Captain Kirk

Securitybedrijf Rapid7 heeft een exploit voor het BlueKeep-lek in Windows aan de populaire securitytool Metasploit toegevoegd. Op dit moment zouden nog altijd 1 miljoen systemen die via internet toegankelijk zijn de beveiligingsupdate die de kwetsbaarheid verhelpt niet geïnstalleerd hebben. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Een community van ontwikkelaars maakt allerlei aanvullende modules voor de tool, waarmee de functionaliteit verder wordt vergroot. Deze ontwikkelaars hebben de oorspronkelijke versie van de nu toegevoegde module ontwikkeld, zo laat Rapid7 weten. BlueKeep is de naam voor een beveiligingslek in Remote Desktop Services (RDS) van Windows, waardoor systemen op afstand via het remote desktopprotocol zijn over te nemen. Het beveiligingslek, aanwezig in Windows XP, Server 2003, Vista, Windows 7 en Server 2008, werd op 14 mei door Microsoft gepatcht. Zowel Microsoft als allerlei overheidsinstanties wereldwijd waarschuwden de afgelopen maanden om de update te installeren, aangezien anders een computerworm zich via de kwetsbaarheid zou kunnen verspreiden. De BlueKeep-module in Metasploit is alleen geschikt voor 64-bit versies van Windows 7 en Windows 2008. Daarnaast moeten gebruikers handmatig een doelwit opgeven, het is op dit moment niet mogelijk om automatisch aanvallen uit te laten voeren. Gebruikers moeten daarnaast ook kennis van het kernelgeheugen van Windows hebben, anders is het niet mogelijk om de exploit goed uit te voeren. "Democratische toegang tot de mogelijkheden van aanvallers, waaronder exploits, is essentieel voor verdedigers - met name die op opensourcetools vertrouwen om risico's te begrijpen en vermijden", zegt Brent Cook van Rapid7. Cook wijst op een scan van BinaryEdge waaruit blijkt dat er nog altijd meer dan 1 miljoen systemen op internet zijn te vinden die kwetsbaar voor BlueKeep zijn. bron: security.nl

In de populaire e-mailserversoftware Exim is een nieuw beveiligingslek ontdekt waardoor het mogelijk is voor aanvallers om op afstand code met rootrechten uit te voeren. Op minstens 183.000 systemen in Nederland draait een Exim-mailserver, zo meldt het Nationaal Cyber Security Centrum (NCSC). Exim-servers die tls-verbindingen toestaan zijn kwetsbaar, zo blijkt uit een aankondiging op de Exim-mailinglist. De kwetsbaarheid kan bij het opzetten van de tls-verbinding met de mailserver worden misbruikt. Een oplossing die de aanval voorkomt is het niet aanbieden van tls, maar dit wordt door de Exim-ontwikkelaars afgeraden. Beheerders krijgen dan ook het advies om te updaten naar Exim 4.92.2 waarin het beveiligingslek is verholpen. Op dit moment zijn de ontwikkelaars nog niet bekend met exploits die van de kwetsbaarheid misbruik maken. Wel is er een rudimentaire proof-of-concept beschikbaar. In juni werden nog duizenden mailservers via een ander beveiligingslek in Exim door een worm aangevallen. Microsoft besloot klanten die Exim op het Azure-cloudplatform draaiden voor deze worm te waarschuwen. Het NCSC stelt dat de kans aanwezig is dat kwaadwillenden op korte termijn misbruik van het lek zullen maken. Een Canadees consultancybedrijf dat op 1 september bijna 888.000 mailservers analyseerde ontdekte dat Exim op 507.000 van de servers draaide, wat neerkomt op een aandeel van 57 procent. Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. Deze versie, 4.92.1, was vanwege een ander beveiligingslek in de software uitgekomen. bron: security.nl

Er is een nieuwe versie van WordPress verschenen die meerdere kwetsbaarheden verhelpt waardoor een aanvaller toegang tot websites had kunnen krijgen. WordPress 5.2.3 verhelpt in totaal acht beveiligingslekken, waarvan zeven keer cross-site scripting (XSS). Bij XSS plaatst een aanvaller code op een website die vervolgens in de browser van bezoekers wordt uitgevoerd. De nu verholpen XSS-lekken zijn dan ook voornamelijk een probleem voor websites die bezoekers en gebruikers toestaan om reacties te plaatsen. Een aanvaller zou een reactie met XSS-code kunnen achterlaten. Zodra de beheerder dit bericht bekijkt wordt de XSS-code in zijn browser uitgevoerd en kan de aanvaller een nieuwe beheerder aanmaken. Een andere aanvalsvector voor de XSS-lekken is het sturen van een kwaadaardige link naar een ingelogde beheerder. De achtste kwetsbaarheid betrof een open redirect waardoor gebruikers naar andere url's konden worden doorgestuurd. WordPress ging niet goed om met het valideren en sanitizen van een url, waardoor een open redirect mogelikj was. Zodoende had een aanvaller een link kunnen maken die begon met de vertrouwde kwetsbare website, maar vervolgens zou uitkomen op een malafide site. Dergelijke kwetsbaarheden worden vaak bij phishingaanvallen gebruikt, stelt securitybedrijf Wordfence. Updaten naar WordPress 5.2.3 kan via de automatische updatefunctie of het WordPress-dashboard. bron: security.nl

Whoow, respect hiervoor!

Dataplatform Segment heeft klanten gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot een bedrijfssysteem met klantgegevens. Segment is een startup die bedrijven helpt met het beheer van de data die ze over hun klanten en gebruikers verzamelen. Tussen 26 en 31 augustus wist een aanvaller het account van een Segment-medewerker te compromitteren en op een webapplicatie van het bedrijf in te loggen. Via de applicatie kreeg de aanvaller twee maanden aan data in handen van hoe bedrijven Segment gebruiken, alsmede accountgegevens. Het gaat dan om e-mailadressen, namen, ip-adressen en Segment "write keys". Dit zijn unieke identifiers waarmee Segment kan zien waar verzamelde data vandaan komt en naar welke bestemming het moet. Bij dertien klanten wist de aanvaller ook toegang tot de workspaces te krijgen. Workspaces bevatten alle databronnen die een bedrijf via Segment beheert. Volgens de startup heeft het meer dan 15.000 klanten. Naar aanleiding van het incident heeft Segment de wachtwoorden en sessies van alle medewerkers gereset en multifactorauthenticatie verplicht. Hoe de aanvaller het account van de Segment-medewerker kon compromitteren is niet bekendgemaakt. bron: security.nl

Onderzoekers hebben malware ontdekt die zowel Windowssystemen als MikroTik-routers aanvalt. De malware wordt door antivirusbedrijf Trend Micro Glupteba en verspreidt zich via social engineering. De makers van de malware maken namelijk gebruik van malafide advertenties op downloadsites. Deze advertenties bieden een download aan die in werkelijkheid de malware is. Zodra de gebruiker het gedownloade bestand opent worden er allerlei gegevens uit Chrome, Opera en de Yandex-browser gestolen, zoals cookies, browsegeschiedenis, gebruikersnamen en wachtwoorden. Daarnaast probeert de malware vanaf het besmette systeem MikroTik-routers in het lokale netwerk aan te vallen. Hiervoor maakt de malware gebruik van een kwetsbaarheid in Winbox die vorig jaar april door MikroTik werd gepatcht. Via het beveiligingslek kan er toegang tot de gebruikersdatabase en zodoende het beheerderswachtwoord worden verkregen. Het wachtwoord wordt vervolgens naar de aanvallers gestuurd. Vervolgens worden verschillende services zoals Telnet en Winbox op de router uitgeschakeld. Dit wordt waarschijnlijk gedaan om te voorkomen dat andere aanvallers de router via dezelfde kwetsbaarheid overnemen, zo stellen de onderzoekers. Als laatste wordt de router als proxy ingesteld om kwaadaardig verkeer door te sturen, zoals spam. "Bij het instellen van routers moet security de hoogste prioriteit krijgen", zegt onderzoeker Jaromir Horejsi van Trend Micro. "De meeste apparaten in woningen en kantoren zijn met deze apparaten verbonden en kunnen worden getroffen wanneer een router is gecompromitteerd." bron: security.nl

Mozilla is voorlopig niet van plan om adblockers voor Firefox te beperken, zo heeft het laten weten na ophef over aanpassingen die Google binnen Chrome wil doorvoeren. Google biedt extensie-ontwikkelaars verschillende programmeerinterfaces (API's) waar ze binnen hun extensie gebruik van kunnen maken. Vorig jaar november liet Google weten dat het in versie drie van deze API's veranderingen wil doorvoeren die gevolgen voor adblockers zullen hebben. Adblockers maken gebruik van een API genaamd "blocking webRequest", waarmee ze in- en uitgaand verkeer van de browser kunnen onderscheppen, blokkeren, doorsturen of aanpassen. Google heeft een nieuwe API voorgesteld genaamd "declarativeNetRequest". Deze API beperkt de mogelijkheden van adblockers door het aantal regels alsmede het aantal beschikbare filters en acties te beperken, aldus Mozilla. Adblockers zouden hierdoor requests van de browser alleen nog kunnen observeren en niet meer aanpassen of blokkeren. Sommige ontwikkelaars van adblockers stelden dat ze hierdoor hun extensie niet meer konden beheren of dat de functionaliteit zou worden beperkt. Google stelde in een tegenreactie dat het adblockers niet gaat blokkeren, maar ontwikkelaars moeten hun extensie nog steeds aanpassen en krijgen minder mogelijkheden. De huidige versie 2 van de Chrome API is bijna honderd procent compatibel met de API van Firefox. Mozilla laat echter weten dat het niet alle aanpassingen van Google zal volgen. Zo is de browserontwikkelaar voorlopig niet van plan om de WebRequest-API te verwijderen en wordt er nu met extensie-ontwikkelaars samengewerkt om te kijken hoe ze de API gebruiken en hoe Mozilla ze kan ondersteunen. Aangezien de aanpassingen die Google wil doorvoeren nog niet definitief zijn kan Mozilla nog niet zeggen welke aanpassingen ontwikkelaars van Firefox-extensies moeten doorvoeren. bron: security.nl

Op internet zijn meer dan 47.000 Supermicro-servers te vinden die een aanvaller de mogelijkheid bieden om op afstand willekeurige usb-apparaten te mounte, zo stelt securitybedrijf Eclypsium in een vandaag verschenen analyse. Het probleem zit in de baseboard management controllers (BMCs) van de servers. Via een BMC kan een beheerder de server beheren en het is dan ook een belangrijk onderdeel. In het geval van de BMCs van de Supermicro X9-, X10- en X11-platformen spelen er verschillende problemen in de manier waarop de platformen virtuele media implementeren. Via deze optie is het mogelijk om op afstand een disk image als een virtuele usb cd-rom of floppy drive aan te sluiten. Wanneer de virtual media service van de BMCs op afstand wordt benaderd staat die plaintext-authenticatie toe, verstuurt het meeste verkeer onversleuteld en gebruikt voor de rest een zwak encryptiealgoritme. Daarnaast is het mogelijk om de authenticatie te omzeilen. Dit maakt het mogelijk voor aanvallers om toegang tot de server te krijgen door de authenticatiedata van de gebruiker te onderscheppen, standaardwachtwoorden te gebruiken en in sommige gevallen zonder wachtwoord in te loggen. Zodra de aanvaller toegang heeft kan die via virtual media service op dezelfde manier het systeem bedienen als wanneer hij fysieke toegang tot de usb-poort zou hebben. Zo is het mogelijk om een nieuw besturingssysteem te laden, keyboard en muis te bedienen en zo de server aan te passen, malware te installeren of het systeem in zijn geheel uit te schakelen. Eclypsium waarschuwde Supermicro in juni en juli van dit jaar. De computerfabrikant heeft vandaag beveiligingsupdates uitgebracht. Het securitybedrijf wilde weten hoe groot het probleem is en voerde een scan uit op tcp-poort 623, waardoor de BMCs toegankelijk zijn. Er werden meer dan 47.000 Supermicro-servers in negentig landen ontdekt waar dit het geval is. Volgens de onderzoekers alsmede Supermicro is het belangrijk dat BMCs nooit direct toegankelijk vanaf het internet zijn. bron: security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een softwareplatform gelanceerd dat als 'omgekeerde firewall' voor Internet of Things-apparaten moet dienen. De oplossing heet SPIN , wat staat voor Security and Privacy for In-home Networks. De SPIN-software is gebaseerd op OpenWRT, een populair opensourcebesturingssysteem dat voornamelijk voor routers wordt gebruikt. SPIN heeft als doel om het internet te beschermen tegen aanvallen die via gecompromitteerde IoT-apparaten worden uitgevoerd. Het gaat dan bijvoorbeeld om ddos-aanvallen. De software fungeert als een 'omgekeerde firewall' en blokkeert aanvalsverkeer van IoT-apparaten dat vanaf het thuisnetwerk van de gebruiker afkomstig is. "Op dezelfde manier beschermt SPIN ook gebruikers tegen bijvoorbeeld het lekken van privacygevoelige informatie door IoT-apparaten naar diensten op het internet", aldus de SIDN. De software inspecteert het netwerkverkeer dat via de router loopt en zodra het verdacht verkeer ziet wordt dit geblokkeerd. Volgens de SIDN is SPIN nu naar een productiewaardig niveau getild en is het klaar voor integratie met marktpartijen. Het Zwitserse EmbeDD, dat zich richt op de ontwikkeling van software voor modems en routers, is de eerste partner om SPIN verder op de markt te brengen. Zo integreert het Zwitserse bedrijf SPIN in hun zelfontwikkelde opensourceroutersoftware DD-WRT. Daarnaast hebben de SIDN en EmbeDD een oplossing ontwikkeld om SPIN in OpenWrt te integreren. SPIN verwerkt alle gegevens lokaal. Volgens de SIDN verlaten persoonlijke gegevens dan ook nooit het apparaat. Wel kan via de gebruikersinterface het surfgedrag van iedereen in het netwerk zichtbaar worden. Het is echter mogelijk om apparaten niet weer te geven. Verder blijkt dat SPIN voor de inspectie van netwerkverkeer geen gebruikmaakt van deep packet inspection. In plaats daarvan worden verkeerspatronen van apparaten vergeleken met het gedrag dat de fabrikant specificeert en dat van bekende dreigingen afkomstig is zoals de Mirai-malware. Doordat SPIN opensourcesoftware is kan de gemeenschap het verder doorontwikkelen. SIDN zal zich gaan richten op het inzetten en doorontwikkelen van SPIN als meettool voor onderzoeksdoeleinden, wat ook het oorspronkelijke doel was. "Op die manier blijven we met behulp van SPIN bijdragen aan een veiliger internet(-of-things)", zo laat de Stichting weten. bron: security.nl

Onderzoekers van securitybedrijf Devcore hebben toegang tot het intranet van Twitter gekregen omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. Uiteindelijk lukte het de onderzoekers zelfs om de vpn-server van Twitter over te nemen. De Pulse Secure vpn-oplossing waar Twitter gebruik van maakt laat werknemers op afstand verbinding met het bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang, die Pulse Secure over het probleem informeerden. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold. Daarop besloten de onderzoekers Twitter via het vpn-lek aan te vallen en kregen zo toegang tot het intranet van het bedrijf. Het doel van Tsai en Chang was echter om willekeurige code op de server uit te voeren. Dit was mogelijk via de wachtwoorden van managers die op de vpn-oplossing hadden ingelogd. De wachtwoorden die de onderzoekers vonden waren echter gesalt en gehasht. Ze wisten door gebruik te maken van Amazon Web Services een wachtwoordhash uiteindelijk te kraken. "Ik denk dat we mazzel hebben gehad. Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt. Het wachtwoord van de manager bestaat uit slechts tien karakters en het eerste karakter is een B", aldus Tsai. De wachtwoordhash kon in drie uur worden gekraakt, waarna remote code execution mogelijk was. De onderzoekers waarschuwden Twitter, waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. "Hoewel we het niet kunnen bewijzen, lijkt dit de eerste remote code execution op Twitter te zijn geweest", stelt Tsai. In een analyse van het beveiligingslek laat de onderzoeker verder zien hoe vpn-clients die met de gecompromitteerde vpn-server verbinding maakten konden worden overgenomen. Gisteren werd bekend dat ook in Nederland nog tientallen bedrijven de update niet hebben geïnstalleerd. bron: security.nl

Onderzoekers hebben ontdekt dat cybercriminelen nepberichten op gekaapte WordPress-sites plaatsen om zo ransomware te verspreiden. De criminelen injecteren JavaScript op de websites waarmee er een zogenaamd "Questions and Answers" forumbericht over de bestaande content van de site wordt geplaatst. Dit forumbericht heeft betrekking op het onderwerp van de website en bevat een bericht dat van de websitebeheerder afkomstig zou zijn. Dit bericht bevat weer een link naar een zip-bestand dat de Sodinokibi-ransomware bevat, zo stelt een Canadese onderzoeker met het alias Aura op Twitter. Wanneer het bestand wordt geopend zal de ransomware allerlei bestanden op de computer versleutelen. Het zogenaamde forumbericht wordt alleen getoond aan nieuwe bezoekers en bezoekers die de website enige tijd niet hebben bezocht. Zodra bezoekers de website herladen wordt de originele content van de site weergegeven, laat Bleeping Computer weten. Hoe de WordPress-sites precies worden overgenomen wordt niet door de onderzoeker gemeld. Dit weekend werd echter een nieuwe aanvalscampagne ontdekt waarbij aanvallers van kwetsbaarheden in minstens elf plug-ins gebruikmaken om WordPress-sites aan te vallen. bron: security.nl

Google kwam onlangs met het plan voor privacyvriendelijke gerichte advertenties, maar volgens de Amerikaanse burgerrechtenbeweging EFF is het de internetgigant helemaal niet te doen om de privacy van gebruikers en kijkt het alleen naar de eigen winst. Onderzoekers van Princeton University hadden onlangs ook hun kritiek geuit op de Privacy Sandbox, zoals Google het plan noemt. De Privacy Sandbox bestaat uit verschillende maatregelen die gerichte advertenties mogelijk moeten maken, terwijl de privacy van gebruikers zou worden beschermd. Volgens de internetgigant is het blokkeren van third-party cookies, die nu op grote schaal worden ingezet om internetgebruikers op het web te volgen, schadelijk voor de privacy van deze gebruikers. Het zou adverteerders namelijk dwingen om andere technieken toe te passen, zoals fingerprinting. Een lachwekkende claim, stelt Bennett Cyphers van de EFF. Het gebruik van trackingcookies is volgens hem juist de manier waarop Google mensen online volgt. Apple en Mozilla zijn daarentegen bezig om zowel trackingcookies als fingerprinting te blokkeren. Dat neemt niet weg dat het voorstel van Google ook positieve punten bevat. Het zou door het gebruik van "trust tokens" namelijk voor minder captcha's moeten zorgen en fingerprinting beperken. De rest van het voorstel is middelmatig tot regelrecht gevaarlijk, aldus Cyphers. Het plan biedt namelijk nog steeds ruimte om internetgebruikers te profileren. Daarnaast zou het gebruikers aan de hand van bepaalde kenmerken in groepen onderbrengen die nog steeds gevoelige informatie aan derde partijen prijsgeven. "Een groepsnaam zou eigenlijk gewoon een gedragskredietscore zijn: een tatoeage op je digitale voorhoofd die een beknopte samenvatting bevat van wie je bent, waarvan je houdt, waar je naar toe gaat, wat je koopt en met wie je omgaat", gaat Cyphers verder. De EFF is dan ook van mening dat de Privacy Sandbox gebruikers helemaal niet helpt. Google zou juist voorsorteren op een mogelijke toekomst zonder trackingcookies en verdedigt nu op twee fronten het businessmodel. Aan de ene kant roept het bedrijf dat third-party cookies prima zijn. Aan de andere kant wil het de werking van trackingcookies vervangen door de "Privacy Sandbox", zodat het gerichte advertenties kan blijven tonen mochten third-party cookies verdwijnen. "De Sandbox gaat niet over de privacy van gebruikers. Het gaat om Googles netto winst. Aan het eind van de dag is Google een advertentiebedrijf dat ook een browser blijkt te maken", besluit Cyphers . bron: security.nl

WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in minstens elf plug-ins, zo waarschuwt securitybedrijf Wordfence. Via de kwetsbaarheden wordt kwaadaardige JavaScript-code op de websites geïnjecteerd. Deze code stuurt bezoekers door naar malafide websites. Daarnaast wordt geprobeerd om een backdoor te installeren om zo toegang tot de kwetsbare websites te krijgen. De kwetsbaarheden zijn aanwezig in Bold Page Builder, Blog Designer, Live Chat with Facebook Messenger, Yuzo Related Posts, Visual CSS Style Editor, WP Live Chat Support, Form Lightbox, Hybrid Composer en alle voormalige Nicdark-plug-ins, waaronder Booking, Travel en Learning. Het meest recente beveiligingslek bevindt zich in de Bold Page Builder-plug-in en werd vier dagen geleden gepatcht. De kwetsbaarheid zou al voor het uitkomen van de update door criminelen zijn aangevallen. Meer dan 20.000 WordPress-sites maken gebruik van Bold Page Builder. Beheerders van WordPress-sites krijgen dan ook het advies om themes en plug-ins up-to-date te houden. bron: security.nl

In aanloop naar het einde van Adobe Flash Player is Microsoft niet van plan om het afspelen van Flash in Edge en Internet Explorer 11 standaard uit te schakelen, zo meldt de softwaregigant. Wel zal Microsoft Flash uitschakelen in de Chromium-versie van Edge en volgt daarmee Google en Mozilla. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is heeft Adobe besloten om de ondersteuning van de browserplug-in in 2020 te beëindigen. Alle browserontwikkelaars zullen de volledige ondersteuning van Flash volgend jaar geheel uit hun browser verwijderen. Eind juli lanceerde Google Chrome 76 waarin Flash standaard staat uitgeschakeld. Gebruikers kunnen de technologie nog wel per website inschakelen, maar zullen dit vervolgens voor elke website apart moeten bevestigen. Deze bevestiging moet na het herstarten van de browser opnieuw worden gegeven. Volgende week verschijnt Firefox 69 waarin Flash ook standaard zal zijn uitgeschakeld. Microsoft is echter niet van plan om voor Edge en Internet Explorer 11 een dergelijke update door te voeren. Voor gebruikers van deze twee browsers blijft de Flash-ervaring voor de rest van het jaar ongewijzigd. Microsoft stelt dat het in december 2020 de Flash-ondersteuning uit beide browsers verwijdert. Chrome heeft als letterlijke deadline "eind 2020" gegeven, wat ook geldt voor de op Chromium-gebaseerde versie van Edge. Mozilla zal Flash begin 2020 uit Firefox verwijderen. Alleen de Firefox Extended Support Release (ESR) zal tot eind volgend jaar Flash-ondersteuning blijven ontvangen. bron: security.nl

Softwarebedrijf Foxit Software, ontwikkelaar van de pdf-lezer Foxit Reader, is getroffen door een datalek. Aanvallers hebben gegevens van gebruikers gestolen die bij het bedrijf een account hadden aangemaakt. Het gaat om e-mailadressen, wachtwoorden, gebruikersnamen, telefoonnummers, bedrijfsnamen en ip-adressen. Betaalgegevens zijn niet buitgemaakt. Of de gestolen wachtwoorden waren gehasht laat Foxit Software in de aankondiging van het incident niet expliciet weten. Van alle getroffen gebruikers is het wachtwoord gereset. Door het aanmaken van een account bij de softwareontwikkelaar kunnen gebruikers toegang krijgen tot testversies, bestelgeschiedenis, productregistratie en supportinformatie. Hoe de aanvaller toegang tot het systeem kon krijgen en hoeveel gebruikers zijn getroffen is niet bekendgemaakt. Foxit Software zegt dat alle getroffen gebruikers zijn geïnformeerd en het een securitybedrijf heeft ingehuurd om de beveiliging aan te scherpen en toekomstige beveiligingsincidenten te voorkomen. bron: security.nl

Meer dan 2500 WordPress-sites draaien een script dat al vijf jaar niet meer wordt ondersteund en in het verleden op grote schaal is gebruikt om websites mee aan te vallen. Het gaat om TimThumb, een eenvoudig PHP-script om de afmetingen van afbeeldingen aan te passen. Een groot aantal WordPress-sites maakte er gebruik van. In 2011 werd er een kwetsbaarheid in het script ontdekt waardoor aanvallers willekeurige PHP-scripts naar websites met TimThumb konden uploaden. Jarenlang werd hier op grote schaal misbruik van gemaakt. Zo gebruikten aanvallers het lek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers met malware probeerde te infecteren. In 2014 maakte de ontwikkelaar bekend dat hij, mede vanwege de impact van het beveiligingslek, de ondersteuning en beheer van TimThumb stopte. Gebruik van het script was dan ook op eigen risico, aldus de ontwikkelaar. Nu vijf jaar later zijn er nog altijd 2512 websites waarop het script draait, zo stelt securitybedrijf Sucuri. Negentig procent van deze websites bleek een bekend kwaadaardig bestand te bevatten. "Dit houdt in dat er nog steeds kans op misbruik is via de bekende TimThumb-lekken. Het laat ook zien hoe belangrijk het is om onderdelen te gebruiken die actief worden beheerd en ondersteund", aldus onderzoeker Denis Sinegubko. bron: security.nl

In negen populaire WordPress-plug-ins zijn ernstige beveiligingslekken ontdekt waarmee het mogelijk is om de achterliggende website volledig over te nemen. De plug-ins hebben bij elkaar meer dan 1,5 miljoen actieve installaties en op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal met een 9 beoordeeld. "Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen", stelt onderzoeker Tin Duong van securitybedrijf Fortinet, dat de kwetsbaarheden ontdekte. Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. "SQL-injection is geen nieuwe techniek, maar het vormt altijd een serieuze beveiligingsdreiging voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen", merkt Duong op. Fortinet waarschuwde de betreffende ontwikkelaars die de afgelopen weken met updates kwamen. In de praktijk blijkt dat WordPress-gebruikers hun plug-ins niet altijd updaten en zo risico lopen om te worden aangevallen. De kwetsbaarheden zijn onder andere aanwezig in de plug-ins NextGEN Gallery, Photo Gallery en Popup Builder die respectievelijk meer dan 900.000, 300.000 en 100.000 actieve installaties hebben. bron: security.nl

Er is een nieuwe versie van het e-mailprogramma Thunderbird verschenen die tal van verbeteringen en aanpassingen bevat, waaronder op securitygebied. Zo zijn in Thunderbird 68 verbeteringen doorgevoerd aan de scamwaarschuwingen die gebruikers bij malafide e-mails te zien krijgen. Thunderbird waarschuwt gebruikers voor e-mails waarvan het vermoedt dat het om een kwaadaardig bericht gaat. Dit wordt op basis van verschillende eigenschappen van de e-mail gedaan, zoals onderwerp, inhoud en links. In het geval de scamwaarschuwing alleen op basis van een "bad" link is zal Thunderbird de waarschuwing voortaan alleen tonen als gebruikers de link ook daadwerkelijk openen. Dit moet voorkomen dat Thunderbird-gebruikers het tonen van scamwaarschuwingen wegens false positives uitschakelen. Tevens is de detectie van mogelijke phishing in berichten met bepaalde formulieren verbeterd en wordt het SMTP-wachtwoord dat de gebruiker heeft ingevoerd verwijderd bij het verwijderen van het betreffende account. Eerder werd het wachtwoord niet verwijderd als de gebruiker het account verwijderde of de server- of gebruikersnaam wijzigde. De e-mailclient geeft nu ook meer informatie als een bericht wegens een beveiligingsprobleem niet kan worden verstuurd. Eerst verscheen er alleen de melding "unknown error", maar nu krijgt de gebruiker meer details te zien. Vanwege alle aanpassingen ten opzichte van de vorige versies wordt Thunderbird 68 alleen als directe download via Thunderbird.net aangeboden en niet als upgrade voor Thunderbird 60.0 en eerder. Voor gebruikers van deze versies staat Thunderbird 68.1 gepland, die via de automatische updatefunctie zal worden geïnstalleerd. bron: security.nl

Het Tor Project is op zoek naar nieuwe servers om overheidscensuur te omzeilen, aangezien de huidige servers vroeger of later op een blocklist kunnen belanden. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Op dit moment zijn er zo'n duizend Tor-bridges, waarvan er zeshonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. "Helaas zijn deze aantallen al enige tijd onveranderd. Het is niet voldoende om veel bridges te hebben. Uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd", zegt Philipp Winter van het Tor Project. Winter stelt dat het vrij eenvoudig is om een Tor-bridge op te zetten en dat dit weinig risico's met zich meebrengt en weinig bandbreedte gebruikt. "Maar ze hebben een grote impact op mensen waar internet wordt gecensureerd", aldus de Tor Project-medewerker. Doordat de bridges niet openbaar zijn zullen ze waarschijnlijk niet voor veel abusemeldingen zorgen of door populaire diensten worden geblokkeerd. Het is al mogelijk om een Tor-bridge vanaf een thuisnetwerk met een statisch ip-adres te draaien, aldus Winter. Het Tor Project roept internetgebruikers op om een Tor-bridge te gaan draaien. Onder beheerders van deze nieuwe servers zal het Tor Project tien T-shirts verloten als ze de fingerprint van hun Tor-bridge doorsturen. bron: security.nl

De Franse politie heeft met behulp van antivirusbedrijf Avast een botnet van 850.000 computers uitgeschakeld en opgeschoond. De computers waren met de Retadup-malware besmet, die op geïnfecteerde machines een cryptominer, ransomware of wachtwoordsteler installeerde. Het protocol dat Retadup gebruikte om met besmette computers te communiceren bevatte een ontwerpfout. Daardoor was het mogelijk om de malware van de geïnfecteerde machines te verwijderen als de command & control-server was overgenomen. Het verwijderen van de malware was mogelijk zonder dat gebruikers hiervoor iets hoefden te doen. Het grootste deel van Retadup-infrastructuur bevond zich in Frankrijk. Daarop besloot Avast de Franse politie te informeren en werd er een desinfectiescenario voorgesteld en getest. De botnetserver zou worden overgenomen en via de ontwerpfout kon Retadup van besmette systemen worden verwijderd. Afgelopen juli kreeg de Franse politie van de openbaar aanklager groen licht om de operatie uit te voeren. De botnetserver werd vervangen door een desinfectieserver die besmette computers de opdracht gaf om de malware te verwijderen. Een deel van de botnetinfrastructuur bevond zich in de Verenigde Staten, waarop de Franse politie de FBI waarschuwde. De Amerikaanse opsporingsdienst haalde de betreffende servers op 8 juli uit de lucht, waardoor de malwaremakers geen controle meer over de geïnfecteerde machines hadden. Sinds de operatie is de Retadup-malware van 850.000 computers verwijderd, waarvan het grootste deel in Latijns-Amerika werd aangetroffen. De meeste slachtoffers bleken Windows 7 te draaien en sommige slachtoffers hadden opzettelijk hun antivirussoftware uitgeschakeld. bron: security.nl

Een programma dat gebruikers helpt bij het updaten van hun drivers heeft malware op systemen geïnstalleerd nadat aanvallers toegang tot de updateserver kregen. Het gaat om het programma DriveTheLife, maar ook andere soortgelijke applicaties die op dezelfde infrastructuur draaien zijn getroffen. Welke applicaties dit zijn laat antivirusbedrijf Bitdefender niet weten. De virusbestrijder beschouwt DriveTheLife als een "potentieel ongewenste applicatie". Het gaat dan om software die met andere programma's is gebundeld, toolbars installeert en pop-ups of advertenties toont. Een onderdeel van DriveTheLife dat normaliter updates van een legitiem domein downloadt werd eind vorig jaar gemanipuleerd zodat het malware vanaf een domein van de aanvallers downloadde, aldus Bitdefender in een rapport. Dergelijke aanvallen worden "supply chain attacks" genoemd en kunnen zeer effectief voor aanvallers zijn. NotPetya is een bekend voorbeeld van malware die zich via een supply-chain-aanval verspreidde. De malware die zich via DriveTheLife verspreidde werd de afgelopen maanden met allerlei modules uitgebreid om zich verder binnen het netwerk te verspreiden. Zo maakt de malware gebruik van de EternalBlue-exploit van de NSA om systemen via een oud Windows-lek te infecteren, alsmede een explolit voor Microsoft SQL Server. Ook probeert de malware systemen in het lokale netwerk via een verzameling van zwakke en veelvoorkomende wachtwoorden en wachtwoordsteler Mimikatz te besmetten. De malware installeert daarnaast een cryptominer die de rekenkracht van het systeem gebruikt om cryptovaluta te delven. Om niet te worden opgemerkt stopt de cryptominer wanneer de gebruiker een videogame speelt. Het zou gebruikers opvallen dat de computer tijdens het spelen trager werkt, wat tot de ontdekking van de cryptominer kan leiden. Volgens onderzoeker Liviu Arsene is het een interessante eigenschap van de cryptominer om met het spelen van games rekening te houden. Infecties zijn wereldwijd waargenomen, maar de meeste besmettingen werden in India aangetroffen. bron: security.nl

Verschillende wifi-routers bieden de mogelijkheid om een gastnetwerk op te zetten dat gasten of bepaalde apparaten mogen gebruiken, maar via dit netwerk kan een aanvaller gevoelige data van het hostnetwerk stelen. Dat melden onderzoekers van de Ben-Gurion University op basis van eigen onderzoek. Voor het onderzoek werden routers van verschillende fabrikanten en prijsniveaus onderzocht en in alle gevallen was het mogelijk om de scheiding tussen het gastnetwerk en het hostnetwerk te overbruggen. De onderzoekers maakten hiervoor gebruik van "covert channels" die door het versturen van speciaal geprepareerd netwerkverkeer zijn uit te buiten. Het gaat om twee soorten covert channels, namelijk directe en timing channels. In het geval van een direct covert channel wordt uitgewisselde data onbedoeld doorgestuurd tussen het host- en gastnetwerk. Bij de timing-aanvallen wordt er misbruik gemaakt van de gedeelde resources op de router, zoals cpu-tijd, netwerk en IPC-buffers. Informatie van het hostnetwerk kan zo bereikbaar zijn vanaf het gastnetwerk. Via het versturen van bepaalde DHCP-, ICMP- of ARP-pakketten kan een aanvaller proberen de data te bemachtigen. De onderzoekers vonden in totaal negen beveiligingslekken in routers van TP-Link, D-Link, Edimax en Linksys die de covert channels mogelijk maken. De fabrikanten werden vervolgens in mei gewaarschuwd. Linksys liet echter weten dat het de kwetsbaarheden niet zal verhelpen en de andere fabrikanten gaven helemaal geen reactie. De onderzoekers stellen dan ook dat een hardwarematige oplossing die enige manier lijkt om gast- en hostnetwerken echt van elkaar te scheiden (pdf). bron: security.nl

De Autoriteit Persoonsgegevens heeft de Ierse privacytoezichthouder gevraagd om onderzoek te doen naar de Home- en Pro-versies van Windows 10, aangezien het besturingssysteem mogelijk nog steeds de Europese privacyregels overtreedt. Dat laat de Nederlandse privacytoezichthouder vandaag weten. Twee jaar geleden deed de Autoriteit Persoonsgegevens onderzoek naar de privacy van Windows 10-gebruikers. Daaruit bleek dat Microsoft via telemetrie onrechtmatig persoonsgegevens verwerkte en zo de privacy van gebruikers schond. Vorig jaar april voerde de softwaregigant verschillende aanpassingen aan Windows 10 door om de privacy van gebruikers te beschermen. Zo worden gebruikers beter geïnformeerd over de gegevens die Microsoft verzamelt en waarvoor ze worden verwerkt. Daarnaast kunnen gebruikers op een duidelijke actieve wijze kiezen voor hun privacyinstellingen. Volgens de Nederlandse privacytoezichthouder hebben deze aanpassingen tot een daadwerkelijke verbetering van de privacy gezorgd. "Maar tegelijkertijd blijkt dat Microsoft ook andere gegevens van gebruikers op afstand verzamelt. Mogelijk overtreedt Microsoft hierdoor nog steeds de privacyregels", aldus de Autoriteit Persoonsgegevens. De toezichthouder heeft de resultaten van het onderzoek met andere Europese privacytoezichthouders gedeeld. Aangezien het Europese hoofdkantoor van Microsoft in Ierland is gevestigd heeft de AP aan de Ierse privacytoezichthouder gevraagd een nieuw onderzoek in te stellen. Windows 10-gebruikers krijgen van de Autoriteit Persoonsgegevens het advies om bij de installatie en het gebruik van het besturingssysteem goed te letten op de privacyinstellingen. "Microsoft mag persoonsgegevens verwerken op het moment dat daarvoor op de juiste manier toestemming is gevraagd", zo stelt de toezichthouder. bron: security.nl

Een beveiligingslek maakte het mogelijk om Instagram-accounts zonder enige interactie van gebruikers over te nemen, zo ontdekte beveiligingsonderzoeker Laxman Muthiyah, die eerder al een andere kwetsbaarheid vond waarmee accounts waren te kapen. Instagram-gebruikers die hun wachtwoord zijn vergeten kunnen hun mobiele telefoonnummer invoeren. Vervolgens wordt er een zescijferige code naar de telefoon gestuurd. De gebruiker moet deze code bij Instagram invoeren en kan daarna een nieuw wachtwoord instellen. Instagram maakt gebruik van een device-ID om wachtwoordresetcodes te valideren. Als een gebruiker een passcode via zijn telefoon opvraagt wordt er tegelijkertijd een device-ID verstuurd. Hetzelfde device-ID wordt gebruikt om de passcode te verifiëren. Muthiyah ontdekte dat het mogelijk is om met één device-ID van meerdere gebruikers de passcode op te vragen. Voor een zescijferige passcode zijn er één miljoen mogelijkheden. "Wanneer we passcodes van meerdere gebruikers opvragen, vergroten we de kans om het account te hacken. Als we met hetzelfde device-ID de passcode van honderdduizend gebruikers opvragen, kun je een succesratio van tien procent hebben, aangezien honderdduizend codes voor hetzelfde device-ID worden uitgegeven. Als we passcodes voor één miljoen gebruikers vragen, kunnen we alle één miljoen accounts eenvoudig hacken door de passcode incrementeel te verhogen", aldus Muthiyah. De onderzoeker waarschuwde Facebook dat het beveiligingsprobleem vervolgens oploste. Voor zijn melding ontving Muthiyah een beloning van 10.000 dollar. Voor de andere, eerdere kwetsbaarheid waarmee het mogelijk was om Instagram-accounts te kapen ontving hij 30.000 dollar. bron: security.nl

Google kan internetgebruikers geen zinnige privacybescherming bieden en tegelijkertijd de eigen zakelijke belangen beschermen, zo stellen onderzoekers van Princeton University. Onlangs kwam Google in het nieuws wegens de aankondiging van een "Privacy Sandbox", die gerichte advertenties en privacy mogelijk moet maken, maar volgens Jonathan Mayer en Arvind Narayanan is er sprake van misleiding en zelfs "privacy gaslighting". Apple en Mozilla beschermen de privacy van gebruikers door onder andere trackingcookies te blokkeren. Deze cookies worden gebruikt om internetgebruikers over het web te volgen en gerichte advertenties te tonen. Google doet dit niet. Vorige week kwam het bedrijf met een verklaring waarom dit zo is. Het blokkeren van trackingcookies zou namelijk voor ergere vormen van tracking zorgen. Daarnaast zouden websites doordat ze geen gerichte advertenties meer kunnen tonen allerlei inkomsten mislopen. Google pleitte daarom voor het ontwikkelen van standaarden waarbij gebruikers toch gerichte advertenties te zien krijgen en hun privacy wordt beschermd. Volgens Mayer en Narayanan vertelt Google dingen niet waar zijn, worden gebruikers misleid en probeert het bedrijf alleen de eigen belangen te beschermen. Zo ondermijnt het blokkeren van trackingcookies niet de privacy van internetgebruikers en is het ook maar de vraag of het tot het gebruik van fingerprinting leidt, zoals Google claimt. Zelfs als dit het geval zou zijn, zouden browserontwikkelaars ook maatregelen tegen fingerprinting moeten nemen, zoals Apple en Mozilla op dit moment doen. De onderzoekers noemen het argument van Google absurd en vergelijken het met de politie die stelt dat er een probleem met zakkenrollers is. Als het de zakkenrollers echter aanpakt zullen die overstappen op berovingen, wat nog erger zou zijn. In plaats van fingerprinting te accepteren zou het juist een reden moeten zijn om gebruikers hier tegen te beschermen. Daarnaast wordt webtracking slechts op kleine schaal toegepast en zal dit waarschijnlijk niet veranderen, aldus de onderzoekers. En zelfs als fingerprinting op grote schaal wordt toegepast, zou het blokkeren van trackingcookies nog steeds beschermen tegen partijen die op deze manier mensen op het web volgen. "Het is niet de eerste keer dat Google oneerlijke argumenten gebruikt om te suggereren dat een privacybeschermingsmaatregel terugslaat. We noemen dit privacy gaslighting, omdat het een poging is om gebruikers en beleidsmaker ervan te overtuigen dat een duidelijke privacybeschermingsmaatregel, die al door de concurrenten van Google wordt gebruikt, eigenlijk geen privacybescherming is", aldus de onderzoekers. In de aankondiging van de Privacy Sandbox stelt Google dat gerichte advertenties nodig zijn om gratis content op internet mogelijk te maken. Door het blokkeren van trackingcookies zouden gerichte advertenties niet meer mogelijk zijn en websites gemiddeld 52 procent van de inkomsten mislopen. De cijfers van Google zijn echter gebaseerd op een eigen onderzoek waarvan de details juist ontbreken. Andere onderzoeken laten juist zien dat gerichte advertenties nauwelijks voor meer inkomsten zorgen. Afsluitend liet Google weten dat het via de ontwikkeling van nieuwe standaarden privacy en gerichte advertenties wil beschermen. Een proces dat jaren in beslag kan nemen. "Google spreekt over een proces van meerdere jaren voor een afgezwakte privacybescherming. En zelfs dat is onzeker", merken Mayer en Narayanan op. Zo heeft de advertentie-industrie jarenlang het standaardisatieproces van de Do Not Track-maatregel uitgesteld. Volgens de onderzoekers bestaat het Chrome-team uit slimme engineers die hun gebruikers willen beschermen en voor websecurity veel hebben betekend. Op privacygebied is dat een ander verhaal. "Het is onwaarschijnlijk dat Google zinnige privacy kan bieden en tegelijkertijd de zakelijke belangen kan beschermen", stellen Mayer en Narayanan. Chrome zal op privacygebied dan ook steeds verder achterlopen op Firefox en Safari. "Het is teleurstellend, maar geen verassing, dat het Chrome-team de bedrijfsbelangen van Google via oneerlijke technische argumenten verhuld", besluiten de onderzoekers. bron: security.nl