangevallen beveiligingslek in Internet Explorer vanwege problemen bij sommige gebruikers opnieuw uitgebracht. Op 23 september verscheen de update voor een kwetsbaarheid (CVE-2019-1367) waardoor aanvallers volledige controle over systemen konden krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. De kwetsbaarheid bevond zich in de laatste versie van Internet Explorer 10 en 11 en werd gevonden door onderzoeker Clément Lecigne van Googles Threat Analysis Group. Volgens Microsoft werd de kwetsbaarheid actief aangevallen, maar verdere details werden niet gegeven. Sommige Windowsgebruikers kregen na de installatie van de noodpatch met printproblemen te maken. Daarom heeft Microsoft besloten om de update opnieuw uit te brengen. Op de meeste systemen wordt de update automatisch geïnstalleerd, Daarnaast is die beschikbaar via WSUS en de Microsoft Update Catalogus. In eerste instantie moesten gebruikers de eerdere noodpatch handmatig installeren. bron: security.nl

Het aantal grootschalige ransomware-aanvallen is aan het afnemen, maar de schade door gerichte campagnes neemt juist toe, zo waarschuwt de FBI. De opsporingsdienst stelt dat de afgelopen maanden overheidsinstanties, zorginstellingen en bedrijven in allerlei sectoren slachtoffer zijn geworden. Getroffen organisaties moesten honderdduizenden dollars voor het ontsleutelen van hun data betalen en waren miljoenen dollars kwijt voor het herstel van hun systemen. Voor de verspreiding van ransomware maken cybercriminelen gebruik van drie methodes: e-mail, het remote desktopprotocol (RDP) en ongepatchte beveiligingslekken in software, aldus de FBI. Daarbij hebben aanvallers het niet altijd direct voorzien op hun doelwit. De FBI is bekend met meerdere incidenten waarbij aanvallers managed service providers (MSP's) aanvielen om daarvandaan klanten van de MSP te besmetten. De FBI adviseert organisaties die door ransomware zijn getroffen om niet te betalen, maar stelt dat het begrijpt dat wanneer de bedrijfsvoering plat ligt alle opties worden bekeken. Ook wanneer bedrijven betalen vraagt de FBI om melding van ransomware-incidenten te doen. Verder geeft de opsporingsdienst verschillende tips om ransomware-infecties te voorkomen, zoals het uitschakelen van macro's, het beveiligen van RDP, het gebruik van gevirtualiseerde omgevingen, het geven van bewustzijnstrainingen aan medewerkers, het toepassen van applicatiewhitelisting en netwerkscheiding en het installeren van beveiligingsupdates. bron: security.nl

Google waarschuwt gebruikers met een Google-account voortaan voor zwakke en gelekte wachtwoorden en zal dit ook bij Chrome-gebruikers gaan doen, zo meldt het bedrijf vandaag. Het Google-account beschikt over een ingebouwde wachtwoordmanager, die nu is voorzien van Password Checkup. Begin dit jaar lanceerde Google Password Checkup als een extensie voor Chrome. Nu is de feature onderdeel van de wachtwoordmanager van het Google-account geworden. Password Checkup controleert of opgeslagen wachtwoorden niet via datalekken bij andere websites zijn gelekt. Google zegt dat het meer dan 4 miljard gebruikersnamen en wachtwoorden heeft gevonden die van verschillende datalekken afkomstig zijn. Daarnaast waarschuwt de feature voor zwakke wachtwoorden. Gebruikers kunnen via passwords.google.com hun opgeslagen wachtwoorden beheren en controleren. De Chrome-extensie van Password Checkup is sinds de lancering in februari meer dan 1 miljoen keer gedownload. Later dit jaar zal Google de tool direct aan Chrome toevoegen. Op deze manier zouden gebruikers "realtime bescherming" bij het invoeren van hun wachtwoorden krijgen, zonder dat ze een aparte extensie hoeven te installeren. bron: security.nl

Google Chrome gaat websites die TLS 1.0 en 1.1 voor het opzetten van een versleutelde verbinding gebruiken als 'niet veilig' bestempelen, zo heeft het bedrijf aangekondigd. Het TLS-protocol bestaat inmiddels meer dan 20 jaar. Alle grote browserontwikkelaars hebben aangegeven dat ze de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen zullen stoppen. Bij websites die straks nog steeds van deze oudere versies gebruikmaken zullen browsers een foutmelding laten zien. Google is van plan om de ondersteuning stapsgewijs uit te faseren. Vanaf 13 januari 2020 zullen Chrome 79 en nieuwere versies van de browser een 'niet veilig' waarschuwing tonen bij websites die nog van TLS 1.0 en 1.1 gebruikmaken. Ondanks de waarschuwing, die informatie over de verouderde TLS-configuratie bevat, kunnen gebruikers de website in kwestie nog wel gewoon bezoeken. Met de lancering van Chrome 81 in maart 2020 zal de browser het bezoeken van websites met TLS 1.0 en 1.1 blokkeren. Beheerders en webmasters krijgen het advies om nu TLS 1.2 of nieuwer in te schakelen. Volgens Google verloopt nog 0,5 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies. bron: security.nl

Onderzoekers hebben besmette advertenties ontdekt die beveiligingslekken in Chrome en WebKit gebruikten om internetgebruikers pop-ups te tonen en naar malafide websites door te sturen. Dat stelt securitybedrijf Confiant op basis van eigen onderzoek. De eerste reeks besmette advertenties maakten misbruik van een beveiligingslek in Google Chrome waardoor de pop-upblocker werd omzeild. Op deze manier was het mogelijk om pop-ups te tonen die eigenlijk geblokkeerd hadden moeten worden. Deze kwetsbaarheid (CVE-2019–5840) werd op 11 april aan Google gerapporteerd en op 4 juni met de lancering van Chrome 75 verholpen. De tweede serie besmette advertenties maakte misbruik van een kwetsbaarheid in WebKit en werd gebruikt voor het doorsturen van internetgebruikers naar malafide websites. WebKit is een browser engine waar verschillende browsers op draaien, waaronder Apple Safari. Het beveiligingslek werd op 7 augustus aan Apple gerapporteerd. Op 19 september werd het probleem in iOS 13 verholpen, gevolgd door een Safari-update op 24 september. "De afgelopen zes maanden hebben aanvallers obscure browserlekken gebruikt om ingebouwde beveiligingsmaatregelen van browers tegen pop-ups en gedwongen redirects te omzeilen", zegt Eliya Stein van Confiant. Het bedrijf denkt dat de besmette advertenties meer dan een miljard keer zijn getoond. bron: security.nl

Gebruikers van LibreOffice, Microsoft Office en OpenOffice zijn het doelwit van malafide ODT-bestanden die malware proberen te installeren, zo waarschuwen onderzoekers van Cisco. ODT (OpenDocument Text) is de bestandsextensie voor tekstdocumenten binnen het Open Document Format (ODF) Het is eigenlijk een zip-bestand met daarin xml-gebaseerde bestanden. Onlangs ontdekte Cisco drie aanvalscampagnes waarbij malafide ODT-bestanden werden ingezet. Waarschijnlijk is er bewust voor ODT gekozen om detectie door beveiligingssoftware te omzeilen. De eerste twee campagnes waren gericht tegen Microsoft Office, de derde campagne tegen gebruikers van LibreOffice en OpenOffice. Bij de eerste twee aanvallen moesten gebruikers op een embedded object in het document klikken en vervolgens een beveiligingswaarschuwing negeren. Hierna werd er een remote administrative tool (RAT) gedownload die de aanvallers volledige controle over het systeem van de gebruiker gaf. De aanval tegen LibreOffice en OpenOffice maakte gebruik van een soort macro's om code te downloaden en uit te voeren. Veel details over deze aanval ontbreken. Mogelijk dat het onderdeel van een penetratietest uitmaakte, maar ook het gebruik door aanvallers wordt niet uitgesloten. "Door bekende platformen aan te vallen vergroten aanvallers hun kans om toegang tot machines te krijgen. En het gebruik van het ODT-bestandsformaat laat zien dat aanvallers graag nieuwe infectiemechanismes proberen, mogelijk om te zien of deze documenten voor meer infecties zorgen of beter in staat zijn om detectie te omzeilen", aldus Cisco-onderzoeker Warren Mercer, die toevoegt dat sommige virusscanners en sandboxes niet goed met ODT-bestanden omgaan. bron: security.nl

Er is een nieuwe versie van de populaire pdf-lezer Foxit Reader verschenen die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval volledige controle over een systeem had kunnen krijgen. Alleen het openen van een kwaadaardig pdf-document of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest. Het beveiligingslek (CVE-2019-5031) bevond zich in de JavaScript-engine van de pdf-lezer. Via een kwaadaardig pdf-document was het mogelijk om een "out-of-memory" conditie te veroorzaken en vervolgens willekeurige code op het systeem uit te voeren, zoals het installeren van malware. Een aanvaller zou het slachtoffer eerst een kwaadaardig pdf-document moeten laten openen. Foxit Reader biedt echter ook een browserplug-in die pdf's op websites opent. Wanneer de plug-in was ingeschakeld volstond het bezoeken van een kwaadaardige of gecompromitteerde website. De ontwikkelaar van Foxit Reader werd op 2 april geïnformeerd door Cisco. Oorspronkelijk zouden de onderzoekers de details drie maanden later op 2 juli openbaar maken. Foxit Software vroeg echter om meer tijd en kreeg die ook. De nieuwe deadline werd vervolgens op 30 augustus gezet. Ook dit tijdsvenster ging Foxit Software niet halen en opnieuw werd er uitstel aangevraagd en verleend. Een beveiligingsupdate is nu eindelijk beschikbaar en gebruikers krijgen het advies om te updaten naar Foxit Reader 9.7. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8,8 beoordeeld. bron: security.nl

Opnieuw is er in de populaire e-mailserversoftware Exim een ernstig beveiligingslek ontdekt waardoor aanvallers in het ergste geval kwetsbare systemen zouden kunnen overnemen. Begin deze maand verscheen er een patch voor een andere ernstige kwetsbaarheid in de software. Het probleem, aangeduid met CVE-2019-16928, doet zich voor bij het verwerken van een lange Extended HELO (EHLO) string. Mailservers gebruiken de EHLO-string als ze met een andere mailserver verbinding maken om mail te versturen. In het geval van een lange EHLO-string kan het Exim-proces crashen en ontstaat er een heap-based buffer overflow. Het lijkt mogelijk om via deze overflow code op de server uit te voeren, zo staat in de omschrijving van de kwetsbaarheid. Beheerders van een Exim-mailserver krijgen het advies om naar versie 4.92.3 van de software te updaten. Begin deze maand lieten onderzoekers nog weten dat er 5 miljoen Exim-mailservers op internet te vinden zijn. bron: security.nl

In het tweede kwartaal van dit jaar zijn meer Belgische internetgebruikers het slachtoffer van phishing geworden dan in het eerste kwartaal. Daarmee is ook het aantal slachtoffers in de eerste helft van 2019 hoger uitgekomen dan het aantal slachtoffers in de eerste helft van vorig jaar. Dat meldt Febelfin, de overkoepelende organisatie van Belgische banken. In het tweede kwartaal werden 1810 Belgen via phishing voor meer dan 1,9 miljoen euro bestolen. In het eerste kwartaal ging het nog om 1189 slachtoffers die voor 735.000 euro werden gedupeerd. Het totaal aantal slachtoffers voor de eerste helft van 2019 bedraagt daardoor 2999, met een schadebedrag van ruim 2,6 miljoen euro. In de eerste helft van 2018 werden 2646 Belgen opgelicht voor een bedrag van ruim 3,7 miljoen euro. Het aantal slachtoffers neemt dus toe, maar het totale schadebedrag is gedaald. Vorig jaar bedroeg het gemiddelde schadebedrag per slachtoffer 1422 euro, dit jaar is dat 885 euro. Febelfin merkt op dat de impact per slachtoffer erg kan verschillen. Het ene slachtoffer werd voor 0,99 euro bestolen, terwijl er ook gevallen bekend zijn waarbij tienduizenden euro's werden gestolen. "De stijging tegenover het vorige kwartaal toont aan dat cyberfraude een cyclisch gegeven is waarin na een daling de inspanningen van cybercriminelen worden opgevoerd en de waakzaamheid bij het publiek wellicht afneemt", aldus Febelfin. De organisatie merkt op dat het belangrijk blijft om internetgebruikers te informeren over de gevaren van phishing en het feit dat cybercriminelen steeds nieuwe kanalen gebruiken om mensen op te lichten. bron: security.nl

De Duitse overheid heeft een nieuwe minimale standaard gepubliceerd waar veilige browsers aan moeten voldoen. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, al een eerste versie van de eisen. De "Browser-Abgleichstabelle zum Mindeststandard des BSI für sichere Web-Browser" beschrijft verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het versleuteld opslaan van wachtwoorden, ondersteuning van Content Security Policy, sandboxing en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Tevens heeft het BSI gekeken of Mozilla Firefox 68 Extended Support Release (ESR), Google Chrome 76, Microsoft Internet Explorer 11 en Microsoft Edge 44 aan de eisen voldoen (pdf) en is er een lijst met aanbevelingen opgesteld om browsers veilig te kunnen gebruiken. Zo moet Flash standaard zijn uitgeschakeld, alsmede het synchroniseren van data met de cloud, automatisch aanvullen en de opslag van wachtwoorden door de wachtwoordmanager van de browser. bron: security.nl

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor. De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert. Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen. "Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien", zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor. bron: security.nl

Mozilla heeft Snapchat om opheldering gevraagd of het gebruikmaakt van emotiedetectietechnologie. Dagelijks wisselen meer dan 200 miljoen mensen foto's via de populaire app uit. Snapchat beschikt over een patent om via smartphonecamera's de stemming van gebruikers te bepalen. "Maakt Snapchat al gebruik van emotiedetectie in de app? We weten het niet. Snap gebruikt vage, brede taal in het privacybeleid, waardoor het onze foto's op verschillende manieren kan gebruiken en taggen", aldus Mozilla. Om het publiek over emotiedetectie en de gevolgen daarvan te informeren werkte de opensourceontwikkelaar samen met Noah Levenson, de maker van "Stealing Ur Feelings". Een zes minuten durende documentaire over emotiedetectietechnologie. De documentaire is mogelijk gemaakt door 50.000 dollar van Mozilla. De ontwikkelaar wil daarnaast bedrijven verantwoordelijk houden zodat gebruikers weten wanneer en hoe emotiedetectie wordt gebruikt en hier controle over hebben. "Iedereen heeft het recht om te weten hoe Snap gegevens over zijn of haar gezicht verzamelt en analyseert, met name als bedrijven die data gebruiken om af te leiden hoe je je voelt", aldus Mozilla, dat via een petitie Snapchat om opheldering vraagt. bron: security.nl

Na meer dan vier maanden is er een nieuwe versie van Pi-hole verschenen, de populaire software om trackers en advertenties netwerkbreed mee te blokkeren. De nieuwste versie van Pi-hole ondersteunt geen adblock-achtige lijsten meer, waardoor er minder domeinen worden tegengehouden bij gebruikers die hiervan gebruik maakten. Pi-hole is een applicatie die naast de Raspberry Pi op allerlei hardware geïnstalleerd kan worden. Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Pi-hole laat gebruikers ook zien welke domeinen er allemaal zijn geblokkeerd. De software ondersteunde voorheen adblock-achtige filterlijsten zoals Easylist en Easyprivacy. In deze filterlijsten staat vermeld welke domeinen of trackers een adblocker moeten blokkeren. De lijsten konden aan Pi-hole worden toegevoegd, maar daar is nu een einde aan gekomen. Volgens de Pi-hole-ontwikkelaars waren deze lijsten nooit bedoeld om aan een HOST-achtig bestand te worden toegevoegd. Daarnaast zorgde het voor allerlei false positives door de lijsten op deze manier te gebruiken. Pi-hole zal deze lijsten, wanneer ze door gebruikers zijn toegevoegd, voortaan negeren. Dit kan wel voor een vermindering van het aantal geblokkeerde domeinen zorgen. Daarnaast zijn er aan Pi-hole 4.3.2 allerlei andere fixes en aanpassingen doorgevoerd. bron: security.nl

Naast een noodpatch voor Internet Explorer heeft Microsoft buiten de vaste patchcyclus om ook een beveiligingsupdate voor Windows Defender en de eigen Endpoint Protection-software uitgebracht. Het gaat om een kwetsbaarheid in de manier waarop de antivirussoftware bestanden verwerkt. Een aanvaller kan via het beveiligingslek voorkomen dat legitieme gebruikers systeembestanden kunnen uitvoeren, waardoor er een denial of service ontstaat. Volgens Microsoft is er geen misbruik van de kwetsbaarheid bekend en zijn de details niet openbaar gemaakt. Het probleem werd gevonden door onderzoeker Charalampos Billinis van F-Secure en Wenxu Wu van Tencent Security. De beveiligingsupdate wordt automatisch door Windows Defender en Microsoft Forefront Endpoint Protection geïnstalleerd. bron: security.nl