Captain Kirk

De bende achter de beruchte Emotet-malware gebruikt het nieuwste boek van klokkenluider Edward Snowden om malware te verspreiden. Na een periode van vier maanden is de Emotet-bende weer actief en begonnen met het versturen van e-mailberichten die als bijlage een doc-bestand bevatten. Dit document is voorzien van een kwaadaardige macro die wanneer ingeschakeld Emotet op de computer installeert. Bij de eerste spamberichten die Emotet verstuurde werd er meegelift op eerdere e-mailconversaties van al gemaakte slachtoffers. Sinds gisteren maakt de malware gebruik van een andere tactiek, aldus antimalwarebedrijf Malwarebytes. In allerlei talen, waaronder Engels, Italiaans, Spaans, Duits en Frans, zijn er berichten verstuurd die als onderwerp Snowdens nieuwe boek hebben. De memoires van de klokkenluider zijn sinds vorige week verkrijgbaar. Volgens de verstuurde spamberichten is het boek als bijlage meegestuurd. In werkelijkheid is het een doc-bestand dat via de kwaadaardige macro Emotet installeert. Zodra potentiële slachtoffers het document openen staat daarin dat Word niet geactiveerd is en Enable Editing en Enable Content moet worden ingeschakeld om Word zonder problemen te blijven gebruiken. Gebruikers die de instructies opvolgen raken echter besmet met Emotet. De Duitse overheid waarschuwde gisteren nog voor de nieuwe Emotet-uitbraak die al voor grote economische schade heeft gezorgd en noemde het eerder nog de gevaarlijkste malware ter wereld. Emotet steelt allerlei wachtwoorden van besmette systemen, kan de machines voor het versturen van spam gebruiken en is in staat om aanvullende malware te installeren, waaronder ransomware. bron: security.nl

Microsoft heeft gisterenavond een noodpatch uitgebracht voor een ernstige kwetsbaarheid in Internet Explorer die actief is aangevallen voordat de update beschikbaar was. Via het zerodaylek kon een aanvaller in het ergste geval volledige controle over het systeem krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. De kwetsbaarheid bevond zich in de laatste versie van Internet Explorer 10 en 11 en werd gevonden door onderzoeker Clément Lecigne van Googles Threat Analysis Group. Verdere details over de waargenomen aanvallen zijn niet beschikbaar gemaakt. De noodpatch zal op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is er een workaround waarbij de toegang tot het bestand jscript.dll moet worden beperkt. Dit kan echter gevolgen hebben voor features van de browser die van dit bestand afhankelijk zijn. Microsoft adviseert dan ook om de update zo snel als mogelijk te installeren. bron: security.nl

Honderdduizenden ip-camera's van de merken Apexis en Sumpple zijn door een datalek voor kwaadwillenden toegankelijk, zo hebben onderzoekers aan RTL Nieuws laten weten. Het gaat onder andere om 14.000 camera's in Nederland en 6.000 apparaten in België. De meeste camera's bevinden zich in de Verenigde Staten (163.000), gevolgd door Duitsland (58.000) en Frankrijk (42.000), aldus RTL-journalist Daniel Verlaan vandaag op Twitter. De camera's worden onder andere via Amazon verkocht. Via een app kunnen gebruikers vanaf het internet met hun camera meekijken. Onderzoeker ontdekten dat de database met gebruikersgegevens zeer slecht beveiligd is. Daardoor kunnen kwaadwillenden eenvoudig de gegevens achterhalen waarmee het mogelijk is om met de camera's mee te kijken. "De wachtwoorden van gebruikers worden wel degelijk versleuteld opgeslagen met Bcrypt, maar Sumpple bewaart alle API-calls naar de camera's in dezelfde database met daarin plaintext (!!!): e-mailadres, wachtwoord, token en ip-adres van de camera", stelt Verlaan. Apexis, het moederbedrijf van Sumpple, heeft het probleem nog altijd niet verholpen en reageerde ook niet op berichten van de journalist en de onderzoekers. Gebruikers krijgen dan ook het advies om ip-camera's van beide merken niet meer te gebruiken. bron: security.nl

Google heeft twee malafide adblockers die zich voordeden als de populaire adblockers AdBlock en uBlock uit de Chrome Web Store verwijderd. Dat laten de ontwikkelaars van de adblocker AdGuard weten. De malafide adblockers waren gebaseerd op de code van de originele AdBlock-extensie. Ze blokkeerden dan ook advertenties, waardoor gebruikers dachten dat het om legitieme extensies ging. Na verloop van tijd lieten beide adblockers echter dubieus gedrag zien. Zo werden er "affiliate" cookies op het systeem van gebruikers geplaatst. Wanneer gebruikers iets kopen bij websites waarvoor de cookies gelden ontvangt de ontwikkelaar van de malafide adblockers een commissie. Het ging om meer dan 300 websites waarvan er affiliate cookies werden geplaatst, waaronder AliExpress, Booking.com, LinkedIn.com en Microsoft.com. De malafide adblockers hadden bij elkaar meer dan 1,6 miljoen gebruikers. Na het verschijnen van de blogposting van AdGuard zijn de extensies door Google verwijderd. AdGuard adviseert Chrome-gebruikers om geen extensies via de zoekfunctie van de Web Store te zoeken. Daarnaast wordt aangeraden om niet zomaar extensies te installeren, maar af te vragen of de extensie wel echt nodig is. bron: security.nl

Microsoft heeft een update voor Windows Defender en Security Essentials uitgebracht waardoor de virusscanners bij handmatige scans slechts een handvol bestanden scanden. Gebruikers die de virusscanners een snelle of volledige scan van het systeem lieten uitvoeren ontdekten dat er slechts tientallen bestanden werden gescand, in plaats van de duizenden bestanden die normaliter worden gecontroleerd. Het probleem ontstond na een update voor Windows Defender en Microsoft Security Essentials die 16 september door Microsoft werd uitgerold. Na klachten van gebruikers heeft de softwaregigant nu nieuwe virusdefinities (1.301.1684.0) voor de antivirussoftware uitgebracht waarmee het scanprobleem wordt verholpen. De virusdefinities worden automatisch geïnstalleerd. bron: security.nl

Google heeft voor de tweede keer in nog geen twee weken tijd een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waardoor een aanvaller het onderliggende systeem had kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. Er zou geen verdere interactie van de gebruiker zijn vereist. In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Inclusief deze kwetsbaarheid zijn er dit jaar pas drie van dergelijke lekken gevonden. Vorig jaar ging het om vier lekken, een "recordaantal" voor de browser. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. De nu verholpen ernstige kwetsbaarheid bevindt zich in de gebruikersinterface. Verdere details zijn niet gegeven. Het beveiligingslek werd ontdekt door onderzoeker Khalil Zhani. Hoeveel Google de onderzoeker zal betalen voor de melding van het lek is nog niet bekend. Op 10 september kwam Google met een update voor een andere ernstige kwetsbaarheid in Chrome. Ook de beloning voor de onderzoeker die dit probleem rapporteerde is nog niet bekendgemaakt. Verder zijn er in Chrome 77.0.3865.90 drie andere kwetsbaarheden verholpen waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Onderzoekers van antivirusbedrijf Sophos hebben duizenden versies van de beruchte WannaCry-ransomware ontdekt die door een corrupt zip-bestand niet werken. Ruim twee jaar na de grote WannaCry-uitbraak wordt de ransomware nog steeds miljoenen keren per maand gedetecteerd. WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart 2017 door Microsoft werd gepatcht. Dat de malware nog steeds actief is laat zien dat tal van organisaties geen beveiligingsupdates voor Windows installeren. De WannaCry-versie die zich in mei 2017 verspreidde was voorzien van een killswitch. WannaCry probeerde op besmette systemen verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Een Britse beveiligingsonderzoeker registreerde deze domeinnaam, hoewel hij op dat moment niet wist dat de domeinnaam als een killswitch fungeerde. De onderzoekers van Sophos vroegen zich af hoe het kon dat de killswitch niet voorkwam dat besmette computers andere computers aanvielen. Daarnaast was het ook onduidelijk waarom niemand over door WannaCry versleutelde bestanden klaagde. Verder onderzoek wees uit dat de originele WannaCry nog zelden wordt waargenomen. Het blijkt dat met name aangepaste versies van de ransomware rondgaan. Bijna al deze varianten, ruim 2700 unieke versies, waren aangepast waardoor de killswitch niet meer werkte. Hierdoor kan de ransomware andere systemen in het netwerk aanvallen, wat de miljoenen detecties per maand verklaart. Toch waren de onderzoekers niet bekend met getroffen organisaties waar bestanden waren versleuteld. WannaCry beschikt over verschillende onderdelen. Eén onderdeel verspreidt de ransomware naar andere machines. Een ander onderdeel is verantwoordelijk voor het versleutelen van bestanden. Dit tweede onderdeel bevindt zich in een met een wachtwoord beveiligd zip-bestand. De inhoud van het zip-bestand wordt op de computer uitgepakt en uitgevoerd, waarna WannaCry bestanden versleutelt. Bij alle WannaCry-versies die de killswitch konden omzeilen bleek dat het zip-bestand corrupt was geraakt, waardoor er geen bestanden werden versleuteld. Dit verklaarde voor de onderzoekers waarom WannaCry nog steeds zo actief is, maar niemand erover klaagt. Dat neemt niet weg dat organisaties hun computers moeten patchen, zo besluiten de onderzoekers (pdf). bron: security.nl

De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren, heeft een Top 25 van gevaarlijkste softwarefouten gepubliceerd. Via deze ernstige fouten, die volgens MITRE veel voorkomen, kunnen aanvallers data stelen, software overnemen of voorkomen dat software kan functioneren. De Top 25 is bedoeld voor ontwikkelaars, testers, gebruikers en projectmanagers van software, alsmede onderzoekers en onderwijzers om inzicht te bieden in de meestvoorkomende beveiligingsdreigingen in de software-industrie. De lijst is samengesteld op basis van een "data-driven" aanpak waarbij er naar actuele beveiligingslekken en hun impact is gekeken. Vervolgens is er op elke kwetsbaarheid een scoreformule losgelaten om de dreiging en wijdverbreidheid te bepalen. In het overzicht komen kwetsbaarheden voor zoals buffer overflows, cross-site scripting, SQL-injection, het gebruik van hard-coded wachtwoorden, het niet goed controleren van certificaten en het niet goed valideren van gebruikersinvoer. Hieronder het volledige overzicht. Naast het CVE-systeem is MITRE ook verantwoordelijk voor de Common Weakness Enumeration (CWE) lijst waarmee kwetsbaarheden worden gecategoriseerd. bron: security.nl

De beruchte Emotet-malware is weer actief geworden en gebruikt nog ongelezen e-mails van al gemaakte slachtoffers om zich verder te verspreiden, wat het lastig voor spamfilters maakt om deze berichten te stoppen zo melden Cisco en Virus Bulletin. Gisteren kwam securitybedrijf Malwarebytes al met het bericht dat Emotet na maanden van inactiviteit weer begonnen was met het versturen van spammails. Emotet maakt gebruik van malafide doc-bestanden met kwaadaardige macro's om systemen te besmetten. Deze bestanden worden als e-mailbijlage verstuurd. Om potentiële slachtoffers te verleiden om de e-mailbijlage te openen lift Emotet mee op eerdere e-mailcommunicatie van het slachtoffer. Deze werkwijze van Emotet was al eerder bekend, maar is volgens Cisco zeer effectief om zich verder te verspreiden. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen. Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen. Virus Bulletin laat weten dat veel spamfilters de Emotet-mails niet als kwaadaardig bestempelen en zodoende doorlaten. "Dit is onderdeel van een zorgwekkende trend die we nu al enige tijd zien. Deze spamcampagnes hebben een veel hoger leveringspercentage dan normale spam. Soms weet tien procent van de spammails door de eerste verdedigingslaag heen te komen", zegt Martijn Grooten van Virus Bulletin. Volgens Cisco-onderzoeker Colin Grady is het eenvoudig voor te stellen dat iemand die een e-mail verwacht hier in trapt. "En het is een deel van de reden dat Emotet zich zo effectief via e-mail verspreidt. Door bestaande e-mailgesprekken over te nemen, en echte onderwerpen en e-mailinhoud toe te voegen, zijn de berichten veel willekeuriger en lastiger voor anti-spamsystemen om te filteren", aldus de onderzoeker. Wachtwoorden De inloggegevens die Emotet steelt voor het inloggen op het e-mailaccount van het slachtoffer worden ook gebruikt voor het versturen van de malafide antwoordmails. De afgelopen tien maanden ontdekte Cisco ruim 200.000 gestolen combinaties van gebruikersnamen en wachtwoorden waarmee de spamberichten werden verstuurd. Een gestolen wachtwoord blijkt gemiddeld een kleine 7 dagen voor het versturen van spam te worden gebruikt. Het grootste deel van de wachtwoorden was echter minder dan een dag in gebruik. Eenmaal actief op een systeem kan Emotet wachtwoorden van allerlei applicaties stelen en aanvullende malware installeren, waaronder ransomware. Grady adviseert internetgebruikers om tweefactorauthenticatie voor hun e-mailaccount in te stellen en alert te zijn op onverwachte of verdachte e-mails die uit de context lijken. bron: security.nl

De gegevens van meer dan 15 miljoen gebruikers van pdf-software Lumin PDF zijn via een onbeveiligde MongoDB-database in handen van derden terechtgekomen en via een hackingforum openbaar gemaakt. Het datalek vond in april van dit jaar plaats, maar is pas deze week bekend geworden. Lumin PDF biedt tools voor het bekijken, maken en beheren van pdf-documenten. Een MongoDB-database met de gegevens van gebruikers was voor iedereen op internet toegankelijk. De ontwikkelaar zou hier verschillende keren over zijn geïnformeerd, maar beveiligde de database niet. Daardoor zijn de gegevens van gebruikers in handen van een derde partij gekomen. Het gaat om Google-authenticatietokens, e-mailadressen, geslacht, namen, gesproken talen, gebruikersnamen en met bcrypt gehashte wachtwoorden van 15,4 miljoen gebruikers. Dat laat datalekzoekmachine Have I Been Pwned weten. Lumin PDF claimt zelf dat het 17 miljoen gebruikers heeft. Via Have I Been Pwned kunnen gebruikers in bijna 8,5 miljard gestolen records kijken of hun data ooit bij een website is gestolen. 57 procent van de buitgemaakte e-mailadressen was al via een ander datalek bij Have I Been Pwned bekend. bron: security.nl

Onderzoekers hebben een nieuwe spamcampagne van het Emotet-botnet ontdekt waarbij malafide doc-bestanden worden verstuurd. De doc-bestanden bevatten een kwaadaardige macro die wanneer ingeschakeld malware op het systeem downloadt. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. De laatste spamcampagne van het botnet vond zo'n vier maanden geleden plaats, aldus anti-malwarebedrijf Malwarebytes. Bij de nu ontdekte nieuwe campagne worden e-mails in het Duits, Engels, Italiaans en Pools verstuurd. De berichten gaan over nog niet betaalde rekeningen. Zodra gebruikers het meegestuurde doc-bestand openen verschijnt er een melding dat macro's moeten worden ingeschakeld. Volgens de melding van de criminelen is dit nodig om de werking van Microsoft Word te garanderen. Wanneer de gebruiker macro's inschakelen wordt Emotet op het systeem gedownload. Vervolgens probeert de malware zich lateraal door het netwerk te verspreiden en allerlei wachtwoorden van applicaties te stelen. Emotet is in het verleden gebruikt om ransomware op besmette computers te installeren. bron: security.nl

Onderzoekers van Cisco hebben een ernstig beveiligingslek in verschillende drivers van AMD ATI Radeon-videokaarten ontdekt waardoor een aanvaller systemen kan overnemen die een VMware virtual machine hosten. AMD heeft inmiddels nieuwe drivers uitgebracht waarin de kwetsbaarheid is verholpen. Het probleem doet zich voor bij het verwerken van pixel shaders, die worden gebruikt om objecten er realistischer eruit te laten zien. Door de kwetsbare driver een speciaal geprepareerde pixel shader binnen een VMWare guest te laten verwerken kan er geheugencorruptie ontstaan waardoor het mogelijk is om willekeurige code uit te voeren op de machine die de VMware guest host. Voorwaarde is wel dat de guestVM op Windows 10 draait. De kwetsbaarheid doet zich voor in de ATIDXX64.DLL driver in combinatie met videokaarten van de Radeon RX 550 en 550 series en VMWare Workstation 15. AMD werd op 8 mei van dit jaar over de kwetsbaarheid geïnformeerd. Gisteren kwam de chipfabrikant met nieuwe drivers. Op een schaal van 1 tot en met 10 wat betreft de ernst is het lek met een 9 beoordeeld. bron: security.nl

Onderzoekers van securitybedrijf Independent Security Evaluators (ISE) hebben in dertien routers en NAS-systemen in totaal 125 beveiligingslekken ontdekt waardoor aanvallers in het ergste geval de systemen op afstand kunnen overnemen. In 2013 voerde ISE al soortgelijk onderzoek. De onderzoekers besloten nu opnieuw te kijken hoe goed routers en NAS-systemen zijn beveiligd. Het hoofddoel van het onderzoek was om op afstand volledige controle over het apparaat te krijgen en zonder authenticatie commando's met rootrechten uit te voeren. Bij twaalf van de dertien apparaten lukte dit ook. In totaal leverde het onderzoek 125 verschillende kwetsbaarheden op. De onderzoekers rapporteerden deze kwetsbaarheden bij de verschillende fabrikanten. Hier werd echter verschillend op gereageerd. Zo hebben Buffalo, Drobo en Zioncom niet bevestigd dat ze de e-mail met informatie over de kwetsbaarheden hebben ontvangen. Ook de communicatie met Netgear verliep moeizaam, aldus de onderzoekers. Het is dan ook onduidelijk of alle kwetsbaarheden inmiddels zijn gepatcht. Gebruikers krijgen het advies om geen producten van fabrikanten te kopen die vaak met beveiligingslekken hebben te maken, moeten onnodige diensten worden uitgeschakeld en moeten remote acces features waar mogelijk worden vermeden. bron: security.nl

Er is een nieuwe versie van de populaire wachtwoordmanager LastPass verschenen die een kwetsbaarheid verhelpt waardoor opgeslagen wachtwoorden van gebruikers konden lekken. Het beveiligingslek was ontdekt door onderzoeker Tavis Ormandy van Google. LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Een probleem met het cachegeheugen van de wachtwoordmanager zorgde ervoor dat een kwaadaardige website het laatst gebruikte wachtwoord kon achterhalen. Alleen het bezoeken van de kwaadaardige website was voldoende, er was geen verdere interactie van gebruikers vereist. Ormandy rapporteerde het probleem op 30 augustus aan LastPass. Op 12 september verscheen er een nieuwe versie van de wachtwoordmanager. In de release notes heeft LastPass het over 'minor bug fixes'. Ormandy bestempelt de impact van de kwetsbaarheid echter als "high". De onderzoeker wilde de details afgelopen vrijdag 13 september openbaar maken, maar stelde dit uit omdat hij onderweg was. Gebruikers krijgen het advies om te updaten naar LastPass 4.33.0 / 4.33.4. Ormandy, die in het verleden vaker kwetsbaarheden in LastPass ontdekte, is van plan om later een demonstratie-exploit voor de kwetsbaarheid online te zetten. bron: security.nl

Duitse internetgebruikers zijn weer het doelwit van malware die zich voordoet als ransomware maar in werkelijkheid allerlei bestanden van het systeem wist. De malware verspreidt zich via een e-mail met het onderwerp "Bewerbung via Arbeitsagentur - Eva Richter" en doet zich voor als een sollicitatie. Naast een foto bevat de e-mail een zip-bestand. Dit zip-bestand bevat weer een bestand eindigend op pdf.exe. Doordat Windows standaard geen bestandsextensies toont zouden gebruikers kunnen denken dat het om een pdf-bestand gaat. Wanneer de gebruiker het bestand opent worden allerlei foto's, documenten, video's, databases, tekstbestanden en archieven verwijderd, alsmede alle shadowkopieën van bestanden. Tevens wordt de Windows 10-herstelomgeving uitgeschakeld. Vervolgens plaatst de malware in elke map een bericht dat de bestanden zijn versleuteld en er ongeveer 1500 dollar moet worden betaald voor het ontsleutelen van de bestanden. Doordat het hier om een wiper gaat zullen slachtoffers die betalen hun bestanden niet terugkrijgen, zo meldt Bleeping Computer. Vorige maand waren Duitse internetgebruikers het doelwit van een soortgelijke aanval met een zogenaamde sollicitatie en malware die bestanden wiste. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft internetproviders wereldwijd opgeroepen om DNS-over-HTTPS te gaan ondersteunen. Dit moet voorkomen dat straks een handvol bedrijven de dns-verzoeken van miljarden gebruikers zullen verwerken en er een gecentraliseerd ecosysteem ontstaat. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor dns-verzoeken te gebruiken. Volgens de EFF kan DoH de privacy van internetgebruikers enorm verbeteren. Er is echter ook kritiek op de technologie. Zo is Mozilla van plan om voor de DoH-implementatie binnen Firefox de dns-servers van internetbedrijf Cloudflare te gebruiken. Zodoende zal straks het dns-verkeer van alle Firefoxgebruikers via één partij lopen. De EFF stelt dat de dns-aanbieders die browserontwikkelaars zoals Google en Mozilla voor hun browser kiezen deze partijen meer macht geven en het mogelijk voor deze partijen maken om gebruikers te monitoren en censureren. Om te voorkomen dat er door DNS-over-HTTPS een sterk centraliserend effect ontstaat roept de EFF internetproviders daarom op om DoH zelf te gaan ondersteunen. Zodoende hebben gebruikers de security- en privacyvoordelen van de technologie, terwijl ze tegelijkertijd de keuze hebben om de dns-servers van hun eigen provider te blijven gebruiken. Verschillende providers, waaronder het Britse Faelix, zijn inmiddels begonnen om DoH te ondersteunen. "DoH moet op zo'n manier worden uitgerold dat het de rechten van gebruikers respecteert. Browsers moeten transparant zijn over wie toegang tot de dns-data heeft en gebruikers de keuze geven om hun eigen dns-aanbieder te kiezen", aldus Max Hunter van de EFF, die toevoegt dat internetproviders DoH ook moeten gaan ondersteunen om zo een gedecentraliseerd ecosysteem in stand te houden. bron: security.nl

Kabels staan onder invloed van oa vocht en temperatuur. Ook al is dit minimaal. Maar hoe langer de kabel, hoe meer het effect van de invloed van bijvoorbeeld temperatuur en vocht. Hoe meer splitsingen in een kabel zitten, hoe meer kans op uitval. Niet alleen in netwerkkabels. Ik had dit vroeger ook met antennekabels voor 27mc etc. Dus de verbinding die je nu hebt, is het beste. Verder zou je even alle kabelschoentjes kunnen controleren en indien je deze hebt, nog een keer met een kabeltang aandrukken of vervangen.

Onderzoekers hebben op internet 5 miljoen Exim-mailservers aangetroffen waarvan een onbekend aantal kwetsbaar is. Exim is zeer populaire mailserversoftware. Vorige week werd er in Exim een ernstige kwetsbaarheid gepatcht waardoor aanvallers op afstand code met rootrechten kunnen uitvoeren. Exim-lekken zijn in het verleden vaker het doelwit van criminelen geweest en kort na het verschijnen van de recente Exim-update werd bekend dat Exim-mailservers via een ouder lek uit juni met malware werden geïnfecteerd. Securitybedrijf Rapid7 besloot een scan op internet uit te voeren om te zien hoeveel Exim-mailservers er online zijn. Er werden meer dan 5 miljoen Exim-servers gevonden. Van meer dan 4,5 miljoen servers kon de versie worden vastgesteld. Zo'n 3,2 miljoen van de servers (73 procent) draaiden op Exim-versie 4.92.0. "Dit is goed nieuws, omdat het laat zien dat de meeste organisaties die Exim-servers draaien het up-to-date houden van deze belangrijke serversoftware prioriteit geven", zegt Bob Rudis van Rapid7. Rudis verwacht dan ook dat deze servers bij een volgende scan de laatste versie zullen draaien. Vorige week verscheen Exim 4.92.2. Eind juli was vanwege een andere kwetsbaarheid versie 4.92.1 uitgebracht. Dit versienummer komt echter niet voor in de scan van Rapid7. Eerder stelde het Canadese consultancybedrijf E-Soft op basis van 507.000 gescande Exim-mailservers dat de meeste servers één versienummer achterliepen. 74 procent van de Exim-servers die het bedrijf op 1 september scande draaide versie 4.92.0. Bijna hetzelfde percentage als de scan van Rapid7 laat zien. Versie 4.92.1 werd op slechts 1,3 procent van de servers aangetroffen. Dat wil niet zeggen dat de andere mailservers per definitie kwetsbaar zijn. Het is mogelijk om Exim-fixes te backporten, zodat de server is beschermd zonder de laatste versie te draaien. Het totale aantal kwetsbare Exim-servers is dan ook moeilijk vast te stellen. Wel krijgen beheerders het advies om de beschikbare update te installeren. "Actief misbruik is op dit moment nog niet waargenomen, maar de kans is aanwezig dat er op korte termijn misbruik gemaakt gaat worden door kwaadwillenden", aldus het Nationaal Cyber Security Centrum (NCSC). bron: security.nl

Antivirusbedrijf Sophos heeft besloten om de populaire sandboxtool Sandboxie gratis en op termijn open source te maken. Dat laat de virusbestrijder via de het eigen forum en de website van Sandboxie weten. Sandboxie is een programma voor Windowsgebruikers dat andere software in een sandbox kan draaien. In het geval de andere software wordt aangevallen, bijvoorbeeld via een exploit die misbruik van een beveiligingslek maakt, kan een aanvaller het onderliggende besturingssysteem niet overnemen. De aanvaller bevindt zich namelijk nog in de sandbox waar de aangevallen software in draait. In dit geval zou een aanvaller ook een exploit voor de sandbox moeten hebben om daar uit te breken. Daardoor vormt het een aanvullende beschermingslaag voor Windowscomputers. In 2013 werd Sandboxie door beveiligingsbedrijf Invincea overgenomen. Invincea werd op haar beurt in 2017 voor 100 miljoen dollar door antivirusbedrijf Sophos gekocht. Nu meldt de virusbestrijder dat het Sandboxie gratis gaat maken en dat de software uiteindelijk open source wordt. "Totdat de transitie naar open source is afgerond hebben we besloten om Sandboxie gratis te maken", zo laat Sophos op het eigen forum weten. De overstap heeft wel gevolgen voor de ondersteuning van de software. Die zal namelijk "community based" worden. bron: security.nl

Google is een nieuwe test met DNS-over-HTTPS (DoH) in Chrome gestart waarbij het kijkt of de huidig ingestelde dns-provider van de gebruiker DoH ondersteunt. Er is echter ook kritiek op het gebruik van DoH. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Met Chrome 78 gaat Google kijken of de ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google. Kritiek Onlangs kondigde ook Mozilla aan dat het DoH binnen Firefox gaat testen, waarbij het de dns-servers van internetbedrijf Cloudflare zal gaan gebruiken. Iets wat voor de nodige kritiek zorgt. Het houdt namelijk in dat Firefox al het dns-verkeer bij Cloudflare onderbrengt en dus al het verkeer van gebruikers naar één entiteit gaat. "Dit houdt in dat mensen buiten de Verenigde Staten nu volledig door de Amerikaanse overheid kunnen worden gevolgd", zegt het Zwitserse it-bedrijf Ungleich. Volgens de dienstverlener is het de vraag of DoH wel aan de AVG voldoet, aangezien het straks mogelijk standaard wordt. Gebruikers moeten zich niet aanmelden, maar afmelden. Ungleich vraagt Mozilla dan ook om DoH opt-in te maken en gebruikers zelf een provider te laten kiezen, in plaats van standaard Cloudflare te gebruiken. bron: security.nl

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin een ernstig beveiligingslek is verholpen dat aanvallers hadden kunnen gebruiken om het onderliggende systeem over te nemen. Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie zou voldoende zijn geweest. Verdere interactie van de gebruiker was niet vereist. Dergelijke kwetsbaarheden worden zelden in Chrome gevonden. Dit jaar kwam het één keer eerder voor dat Google een Chrome-lek als ernstig bestempelde. Vorig jaar verhielp Google vier ernstige lekken, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. De nu verholpen kwetsbaarheid (CVE-2019-5870) was aanwezig in het onderdeel van Chrome dat wordt gebruikt voor het afspelen van audio en video. Het beveiligingslek werd ontdekt door onderzoeker Guang Gong van securitybedrijf Qihoo 360. De onderzoeker kreeg vorig jaar 112.500 dollar van Google wegens een aanval waarmee Pixel-telefoons op afstand waren over te nemen. Het was de hoogste beloning die het bedrijf ooit heeft uitgekeerd. Hoeveel Gong nu voor zijn melding krijgt is nog onbekend. De onderzoeker rapporteerde het probleem op 29 augustus. Verder zijn er 51 andere kwetsbaarheden met Chrome 77.0.3865.75 verholpen. Daarmee was het onder andere mogelijk om de adresbalk te spoofen, andere browsers te starten, de downloadbescherming te omzeilen, het downloadvenster te spoofen en verschillende beveiligingsmaatregelen te omzeilen. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Tijdens de patchdinsdag van september heeft Microsoft 79 kwetsbaarheden gepatcht, waaronder twee beveiligingslekken die actief werden aangevallen voordat de updates beschikbaar waren. Via deze twee zerodaylekken kon een aanvaller die al toegang tot een systeem had zijn rechten verder verhogen. De aangevallen kwetsbaarheden bevinden zich in alle ondersteunde versies van Windows. Eén van de lekken werd ontdekt door securitybedrijf Qihoo 360. Wie de andere kwetsbaarheid vond laat Microsoft niet weten. Verder patchte Microsoft lekken in het Windows Text Service Framework (TSF) en Secure Boot die al voor het uitkomen van de updates openbaar waren. Deze kwetsbaarheden zijn voor zover bekend niet aangevallen, aldus Microsoft. De 79 lekken zijn onder andere gepatcht in Windows, Internet Explorer, Edge, Microsoft Office, Exchange Server, Lync en Team Foundation Server. Zestien van de kwetsbaarheden werden als ernstig bestempeld, wat inhoudt dat een aanvaller daarmee het onderliggende systeem kan overnemen. Het gaat onder andere om drie kwetsbaarheden in SharePoint, zo meldt het Zero Day Initiative. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Een beveiligingslek in de populaire e-mailserversoftware Exim dat afgelopen juni werd gepatcht wordt op het moment actief gebruikt om kwetsbare mailservers met malware te infecteren. Dat meldt securitybedrijf Positive Technologies. Via het lek kan een aanvaller op afstand commando's met rootrechten uitvoeren. Kort na het uitkomen van de beveiligingsupdate werden de eerste aanvallen al waargenomen. Nu een aantal maanden later vinden deze aanvallen nog steeds plaats. Aanvallers proberen via het lek een cryptominer op de mailserver te installeren die de machine de cryptovaluta Monero laat delven. Daarnaast probeert de malware zich naar andere systemen te verspreiden die via SSH toegankelijk zijn en in de known_hosts lijst van SSH zijn opgenomen. De malware, die Sustes wordt genoemd, maakt niet alleen gebruik van het Exim-lek. Ook kwetsbaarheden in Redis en Hadoop YARN ResourceManager worden uitgebuit. Tevens probeert Sustes accounts via bruteforce-aanvallen te compromitteren. De melding van Positive Technologies volgt op het nieuws over een nieuw ernstig beveiligingslek in Exim dat vorige week werd gepatcht. bron: security.nl

Google Chrome is opnieuw kwetsbaar wegens een "patch-gap" in de JavaScript-engine die de browser gebruikt, zo stelt onderzoeker István Kurucsai van securitybedrijf Exodus Intelligence. Er is sprake van een patch-gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. In het geval van Google Chrome speelt het probleem bij de V8 JavaScript-engine waar de browser gebruik van maakt. Een kwetsbaarheid in dit opensource-onderdeel werd halverwege augustus gepatcht. De oplossing voor Google Chrome zal later vandaag pas verschijnen. Aanvallers kunnen het tijdsvenster tussen de opensourcepatch en Chrome-patch misbruiken om een exploit te ontwikkelen en zo gebruikers aan te vallen. Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken. Gebruikers kunnen in afwachting van de update het uitvoeren van JavaScript in de browser uitschakelen. In april ontdekte Kurucsai ook al een patch-gap dat door de V8-engine werd veroorzaakt en eind augustus stelde ook Google dat er door de JavaScript-engine een patch-gat was ontstaan. bron: security.nl

Later deze maand zal bij Amerikaanse Firefox-gebruikers DNS-over-HTTPS (DoH) worden ingeschakeld, zo heeft Mozilla bekendgemaakt. DoH zorgt voor een versleutelde verbinding voor dns-verzoeken, zodat informatie van het dns-verzoek niet kan lekken. Op dit moment zijn dns-verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Dit kan echter gevolgen hebben voor zakelijke dns-configuraties en de software die ouders en scholen gebruiken om ongeschikte websites voor kinderen te blokkeren. De software kijkt namelijk naar het dns-verzoek van de gebruiker om te bepalen of een website moet worden geblokkeerd. Sinds vorig jaar juni voert Mozilla verschillende experimenten met Firefox DoH uit. Daarnaast hebben meer dan 70.000 Firefox-gebruikers DoH zelf ingeschakeld. Uit de nu verzamelde statistieken blijkt volgens Mozilla dat DoH een betrouwbare dienst is en dat de meeste gebruikers zullen profiteren van de bescherming die versleuteld dns-verkeer biedt. De browserontwikkelaar wil DoH daarom standaard gaan inschakelen. Mozilla zal wel rekening houden met bedrijven en gebruikers die software voor ouderlijk toezicht hebben ingeschakeld. 4,3 procent van de Firefox-gebruikers die aan het laatste DoH-experiment deelnam had ouderlijk toezicht van OpenDNS of Googles safe-search feature ingeschakeld. Doordat DoH dns-verzoeken versleutelt kunnen websites niet gefilterd worden. Een zelfde probleem kan bij bedrijven spelen die een eigen dns-server hebben opgezet. Sommige dns-servers kunnen een ander ip-adres voor een domeinnaam teruggeven, afhankelijk of de gebruiker van wie het verzoek afkomstig is zich op een publiek of bedrijfsnetwerk bevindt. Dit gedrag wordt "split-horizon" genoemd en wordt onder andere toegepast bij het hosten van productie en een nog in ontwikkeling zijnde websites. Via DoH zou er dan toegang tot websites kunnen worden verkregen die niet voor het publiek zijn bedoeld. Zodra Firefox detecteert dat gebruikers software voor ouderlijk toezicht gebruiken of dat er een bepaalde bedrijfsconfiguratie is ingesteld, zal DoH worden uitgeschakeld. In het geval van een split-horizon-configuratie zal Firefox op de standaard dns van het besturingssysteem terugvallen. Op deze manier zouden gebruikers geen hinder van de maatregel moeten ondervinden. Mozilla gaat DoH nu eind september geleidelijk onder Amerikaanse Firefox-gebruikers inschakelen. Mozilla zal laten weten wanneer de uitrol voor andere Firefox-gebruikers plaatsvindt. Gebruikers die niet willen wachten kunnen DoH eenvoudig zelf inschakelen. bron: security.nl