Captain Kirk

Bestandsuitwisselingsdienst WeTransfer heeft door een fout e-mails met downloadlinks naar de bestanden van gebruikers naar de verkeerde personen gestuurd. Gebruikers die bestanden via WeTransfer willen delen kunnen het e-mailadres van de beoogde ontvanger en zichzelf opgeven. Zodra het bestand is geüpload ontvangen de opgegeven e-mailadressen een bericht met een link om het bestand te downloaden. Op 16 en 17 juni zijn er e-mails met deze downloadlinks naar de verkeerde personen gemaild, zo laat WeTransfer in een e-mail aan getroffen gebruikers weten. "Onze records laten zien dat die bestanden zijn benaderd, maar bijna zeker door de bedoelde ontvanger. Desondanks hebben we uit voorzorg de link geblokkeerd om verdere downloads te voorkomen", aldus WeTransfer in het bericht. Naar aanleiding van het incident besloot de dienst ook om gebruikers van hun account uit te loggen of te vragen om hun wachtwoord te wijzigen. Tevens meldt WeTransfer dat het alle relevante autoriteiten heeft geïnformeerd. Het onderzoek naar de oorzaak en omvang van het het datalek loopt nog. WeTransfer zegt op een later moment meer details te zullen geven. bron: security.nl

Weer zijn klanten van een managed service provider (MSP) met ransomware geïnfecteerd nadat criminelen toegang tot de MSP kregen. Managed service providers verlenen allerlei soorten diensten aan hun klanten, zoals systeembeheer. Op Reddit werd er gisteren melding gemaakt van een aanval waarbij er via een niet nader genoemde MSP ransomware werd verspreid. Volgens securitybedrijf Huntress Labs wisten de aanvallers via RDP toegang te krijgen. Vervolgens maakten ze gebruik van de Webroot managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen. Tevens werden aanwezige back-ups verwijderd. Via de managementconsole kunnen systeembeheerders op afstand bestanden downloaden en uitvoeren. Webroot laat in een reactie op Reddit weten dat inderdaad een aantal klanten die van de managementconsole gebruikmaken zijn getroffen door aanvallers. Deze aanvallers wisten via een combinatie van het remote desktopprotocol (RDP) en een "slechte cyberhygiëne" wat betreft authenticatie binnen te dringen. Om ervoor te zorgen dat klanten security best practices volgen heeft Webroot alle klanten van hun managementconsoles uitgelogd en het gebruik van tweefactorauthenticatie verplicht gesteld. Huntress Labs laat in een update over het incident weten dat de aanvallers ook gebruik van Kaseya hebben gemaakt. Dit is een tool om systemen op afstand mee te beheren. Bij een soortgelijke aanval in februari maakten aanvallers ook al gebruik van Kaseya. Destijds werden klanten van een MSP met de GandCrab-ransomware besmet. Dit maal gaat het om de Sodinokibi-ransomware. bron: security.nl

OpenSSH krijgt bescherming tegen sidechannelaanvallen zoals Spectre, Meltdown, Rowhammer en Rambleed, zo blijkt uit een nieuwe feature die is ontwikkeld. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. Bij sidechannelaanvallen zoals Spectre, Meltdown en Rowhammer kunnen aanvallers toegang tot informatie in het geheugen krijgen waar ze eigenlijk geen toegang toe horen te hebben. Hierdoor is het bijvoorbeeld mogelijk om encryptiesleutels te achterhalen. Er is nu een feature voor OpenSSH ontwikkeld die privésleutels in het geheugen tegen dergelijke aanvallen beschermt. Privésleutels worden met een symmetrische sleutel versleuteld die is afgeleid van een relatief grote "prekey" die uit 16KB aan willekeurige data bestaat. Een aanvaller moet in dit geval de volledige prekey zien te achterhalen voordat de afgeschermde privésleutel kan worden ontsleuteld. Volgens de ontwikkelaar is dit gezien de "bit error rates" van de huidige generatie aanvallen onwaarschijnlijk. "Hopelijk kunnen we deze feature over een paar jaar verwijderen als computerarchitectuur minder onveilig is geworden", aldus OpenSSH-ontwikkelaar Damien Miller op de OpenBSD-mailinglist. bron: security.nl

Mozilla heeft ook het tweede zerodaylek in Firefox dat recentelijk werd gebruikt om gebruikers aan te vallen gepatcht. Het gaat om een kwetsbaarheid waardoor het mogelijk is om uit de sandbox van de browser te breken. Dinsdag verhielp de browserontwikkelaar het eerste zerodaylek in Firefox. Via deze kwetsbaarheid kon een aanvaller willekeurige code op het systeem uitvoeren. De twee zerodaylekken werden in combinatie gebruikt om Firefoxgebruikers met malware te infecteren. De aanvaller moest namelijk eerst uit de sandbox van de browser zien te breken voordat het onderliggende systeem kon worden aangevallen. Iets waarvoor minimaal twee verschillende kwetsbaarheden nodig zijn. Alleen het bezoeken van een kwaadaardige website was voldoende om te worden gecompromitteerd. Om gebruikers naar dergelijke websites te lokken stuurde de aanvaller e-mails met een link. Eén van de doelwitten was cryptobeurs Coinbase, dat openheid van zaken gaf en informatie over de aanval en kwetsbaarheden met zowel Mozilla als het publiek deelde. Iets waarop zeer positief gereageerd werd, aldus Coinbase chief information security officer Philip Martin. Veel organisaties houden informatie over daadwerkelijke aanvallen voor zichzelf of geven nauwelijks informatie. Coinbase zal op een later moment met aanvullende details over de aanval komen. Beveiligingsonderzoeker Patrick Wardle werd ook door een slachtoffer van de aanvaller benaderd en liet weten dat de Firefox-zerodaylekken werden gebruikt om een backdoor op het systeem te installeren. Op dit moment is alleen bekend dat Mac-gebruikers het doelwit waren. Firefoxgebruikers krijgen het advies om te updaten naar Firefox 67.0.4 of Firefox ESR 60.7.2. Dit kan via de automatische updatefunctie of Mozilla.org. Aangezien de nu verholpen kwetsbaarheid het op zichzelf niet mogelijk maakt om een systeem te compromitteren is de impact lager ingeschaald dan het zerodaylek dat Mozilla afgelopen dinsdag patchte. bron: security.nl

Wifi-extenders van netwerkfabrikant TP-Link zijn door een beveiligingslek op afstand over te nemen. Een aanvaller hoeft daarbij niet over inloggegevens van het apparaat te beschikken en kan door de kwetsbaarheid code met rootrechten uitvoeren. Een wifi-extender wordt gebruikt voor het versterken van het signaal van wifi-routers. Onderzoeker Grzegorz Wypych van IBM X-Force ontdekte dat een aanvaller door het versturen van een geprepareerd http-verzoek shellcommando's kan uitvoeren. Doordat alle processen op de wifi-extender al met rootrechten draaien, wordt de code van de aanvaller ook als root uitgevoerd. In totaal bleken vier wifi-extenders kwetsbaar te zijn. TP-Link heeft firmware-updates voor deze modellen uitgebracht. Het gaat om de RE365, RE500, RE650 en RE350. bron: security.nl

Er komt een Europees keurmerk voor veilige clouddiensten dat aangeeft dat aangesloten aanbieders aan de Europese digitale veiligheidseisen voldoen. Dit moet gebruikers zekerheid over de veiligheid van de clouddienst en hun data geven, zo laat het ministerie van Economische Zaken weten. Het voorstel voor één Europees certificeringsysteem voor veilige clouddiensten is afkomstig van de publiek-private CSPCERT-werkgroep. De Nederlandse publiek-private samenwerking Partnering Trust speelde samen met Duitsland en Oostenrijk een belangrijke rol bij de invulling van het keurmerk. "Omdat aangesloten aanbieders aan dezelfde digitale veiligheidseisen voldoen, wordt het makkelijker om binnen de EU verschillende aanbieders te vergelijken", aldus het ministerie. Het Europese Agentschap voor netwerk- en informatiebeveiliging (ENISA) zal het voorstel van de werkgroep nu verder uitwerken in een Europees certificeringsschema onder de Cyber Security Act. Deze Europese verordening voor cybersecurity certificering van ict-producten, diensten en processen wordt eind deze maand van kracht. "Clouddiensten worden steeds belangrijker voor de Europese digitale economie. Nederland heeft als internationaal georiënteerde economie en knooppunt van data in het bijzonder belang bij een veilig en toegankelijk digitaal domein", zegt Focco Vijselaar, directeur-generaal Bedrijfsleven & Innovatie van het Economische Zaken. bron: security.nl

Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen. Eerdere decryptietools hebben meer dan 30.000 slachtoffers geholpen bij het kosteloos ontsleutelen van hun bestanden. Dat heeft antivirusbedrijf Bitdefender bekendgemaakt. De ontwikkelaars van GandCrab kondigden begin deze maand hun afscheid aan. Ze hadden naar eigen zeggen voldoende geld met de ransomware verdiend. GandCrab werd als een 'ransomware as a service' aangeboden. Via dergelijke diensten kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Volgens Bitdefender heeft GandCrab naar schatting meer dan 1,5 miljoen slachtoffers gemaakt. Voor verschillende versies van de ransomware werden decryptietools ontwikkeld waarmee slachtoffers hun versleutelde bestanden kunnen ontsleutelen. Bogdan Botezatu van Bitdefender stelt dat deze decryptietools de positie van de ransomware-operators verzwakte, omdat nieuwe slachtoffers liever besloten te wachten op een nieuwe decryptietool dan het losgeld te betalen. Uiteindelijk hebben 30.000 mensen van deze decryptietools gebruik gemaakt. In februari verscheen er een decryptietool die met GandCrab versie 5.0.4 tot en met versie 5.1 werkte. De ransomware-ontwikkelaars kwamen vervolgens met versie 5.2 die niet met deze tool kon worden ontsleuteld. Bitdefender heeft nu een update voor de decryptietool uitgebracht zodat ook slachtoffers van GandCrab versie 5.2 worden geholpen. De decryptietool is te downloaden via No More Ransomware, een project dat mede door de Nederlandse politie werd gestart. bron: security.nl

De Franse overheid heeft een decryptietool voor de PyLocky-ransomware ontwikkeld waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. PyLocky verspreidt zich via e-mailberichten. Eenmaal actief versleutelt het allerlei bestanden en vraagt een bedrag voor het ontsleutelen ervan. Volgens het Franse ministerie van Binnenlandse Zaken is de ransomware zeer actief in Europa en heeft die veel Franse slachtoffers gemaakt. Het gaat zowel om bedrijven als thuisgebruikers. De decryptietool kan bestanden die door PyLocky versie 1 en 2 zijn versleuteld ontsleutelen. Om de tool te kunnen gebruiken moeten gebruikers Java hebben geïnstalleerd. De Franse overheid geeft geen support op de tool en ook geen garanties. Gebruik is geheel op eigen risico. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor een Linux-worm die zich op dit moment verspreidt via een lek in de e-mailserversoftware Exim. Beheerders krijgen het advies om de beschikbare beveiligingsupdate te installeren. Volgens Microsoft beschikt het Azure-cloudplatform over maatregelen om de verspreiding van de worm te beperken, maar lopen ongepatchte klanten nog steeds het risico geïnfecteerd te raken. Via de kwetsbaarheid in Exim kan een aanvaller op afstand kwetsbare e-mailservers overnemen. Gebruikers van Azure virtual machines (vm) zijn zelf verantwoordelijk voor het updaten van de besturingssystemen die ze op deze machines draaien. Klanten kunnen bijvoorbeeld op een Azure-vm een mailserver installeren. "Aangezien een worm actief misbruik maakt van dit beveiligingslek, roept Microsoft klanten op om Azure security best practices te volgen en de patch te installeren of anders de netwerktoegang tot virtual machines met kwetsbare Exim-versies te beperken. Microsoft stelt dat er een gedeeltelijke oplossing voor kwetsbare systemen is. Via Network Security Groups (NSGs) is het mogelijk om netwerkverkeer te filteren of blokkeren. Op deze manier is de worm te blokkeren. Kwetsbare systemen lopen echter nog steeds risico als het ip-adres van de aanvaller door Network Security Groups wordt toegestaan. Aanvallers gebruiken de kwetsbaarheid in Exim op dit moment om cryptominers op systemen te installeren. Volgens een scan van zoekmachine Shodan zouden er wereldwijd 3,6 miljoen kwetsbare mailservers zijn, waaronder 137.000 servers in Nederland. bron: security.nl

Een aanvaller heeft in februari toegang gekregen tot een systeem van Symantecs testlab in Australië. Dat heeft het securitybedrijf tegenover The Guardian bevestigd. Bij de inbraak maakte de aanvaller bestanden en een lijst met vermeende klanten buit. Volgens Symantec ging het alleen om testdata. Aangezien er met dummybestanden werd gewerkt en het systeem geen gevoelige persoonlijke informatie bevatte besloot het bedrijf de inbraak op het "geïsoleerde lab" niet te melden. De systemen van het lab waren niet verbonden met het bedrijfsnetwerk van Symantec. Hoe de aanvaller toegang wist te krijgen is niet bekend. In mei liet antivirusbedrijf Trend Micro weten dat een aanvaller toegang tot een netwerk van de virusbestrijder had gekregen en daar debugging gerelateerde informatie had gestolen. bron: security.nl

Fabrikant Yubico heeft verschillende YubiKey FIPS-sleutels laten terugroepen wegens een beveiligingslek. Via de hardwarematige beveiligingssleutels kunnen gebruikers op hun accounts inloggen. Bij de kwetsbare sleutels kan de buffer met willekeurige waarden voorspelbare inhoud bevatten, wat de cryptografische operaties van de sleutel kan beïnvloeden. Door de kwetsbaarheid kan een aanvaller die verkeer van de sleutel weet te onderscheppen tussen de FIDO-client en de dienst waarop wordt ingelogd, zich tegenover deze dienst als de beveiligingssleutel voordoen. In het geval de YubiKey wordt gebruikt voor het genereren van eenmalige wachtwoorden zou een aanvaller via malware op het systeem de wachtwoordvalidatiesequentie kunnen onderscheppen en opnieuw voor de YubiKey FIPS-sleutel afspelen. Op deze manier kunnen eenmalige wachtwoorden worden verkregen. Yubico heeft de kwetsbaarheid zelf in maart gevonden. Het probleem speelt bij de YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS en YubiKey C Nano FIPS met firmware 4.4.2 en 4.4.4. Het probleem is in firmware 4.4.5 verholpen. Vanwege de kwetsbaarheid heeft Yubico kwetsbare sleutels teruggeroepen. Klanten die hun sleutel nog niet hebben teruggestuurd kunnen dat via deze pagina doen. bron: security.nl

Mailservers worden actief aangevallen via een beveiligingslek in Exim waarvoor begin deze maand een update verscheen. Dat melden verschillende beveiligingsonderzoekers op Twitter. In Nederland zouden meer dan 137.000 kwetsbare mailservers draaien, zo blijkt uit cijfers van zoekmachine Shodan. Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails. De software draait op 57 procent van alle mailservers wereldwijd. Via de kwetsbaarheid kan een aanvaller op afstand commando's met rootrechten uitvoeren. Aanvallers maken nu actief gebruik van het beveiligingslek om een script te uploaden dat een RSA-authenticatiesleutel aan de SSH-server toevoegt. Op deze manier kunnen de aanvallers via SSH als root inloggen en zo de server volledig overnemen. Vervolgens wordt er een cryptominer geïnstalleerd, zo laat onderzoeker Amit Serper van securitybedrijf Cybereason in een blogpost weten. Tevens installeren de aanvallers een poortscanner die naar andere kwetsbare mailservers zoekt. Volgens Serper lopen meer dan 3,5 miljoen mailservers risico om te worden aangevallen. Beheerders krijgen het advies om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Daarnaast kan er worden gekeken naar de aanwezigheid van de RSA-sleutel van de aanvallers. bron: security.nl

Het lijkt mij wat omslachtig om iedere keer de batterij te wisselen door met je nagel de achterkant te openen. In dat geval zou ik toch gaan voor een powerbankje. Ik heb er zelf een met eigen zonnecellen. Dus die laad zichzelf weer op. Mocht je van telefoon wisselen en er een zoeken met een lange batterijduur: ik ben zelf erg tevreden over mijn eigen telefoon, de CAT S41. Deze heb ik vorig jaar aangeschaft omdat ik met mijn hobby (metaal detectie) veel zoek ik de modder en dus een stevig toestel wilde hebben. Hij is waterdicht, stof en val-vrij en doet dik vijf dagen met een volle batterij: https://www.coolblue.nl/product/793347/cat-s41.html

Het uitfaseren van wachtwoorden verhoogt de kosten voor aanvallers en moet daarom worden gedaan, zo stelt Ann Johnson, vicepresident van de Microsoft Enterprise Cybersecurity Group. Volgens Johnson is phishing nog altijd de voornaamste manier waardoor aanvallers toegang tot accounts weten te krijgen. "Daarom proberen we wachtwoorden uit het ecosysteem te krijgen: we willen dat iedereen wachtwoordloos wordt. Als we wachtwoorden uitfaseren gaan de kosten van een aanval omhoog. En dat is wat je wilt, we willen de kosten van aanvallen verhogen", aldus Johnson in een interview met The Irish Times. Eerder deze week liet Microsoft via de eigen website weten dat het van Windows 10 een "wachtwoordloos platform" wil maken. Met de lancering van de Windows 10 May 2019 Update kunnen gebruikers nu op allerlei manieren accounts zonder wachtwoord aanmaken. In plaats van wachtwoorden ziet Johnson een oplossing in biometrie, zowel voor eindgebruikers als personeel van bedrijven. "Aan het eind van de dag zijn wachtwoorden veel minder betrouwbaar dan biometrie", zo laat ze weten. Toch zijn niet alle experts over biometrie te spreken. "Biometrie is eenvoudig te stelen. Je laat je vingerafdrukken op alles wat je aanraakt achter, je irisscan overal waar je kijkt", aldus beveiligingsexpert Bruce Schneier in 1998. De expert merkt verder op dat het eenvoudig is om wachtwoorden te wijzigen, maar dat dit bij vingerafdrukken niet mogelijk is. "Biometrie is eenvoudig, gemakkelijk en wanneer goed gebruikt erg veilig. Het is alleen geen wondermiddel." Internet of Things Tevens laat Johnson in het interview met The Irish Times weten dat ze geen smart speakers in haar woning heeft. "En dat ben ik ook niet van plan. We hebben allemaal een grens van wat acceptabel is. Ik heb ook nauwelijks Internet of Things-apparaten in huis." bron: security.nl

Tijdens een Europese operatie tegen namaakgoederen die door Europol werd gecoördineerd zijn ruim 3.000 malafide webwinkels uit de lucht gehaald en meer dan 16.000 socialmedia-accounts geblokkeerd. De 3300 websites boden namaakgoederen aan, zoals kleding en accessoires, sportspullen, medicijnen, auto-onderdelen, mobiele telefoons, elektronische apparaten en onderdelen, parfum en cosmetica. Tevens werden 30 verdachten aangehouden en 4,7 miljoen namaakgoederen in beslag genomen. Volgens Europol blijven criminele bendes gebruikmaken van de mogelijkheden die websites, social media en instant messaging bieden om namaakgoederen aan de man te brengen. "De exponentiële groei van internetplatforms heeft ook invloed op de ontwikkeling van online marktplaatsen, bekend als e-stores, die als alternatieve retailkanalen worden gezien", aldus de opsporingsdienst. Europol zegt dat het daarom meer gaat doen om de online verkoop van namaakgoederen te onderzoeken. "Om de dreiging tegen te gaan is Europol de omvang van het probleem aan het onderzoeken, bewijs aan het verzamelen en social media en verkoopplatforms aan het monitoren." bron: security.nl

In tegenstelling tot wat sommige mensen denken is Google niet van plan om adblockers in Chrome te blokkeren of beperken, zo heeft de internetgigant in een blogposting aangekondigd. In plaats daarvan wil het ontwikkelaars "helpen" met het maken van adblockers die de privacy van gebruikers beschermen. De afgelopen maanden klaagden verschillende adblocker-ontwikkelaars over het plan van Google om een programmeerinterface waar onder andere adblockers gebruik van maken te vervangen door een oplossing die minder mogelijkheden zou bieden. Google kwam eind mei opnieuw onder vuur te liggen omdat het van plan was om "blocking" alleen voor Chrome-installaties bij organisaties mogelijk te maken. Nu stelt Google dat het met de aanpassingen alleen de privacy van gebruikers wil beschermen. Op dit moment heeft een adblocker bij het verwerken van een netwerkverzoek van de gebruiker toegang tot alle informatie van dit verzoek. Het kan dan om gevoelige informatie gaan zoals foto's en e-mails, aldus Google. Het wil daarom de gebruikte programmeerinterface, de Web Request API, vervangen door een verzameling van aanpassingen die Manifest V3 worden genoemd. Volgens Google maakte 42 procent van de kwaadaardige Chrome-extensies sinds januari 2018 gebruik van de Web Request API. Naast de veiligheid zou deze interface ook impact op de prestaties van de browser hebben. Met Manifest V3 kunnen adblockers nog steeds advertenties blokkeren, maar zonder dat ze toegang tot alle gegevens van het netwerkverzoek nodig hebben. Dit zou de privacy van gebruikers moeten beschermen. "We begrijpen dat deze veranderingen ervoor zorgen dat ontwikkelaars de werking van hun extensies moeten aanpassen. We denken dat dit de juiste keuze is om gebruikers de gevoelige data die ze met derde partijen delen te laten beperken, terwijl ze de mogelijkheid hebben om hun eigen browse-ervaring te bepalen", aldus Devlin Cronin van het Chrome Extensions Team. bron: security.nl

Fysieke beveiligingssleutels moeten gebruikers extra bescherming bieden tijdens het inloggen op hun accounts, maar een misconfiguratie in het pairing-protocol van bluetooth-beveiligingssleutels maakt gebruikers juist kwetsbaar voor aanvallen. Door deze kwetsbaarheid kan een aanvaller in de buurt van een gebruiker met diens sleutel communiceren of communiceren met het apparaat waarmee de sleutel is gepaird. De aanvaller zou moeten toeslaan op het moment dat de gebruiker zijn sleutel met een apparaat pairt of wanneer hij op een account wil inloggen. Vorige maand besloot Google vanwege dit probleem de eigen Titan-beveiligingssleutels terug te roepen. Volgens Google raakt de kwetsbaarheid niet de primaire functie van de beveiligingssleutel, namelijk het beschermen tegen phishing. Gebruikers kregen dan ook het advies om hun Titan-beveiligingssleutel te blijven gebruiken terwijl het vervangende exemplaar onderweg is. Sinds gisteren heeft Microsoft besloten om het pairen van kwetsbare bluetooth-beveiligingssleutels op Windows te blokkeren. Het gaat niet alleen om de Titan-sleutel van Google, maar ook om de Feitian Multipass. Net als Google biedt ook Feitian gebruikers een vervangend exemplaar aan. bron: security.nl

De Duitse overheid heeft opnieuw een waarschuwing gegeven voor het BlueKeep-lek in Windows, waardoor aanvallers op afstand kwetsbare systemen kunnen overnemen. Naar schatting zijn er in Duitsland zo'n 14.000 systemen via internet toegankelijk die de beschikbare update missen. De kwetsbaarheid in Windows Remote Desktop Services werd vorige maand door Microsoft gepatcht. Een aantal dagen later kwamen de Duitse en Nederlandse overheid met de oproep om de update te installeren. Sinds het uitkomen van de beveiligingsupdate zijn er verschillende exploits verschenen waarmee het mogelijk is om kwetsbare systemen te laten crashen of over te nemen. Daadwerkelijke aanvallen zijn echter nog niet waargenomen. Wereldwijd werden ongeveer een miljoen kwetsbare systemen geteld die via internet toegankelijk zijn. Er wordt aangenomen dat het aantal ongepatchte computers in bedrijfsnetwerken veel groter is. Een aanvaller die één systeem van een organisatie weet te compromitteren kan zo eenvoudig andere machines aanvallen. Het probleem speelt bij Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar. "We hebben hier een buitengewone kwetsbaarheid met een enorm potentieel voor schade, en alle bedrijven en organisaties hebben de mogelijkheid om zich effectief tegen cyberaanvallen te beschermen en een crisisscenario te voorkomen", zegt Arne Schönbohm, directeur van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI adviseert organisaties om de patch zo snel als mogelijk te installeren. Eerder kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid met een soortgelijke waarschuwing en advies. "Deze kwetsbaarheden hebben de potentie om grootschalig te worden gebruikt, zo blijkt uit het verleden. Een recent voorbeeld daarvan is de WannaCry-uitbraak. Het NCSC wil daarom nogmaals benadrukken dat het belangrijk is om de patch uit te voeren." bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een beveiligingslek onthuld waardoor het mogelijk is om Windows-servers op afstand te laten vastlopen en een update van Microsoft is nog niet beschikbaar. De kwetsbaarheid bevindt zich in SymCrypt, een library die Windows voor alle encryptietoepassingen gebruikt. Een aanvaller kan via het beveiligingslek alle processen en programma's die iets met encryptie doen laten vastlopen, waaronder antivirussoftware. De kwetsbaarheid is onder andere te misbruiken door een malafide e-mail te versturen. "Ik bestempel de ernst van het lek als 'laag', hoewel je er vrij snel een gehele Windows-vloot mee kunt uitschakelen", aldus de onderzoeker. Afhankelijk van de context kan het nodig zijn om getroffen servers te herstarten. Ormandy waarschuwde Microsoft op 13 maart van dit jaar. Vervolgens kreeg Microsoft 90 dagen de tijd om het probleem te verhelpen. De softwaregigant kwam niet binnen deze deadline met een beveiligingsupdate, waarop Ormandy de details nu openbaar heeft gemaakt. Microsoft liet de onderzoeker weten dat het probleem met de updates van juli wordt gepatcht. Ormandy heeft in het verleden vaker kwetsbaarheden in Microsoft-producten onthuld waarvoor nog geen patch beschikbaar was. bron: security.nl

Onderzoekers van verschillende universiteiten hebben een nieuwe aanval op DDR-geheugen gedemonstreerd die het mogelijk maakt om encryptiesleutels en andere gevoelige data uit te lezen. De aanval, die RAMBleed wordt genoemd, werkt ook tegen ECC-geheugen dat in servers wordt gebruikt. RAMBled is gebaseerd op de Rowhammer-aanval, die het mogelijk maakt voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. Bij de RAMBleed-aanval bekijkt een aanvaller geflipte bits in zijn eigen geheugen en kan zo de waardes van nabijgelegen DRAM-rijen afleiden. Zo is RAMBleed niet alleen een dreiging voor de integriteit, maar ook voor de vertrouwelijkheid. Een aanvaller kan namelijk data in het fysieke geheugen van de computer uitlezen. "Omdat het fysieke geheugen door alle processen in het systeem wordt gedeeld, lopen alle processen hierdoor risico", aldus de onderzoekers. Een ander verschil is dat RAMBleed geen persistente geflipte bits vereist en zodoende ook tegen ECC-geheugen werkt. De onderzoekers hebben gedemonstreerde hoe ze via RAMBleed een RSA-sleutel in het geheugen kunnen uitlezen, maar in principe is het mogelijk om via de aanval alle data in het geheugen te benaderen. Om zich tegen de RAMBleed-aanval te beschermen krijgen gebruikers en organisaties het advies om naar DDR4 geheugen te upgraden waar targeted row refresh (TRR) is ingeschakeld. Dit maakt het lastiger om de aanval uit te voeren. Daarnaast moet een aanvaller voor het uitvoeren van RAMBleed in staat zijn om lokaal code op het systeem uit te voeren. De aanval is dan ook vooral een risico voor omgevingen waar meerdere gebruikers een systeem delen, zoals bijvoorbeeld bij shared hosting. bron: security.nl

De FBI waarschuwt voor phishingsites die van https gebruikmaken, omdat dit steeds meer voorkomt. Volgens de Amerikaanse opsporingsdienst wordt gebruikers tijdens cybersecuritytrainingen geleerd om naar de aanwezigheid van het slot-icoon te kijken dat hij https-sites wordt getoond. "De aanwezigheid van "https" en het slot-icoon worden geacht aan te geven dat het webverkeer is versleuteld en bezoekers gegevens veilig kunnen delen. Helaas maken cybercriminelen misbruik van het vertrouwen dat het publiek in "https" en het slot-icoon heeft", aldus de FBI. Steeds vaker zouden phishingsites van https gebruikmaken. De opsporingsdienst adviseert dan ook om websites niet alleen maar te vertrouwen omdat er een slot-icoon of https in de adresbalk verschijnt. Wie van een bekend contact een verdachte e-mail met een link ontvangt, wordt door de FBI aangeraden om de persoon te bellen of te mailen om te controleren dat de link legitiem is. Gebruikers moeten geen reply op de verdachte e-mail versturen. Tevens wordt er aangeraden om naar spelfouten of verkeerde domeinen in de link te kijken. bron: security.nl

Mozilla heeft een abonnementsdienst voor Firefox aangekondigd, die later dit jaar gelanceerd zou moeten worden. De browserontwikkelaar wil op deze manier extra inkomsten genereren en zo minder afhankelijk van Google worden, dat voor het grootste deel van de inkomsten verantwoordelijk is. Google betaalt Mozilla voor het zoekverkeer dat Firefox naar de zoekmachine genereert. Mozilla werkt echter aan drie inkomstenbronnen die uiteindelijk gelijkwaardig moeten worden. Naast geld van zoekmachines gaat het ook om Pocket, dat gesponsorde content aan Firefoxgebruikers aanbiedt, en verschillende abonnementsdiensten. Eén van deze diensten zal een "premium versie" van Firefox worden. "Je kunt je voorstellen dat we een oplossing aanbieden die je een bepaalde hoeveelheid gratis vpn-verkeer geeft en dan een premium niveau voor een maandelijks bedrag aanbiedt", zegt ceo Chris Beard in een interview met t3n magazine. Vorig jaar besloot Mozilla al om de vpn-dienst van ProtonVPN aan gebruikers aan te bieden, die hier maandelijks voor betalen. Mozilla heeft echter plannen om meer abonnementsdiensten te onderzoeken, aldus Beard. Het plan is om de eerste abonnementsdienst in oktober uit te rollen. Beard benadrukt dat dingen die nu gratis zijn straks ook gratis zullen blijven. bron: security.nl

Microsoft waarschuwt gebruikers en organisaties via Twitter voor een nieuwe aanvalscampagne waarbij aanvaller van een oude en bekende kwetsbaarheid in Microsoft Office gebruikmaken. Het beveiligingslek werd op 14 november 2017 door Microsoft gepatcht. Ruim anderhalf jaar later zijn er nog steeds gebruikers en organisaties die de beschikbare beveiligingsupdate niet hebben geïnstalleerd. Microsoft heeft een campagne in "Europese talen" waargenomen waarbij aanvallers een kwaadaardige RTF-document versturen. Zodra het document met een kwetsbare versie van Microsoft Word wordt geopend, zal de exploit in het document een backdoor op het systeem installeren. Onlangs maakte antivirusbedrijf ESET bekend dat criminelen verschillende oude Office-lekken, waaronder deze kwetsbaarheid, hadden gebruikt om met succes de systemen van een niet nader genoemde bank te infecteren. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven. bron: security.nl

Microsoft brengt geen beveiligingsupdate voor een aanval waardoor het mogelijk is om op afstand een vergrendelde RDP-sessie te ontgrendelen. Windows remote desktopprotocol (RDP) ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten. Een aanvaller die toegang heeft tot het systeem dat als RDP-client wordt gebruikt kan de netwerkverbinding verbreken en zo het remote systeem ontgrendelen en zonder inloggegevens inloggen. Volgens Microsoft komt het scenario niet in aanmerking voor een beveiligingsupdate, aangezien Server 2019 zich aan de regels van Network Level Authentication houdt, waarbij de client zolang die verbonden is met het systeem de inloggegevens zal cachen en gebruiken als de verbinding wordt hervat. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken. Een andere oplossing is "automatic reconnection" op RDP-servers uit te schakelen, aldus Will Dormann van het CERT/CC. bron: security.nl

Mozilla gaat op een privacyvriendelijke manier telemetriegegevens van een kleine groep Firefoxgebruikers verzamelen om trackers te bestrijden, zo heeft de browserontwikkelaar aangekondigd. Deze week kondigde Mozilla aan dat Firefox vanaf nu standaard third-party trackingcookies blokkeert. "We verwachten dat trackers hierop zullen reageren en in sommige gevallen zullen proberen om dit te omzeilen. We kunnen dit detecteren door te monitoren hoe onze blocklists in Firefox worden toegepast", zegt Mozillas Steven Englehardt. Het direct monitoren van de blocklists bij Firefoxgebruikers zou echter data vereisen die volgens Englehardt te gevoelig is om te verzamelen. Vorig jaar onthulde Mozilla een nieuw systeem om op een privacyvriendelijke manier telemetriegegevens te verzamelen. Prio, zoals het systeem heet, is ontwikkeld door wetenschappers van Stanford University. Het idee achter Prio is dat voor de meeste gevallen het niet nodig is om individuele data van gebruikers te verzamelen, maar alleen geaggregeerde gegevens. Prio, dat zich in het publieke domein bevindt, laat Mozilla geaggregeerde gegevens verzamelen, zonder dat de individuele data van gebruikers wordt verzameld. Mozilla heeft nu een aanvulling op Prio ontwikkeld genaamd Firefox Origin Telemetry. Deze toevoeging telt het aantal websites waarop de blocklist actief was, alsmede het aantal websites waar die vanwege compatibiliteitsuitzonderingen niet draaide. Door deze statistieken te monitoren kan Mozilla zien hoe trackers het blokkeren van de trackingcookies proberen te omzeilen. Prio vereist dat twee onafhankelijke partijen elk een apart deel van de telemetriegegevens verwerken. In het geval van de nu aangekondigde test zal dit niet gebeuren en verwerkt Mozilla alle data. De browserontwikkelaar zal daarom alleen maar gegevens verzamelen van 1 procent van de Firefox Nightly-gebruikers. Dit is een vroege testversie van Firefox. Daarnaast voldoet de test aan het dataverzamelingsbeleid van Firefox, aldus Englehardt. bron: security.nl