Captain Kirk

Onderzoekers hebben een botnet genaamd 'GoldBrute' ontdekt dat via het remote desktopprotocol (RDP) op 1,5 miljoen servers probeert in te breken. Het botnet gebruikt zwakke en hergebruikte wachtwoorden om via RDP op de servers in te loggen. Zodra de inlogpoging succesvol is wordt de bot op het systeem geïnstalleerd. Deze bot scant vervolgens naar willekeurige ip-adressen om meer blootgestelde RDP-servers te vinden. Deze ip-adressen worden aan de command & control-server van het botnet doorgegeven. Nadat de bot tachtig nieuwe slachtoffers heeft gerapporteerd ontvangt die een verzameling doelwitten om aan te vallen. Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is", zegt Renato Marinho van Morphus Labs. Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken. bron: security.nl

Duizenden mailservers op internet zijn kwetsbaar door een beveiligingslek in Exim, een message/mail transfer agent (MTA). De software, die wordt gebruikt voor het afleveren van e-mails, draait volgens statistieken op 507.000 mailservers, wat neerkomt op 57 procent van het totale aantal mailservers. Onderzoekers van securitybedrijf Qualys ontdekten een kwetsbaarheid in Exim waardoor een aanvaller op afstand commando's met rootrechten op de mailserver kan uitvoeren. Het beveiligingslek is direct door een lokale aanvaller te misbruiken. In bepaalde configuraties is de kwetsbaarheid ook op afstand aan te vallen. In deze gevallen moet een aanvaller 7 dagen lang de verbinding met de kwetsbare server openhouden, waarbij er elke paar minuten een byte wordt verstuurd. "Vanwege de enorme complexiteit van Exims code, kunnen we niet garanderen dat deze aanvalsmethode uniek is, er kunnen snellere methoden bestaan", aldus Qualys. Het beveiligingslek is aanwezig in versie 4.87 tot en met 4.91. Versie 4.87 verscheen op 6 april 2016, wat inhoudt dat mailservers jarenlang kwetsbaar zijn geweest. Het probleem is niet aanwezig in versie 4.92, die op 10 februari van dit jaar uitkwam. Ondanks de beschikbaarheid van deze versie draaien 396.000 van de 507.000 Exim-servers nog de kwetsbare versie 4.91. De ontwikkelaars van Exim laten weten dat er nog geen aanwijzingen zijn dat de kwetsbaarheid actief wordt aangevallen. De beschikbare patch zal nu worden gebackport naar alle versies die sinds 4.87 zijn uitgekomen, waaronder ook versie 4.87. Volgens de ontwikkelaars hangt de impact van de kwetsbaarheid af van de Exim-configuratie. Hoe dichter die bij de standaardconfiguratie ligt, des te beter, aldus de ontwikkelaars. bron: security.nl

Een beveiligingsonderzoeker heeft een exploitmodule voor de populaire securitytool Metasploit ontwikkeld waarmee het mogelijk is om Windows-systemen via het "BlueKeep-lek" in Remote Desktop Services (RDS) over te nemen. Vanwege de impact van de exploit is die nog niet openbaar gemaakt. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Eind mei ontwikkelden twee ontwikkelaars met het alias zerosum0x0 en JaGoTu een Metasploit-module waarmee het mogelijk is voor beheerders om naar kwetsbare machines binnen hun netwerk te zoeken, zonder die te laten crashen. Op dinsdag 14 mei kwam Microsoft met een update voor de zeer ernstige kwetsbaarheid in RDS. Het beveiligingslek is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Dit weekend liet zerosum0x0 weten dat hij een exploit voor Windows XP had ontwikkeld. Inmiddels heeft de ontwikkelaar ook een Metasploit-module gemaakt. "Nog steeds te gevaarlijk om openbaar te maken. Misschien na de eerste megaworm?", aldus zerosum0x0 op Twitter. Wel heeft de ontwikkelaar een demonstratievideo online gezet die laat zien hoe een remote systeem via de module wordt overgenomen. Gisteren deed de Amerikaanse geheime dienst NSA nog een oproep aan systeembeheerders om de beveiligingsupdate voor de kwetsbaarheid zo snel als mogelijk te installeren. Eerder bleek al dat er bijna 1 miljoen kwetsbare machines op internet zijn te vinden. Sommige van deze computers werden bij Fortune 500-bedrijven aangetroffen. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarmee er 42 beveiligingslekken in de browser zijn verholpen. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De twee high-kwetsbaarheden bevonden zich in de serviceworker en downloadmanager van Chrome. De onderzoekers die de beveiligingslekken aan Google rapporteerden ontvingen hiervoor respectievelijk 5.000 en 500 dollar. De andere kwetsbaarheden waren minder ernstig van aard en maakten het onder andere mogelijk om url's in de omnixbox te spoofen en de pop-upblocker te omzeilen. Tevens is de ondersteuning van de WebAuthenticatie-api uitgebreid. Zo is het nu mogelijk om lokale gebruikers te authenticeren via de pincode van hun fysieke beveiligingssleutel. Updaten naar Chrome 75.0.3770.80 zal op de meeste systemen automatisch gebeuren. bron: security.nl

De Amerikaanse geheime dienst NSA heeft beheerders van Windows-systemen opgeroepen om een kwetsbaarheid in Remote Desktop Services te patchen, aangezien de kans op misbruik van het beveiligingslek aan het toenemen is. Het lek is aanwezig in Windows XP en 7 en Server 2003 en 2008. Vanwege de ernst van de kwetsbaarheid besloot Microsoft vorige maand om ook updates voor Windows XP en Server 2003 beschikbaar te maken, ook al worden deze Windowsversies niet meer ondersteund. Om het lek te misbruiken hoeft een aanvaller alleen via het remote desktopprotocol (RDP) verbinding met een kwetsbare machine te maken. Hiervoor hoeft de aanvaller niet over geldige inloggegevens te beschikken. Uit onderzoek blijkt dat bijna een miljoen ongepatchte Windows-systemen via internet toegankelijk zijn. Deze machines lopen het risico om door een worm besmet te worden. Aanleiding voor Microsoft om vorige week nogmaals een oproep te doen om de beschikbare update te installeren. Nu komt ook de NSA met dergelijk advies. "We hebben vernietigende computerwormen schade aan ongepatchte systemen zien aanrichten met vergaande gevolgen, en we willen mensen motiveren om zich tegen dit lek te beschermen", zo laat de geheime dienst weten. De NSA stelt dat dergelijke kwetsbaarheden vaak door aanvallers worden gebruikt om systemen aan te vallen. Zo maakt de geheime dienst zich zorgen dat aanvallers het lek zullen misbruiken om ransomware te verspreiden. Een soortgelijk scenario deed zich voor bij de WannaCry-ransomware, dat gebruikmaakte van een beveiligingslek dat door de NSA was ontdekt. Ook voor dit lek waren updates beschikbaar, maar die waren door tal van organisaties niet geïnstalleerd. Afsluitend adviseert de NSA om tcp-poort 3389 op de firewall te blokkeren, Network Level Authentication (NLA) in te schakelen, aangezien aanvallers dan over geldige inloggegevens moeten beschikken om de aanval uit te voeren, en onnodige remote desktop services uit te schakelen. "Het uitschakelen van ongebruikte en onnodige diensten verkleint blootstelling aan kwetsbaarheden en is zelfs zonder de huidige dreiging een best practice", zo laat het advies weten. Voor organisaties die willen testen of ze kwetsbaar zijn is er een Metasploit-module verschenen. bron: security.nl

Mozilla heeft vandaag een wachtwoordmanager gelanceerd waarmee desktopgebruikers hun inloggegevens kunnen beheren. Firefox Lockwise stond eerder nog bekend als Firefox Lockbox en was alleen beschikbaar voor Android en iOS. Vandaag is ook de desktopversie uitgebracht. Via Firefox Lockwise kunnen gebruikers hun wachtwoorden opslaan en die vanaf andere apparaten benaderen. Gebruikers moeten in dit geval zowel de mobiele app als de desktopextensie hebben geïnstalleerd. Daarnaast is het gebruik van een Firefox Account verplicht. Om opgeslagen wachtwoorden te beschermen maakt de wachtwoordmanager gebruik van verschillende technologieën, waaronder AES-256-GCM-encryptie. Mozilla laat in een FAQ over Lockwise weten dat de desktopextensie op dit moment nog niet werkt wanneer er een Master Password is ingeschakeld. In het geval gebruikers de extensie willen gebruiken moeten ze eerst het Master Password uitschakelen en daarna Firefox Lockwise in de browser installeren of opnieuw inschakelen. bron: security.nl

Een feature die het Windows remote desktopprotocol (RDP) ondersteunt maakt het mogelijk voor een aanvaller om de schermvergrendeling van het besturingssysteem te omzeilen en zo op afstand vergrendelde RDP-sessie te ontgrendelen. RDP ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Dit moet het aanvalsoppervlak van het systeem verkleinen. Net zoals bij een lokaal systeem mogelijk is, kan ook via RDP een systeem worden vergrendeld. De gebruiker krijgt in dit geval een inlogscherm te zien. Zodra de gebruiker inlogt wordt de sessie hervat. Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten. Een gebruiker logt bijvoorbeeld in via RDP en vergrendelt vervolgens de remote desktopsessie. De gebruiker verlaat hierna het systeem dat als RDP-client wordt gebruikt. Op dit moment kan een aanvaller in de buurt de netwerkverbinding van het RDP-clientsysteem onderbreken. Dit zorgt ervoor dat het remote systeem op dat moment ontgrendeld wordt en er zonder inloggegevens kan worden ingelogd. Tweefactorauthenticatie-oplossingen die in het Windows-inlogscherm zijn geïntegreerd worden op deze manier ook omzeild. Een praktische oplossing is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken. bron: security.nl

Mozilla heeft besloten om third-party trackingcookies, die worden gebruikt om internetgebruikers op internet te volgen en gerichte advertenties te tonen, standaard in Firefox te blokkeren. De optie om dergelijke cookies tegen te houden was al in de browser aanwezig, maar stond niet ingeschakeld. Uit onderzoek blijkt dat trackingcookies websites 4 procent meer per advertentie opleveren, wat neerkomt op een extra 0,00008 dollar (pdf). Volgens Mozilla is het op grote schaal verzamelen van gegevens om gerichte advertenties te kunnen tonen niet langer houdbaar. Daarnaast vindt de browserontwikkelaar dat privacy niet aan optionele instellingen moet worden overgelaten, maar standaard hoort te zijn ingeschakeld. De meeste mensen blijken hun privacyinstellingen namelijk niet aan te passen. "De standaardinstellingen van het product moeten overeenkomen met de verwachtingen van de gebruiker. Dat is de aanpak die we in Firefox nemen", zegt Peter Dolanjski van Mozilla. Daarom is nu besloten om het blokkeren van third-party trackingcookies standaard voor nieuwe gebruikers in Firefox te blokkeren. Alle nieuwe Firefox-installaties zullen dergelijke cookies nu tegenhouden. Voor bestaande Firefoxgebruikers zal de maatregel de komende maanden automatisch worden doorgevoerd, zonder dat ze hier iets voor hoeven te doen. Gebruikers die hier niet op willen wachten kunnen de optie ook zelf inschakelen. "Als het gaat om privacy zijn standaardinstellingen belangrijk. We hopen dat de maatregelen die we nemen uiteindelijk voor verandering in de industrie zorgen. Gebruikers verdienen tenslotte beter", besluit Dolanjski. bron: security.nl

Criminelen hebben vorig jaar verschillende systemen van een bank geïnfecteerd door gebruik te maken van bekende kwetsbaarheden in Microsoft Word. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven. De aanval op de niet nader genoemde bank wordt beschreven door antivirusbedrijf Bitdefender (pdf). De criminelen stuurden een spearphishingmail naar medewerkers van de bank. Twee bankmedewerkers openden de meegestuurde bijlage. Het ging om een .doc-bestand. Het document bevatte een exploit voor drie kwetsbaarheden in Microsoft Word ( CVE-2017-8570, CVE-2017-11882 en CVE-2018-0802). Op het moment van de aanval waren deze beveiligingslekken al door Microsoft gepatcht. Het ging om beveiligingsupdates die op 11 juli 2017, 14 november 2017 en 9 januari 2018 door Microsoft waren uitgebracht. De aanval op de bank vond plaats tussen maart en mei 2018. Doordat de bank had nagelaten de updates te installeren werkte de exploit in het kwaadaardige document van de aanvallers en kon er malware op de systemen van de twee bankmedewerkers worden geïnstalleerd. Vanaf de besmette systemen werd de rest van het banknetwerk aangevallen. Gedurende 63 dagen hadden de criminelen toegang tot het banknetwerk en wisten ook de beheerdersgegevens te compromitteren. De aanvallers stelen gedurende de operatie belangrijke documenten en proberen de ATM- en bankapplicaties van de bank te benaderen. Uiteindelijk slagen de criminelen hierin en kunnen zo de geldautomaten van de bank op afstand bedienen, zodat de inhoud van de geldcassettes wordt geleegd. Handlangers die bij de automaten ter plekke zijn nemen het geld mee. De bende achter de aanval zou bij meer dan honderd banken wereldwijd hebben ingebroken en daarbij 1 miljard euro hebben gestolen. Het zijn met name Oost-Europese banken die het doelwit zijn. De vermeende bendeleider werd vorig jaar aangehouden. Ondanks de aanhouding is de bende nog steeds actief. Naast documenten met exploits voor bekende kwetsbaarheden maakt de bende ook gebruik van Word-documenten met kwaadaardige macro's. bron: security.nl

Aanvallers hebben websites die bij verschillende hostingbedrijven waren ondergebracht kunnen compromitteren omdat de NFS-permissies van de shared hostingomgeving verkeerd stonden ingesteld en er onnodig informatie werd gelekt. Het ging onder andere om iPage, FatCow, PowWeb en NetFirms. Door de kwetsbaarheden konden aanvallers de databases van de websites aanpassen, zonder dat ze directe toegang tot de websites hadden. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld. In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" of "group-traversable" en alle klantbestanden "world-readable" of "group-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden. De aanvallers konden zo een beheerdersaccount genaamd 'badminton' toevoegen dat vervolgens werd gebruikt om op de website in te loggen. Zodra de aanvallers waren ingelogd werd er via de WordPress theme editor kwaadaardige code aan de website toegevoegd die verkeer van zoekmachines kaapte en bezoekers van de websites naar spamsites doorstuurde. De kwetsbaarheden werden door securitybedrijf Wordfence ontdekt, dat de hostingbedrijven waarschuwde. Die namen vervolgens maatregelen om de problemen te verhelpen. Hoeveel websites op deze manier zijn gecompromitteerd is onbekend. Een zelfde probleem werd vorig jaar ook bij verschillende andere hostingbedrijven aangetroffen. bron: security.nl

Verschillende Windows 10-apps en -games hebben gebruikers vorige week malafide advertenties laten zien die automatisch een malafide website of pop-up openden. De advertenties verschenen onder andere bij Microsoft Mahjong, de calculator en de apps MSN Money, News en Weather. Zodra de advertenties in de app worden getoond, laadt de advertentie een malafide website in de browser van de gebruiker. Deze malafide website doet zich voor als een melding van Microsoft en claimt dat het systeem met malware besmet is geraakt. Ook kregen gebruikers pop-ups te zien die claimden dat ze een smartphone hadden gewonnen. Een moderator op het forum van Microsoft merkt op dat de apps MSN Money, News en Weather op 3 juni werden uitgefaseerd en deze diensten mogelijk tijdens dit proces kwetsbaar waren. Op het Duitstalige forum Dr Windows klagen tal van gebruikers die de advertenties te zien kregen en vervolgens met de malafide websites werden geconfronteerd. Gebruikers krijgen het advies om de malafide websites te sluiten. Daarnaast is het mogelijk om de betreffende advertentienetwerken van Microsoft op dns-niveau te blokkeren. bron: security.nl

De ontwikkelaars van de GandCrab-ransomware hebben op internet hun afscheid aangekondigd, wat ook gevolgen voor recent gemaakte slachtoffers heeft. De Nederlandse politie waarschuwde eind vorig jaar nog voor GandCrab. De ransomware versleutelt bestanden en eist losgeld voor het ontsleutelen. GandCrab wordt verspreid via e-mailbijlagen en besmette advertenties. In februari van dit jaar verscheen er een gratis decryptietool waarmee slachtoffers van verschillende GandCrab-versies hun bestanden kosteloos konden ontsleutelen. Volgens Europol wist de ransomware vorig jaar bijna 500.000 slachtoffers te maken. De ontwikkelaars van GandCrab claimen dat de ransomware ze genoeg geld heeft opgeleverd om met pensioen te gaan. Naar eigen zeggen heeft de ransomware een bedrag van 2 miljard dollar gegenereerd, waarvan de ontwikkelaars 150 miljoen dollar per jaar zouden hebben opgestreken. GandCrab werd als een 'ransomware as a service' aangeboden. Via dergelijke diensten kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In een bericht op een forum voor cybercriminelen kondigen de ontwikkelaars nu hun afscheid aan. "We hebben bewezen dat je in een jaar geld voor een heel leven kan verdienen", zo stellen ze. Als gevolg van het afscheid stoppen de ontwikkelaars met de advertenties voor GandCrab en hebben hun partners gevraagd om ook de verspreiding stop te zetten. Daarnaast krijgen slachtoffers het advies om nu te betalen, aangezien hun decryptiesleutels later deze maand worden verwijderd, wat inhoudt dat bestanden niet meer zijn te ontsleutelen. Het bericht van de ontwikkelaars werd gedeeld door de beveiligingsonderzoekers Damian en David Montenegro. bron: security.nl

De populaire securitytool Metasploit is voorzien van een scanner waarmee beheerders kunnen kijken of er binnen hun organisatie nog systemen zijn die via een beveiligingslek in Remote Desktop Services (RDS) van Windows zijn over te nemen, zonder deze systemen tijdens de test te laten crashen. Het beveiligingslek in RDS werd op 14 mei door Microsoft gepatcht. Recentelijk bleek dat er bijna een miljoen computers die via internet toegankelijk zijn de beveiligingsupdate nog altijd niet geïnstalleerd hebben. Aanleiding voor Microsoft om Windowsgebruikers nogmaals op te roepen om de patch te installeren, aangezien anders een worm deze systemen kan infecteren. Volgens de softwaregigant zijn er waarschijnlijk nog veel meer systemen binnen organisaties niet gepatcht. Zodra één machine binnen een dergelijke organisatie door malware wordt besmet lopen ook deze nog ongepatchte systemen risico. Malware hoeft alleen via het remote desktopprotocol (RDP) verbinding met kwetsbare systemen te maken. Er is geen interactie van de gebruiker vereist en de malware hoeft niet over geldige inloggegevens te beschikken. De afgelopen dagen verschenen er verschillende scanners waarmee het mogelijk is om netwerken op kwetsbare systemen te controleren. Deze scanners kunnen de kwetsbare systemen echter laten crashen, waardoor er een denial of service ontstaat. Twee ontwikkelaars met het alias zerosum0x0 en JaGoTu hebben nu een module voor Metasploit ontwikkeld waarmee het mogelijk is om systemen te testen zonder die te laten crashen. Eerder kwam één van de ontwikkelaars met een scanner voor het beveiligingslek waar de WannaCry-ransomware misbruik van maakte. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Een community van ontwikkelaars maakt allerlei aanvullende modules voor de tool, waarmee de functionaliteit verder wordt vergroot. bron: security.nl

Beste Bastet, Gezien het feit dat de kerkversterker nog 5-polige din's gebruikt, praten we hier over een versterker op behoorlijke leeftijd. Dit systeem werd zo'n 35 jaar geleden voor het laatst toegepast op systemen. Ik begrijp ook dat de boxen ook via dezelfde din zijn aangesloten. Dat doet mij vermoeden dat het hier gaat om een, voor de kerk op maat gemaakte, opstelling. Ook begrijp ik dat je vooral muziek wilt versterken? De versterker van de kerk is een versterker vooral bedoeld voor het versterken van spraak. Geluid kan wel maar je moet je afvragen hoe goed dit gaat klinken. De laptop rechtstreeks op de boxen gaat overigens niet werken. De boxen zullen het geluid uit je laptop "opzuigen". Voordat je nu allerlei moeilijke constructies gaat proberen of zelf gaat solderen: waarom niet gewoon je versterker met eigen boxen gebruiken? Ik zag dat je versterker een redelijk vermogen kan leveren. (Alhoewel ik niet denk dat de versterker krachtig genoeg is bij een volle kerk).

Google heeft nieuw beleid voor Chrome-extensies aangekondigd waardoor die straks minder toegang tot gegevens van gebruikers krijgen en hun privacybeleid moeten publiceren. Bijna de helft van alle Chrome-gebruikers heeft een extensie geïnstalleerd. Vorig jaar oktober kondigde Google de intentie aan dat alle Chrome-extensies standaard te vertrouwen moeten zijn. In het verlengde daarvan is nu nieuw beleid voor de Chrome Web Store aangekondigd. Chrome-extensies mogen straks alleen toegang vragen tot de data die nodig is voor het uitvoeren van de functionaliteit die de extensie biedt. Als er meer dan één permissie beschikbaar is om een feature te implementeren, moeten ontwikkelaars de permissie gebruiken die de minst mogelijke hoeveelheid data nodig heeft. Daarnaast worden meer Chrome-extensies verplicht om hun privacybeleid te publiceren, waaronder extensies die persoonlijke communicatie en door gebruikers aangeboden content verwerken. In eerste instantie was het publiceren van het privacybeleid alleen verplicht voor extensies die persoonlijke en gevoelige gebruikersgegevens verwerkten. Het beleid wordt deze zomer van kracht. Google heeft ook bekendgemaakt dat het Chrome-extensies gaat aanpakken die misleidende installatietactieken toepassen. bron: security.nl

Google heeft nieuwe maatregelen aangekondigd om misleidende installaties van Chrome-extensies aan te pakken. Extensies die dubieuze tactieken gebruiken om uiteindelijk te worden geïnstalleerd zal Google uit de Chrome Web Store verwijderen. Volgens Google ontvangt het nog altijd veel klachten van Chrome-gebruikers die worden misleid om extensies te installeren. "Eén slechte ervaring kan de interesse van gebruikers in veel andere extensies beïnvloeden. Door vanaf het begin duidelijk te maken wat een extensie doet zorgt voor een gezond en bloeiend ecosysteem van extensies, ontwikkelaars en gebruikers", zegt Swagateeka Panigrahy van Google. Google eist nu dat extensies op "verantwoorde wijze" worden aangeboden. Misleidende installatietactieken worden daarbij niet meer toegestaan. Het gaat dan bijvoorbeeld om onduidelijke of onopvallende vermeldingen in de marketing voordat de gebruiker bij de extensie in de Chrome Web Store aankomt. Een ander voorbeeld zijn misleidende interactieve elementen als onderdeel van de distributiestroom. Het kan dan gaan om knoppen die iets anders beloven dan de installatie van de extensie. Extensies die niet aan de eisen voldoen zullen vanaf 1 juli dit jaar uit de Chrome Web Store worden verwijderd. Google adviseert extensie-ontwikkelaars om te controleren dat hun installatieverkeer aan de nieuwe regels voldoet. bron: security.nl

Microsoft waarschuwt gebruikers en organisaties om een belangrijke beveiligingsupdate voor Windows die op 14 mei uitkwam zo snel als mogelijk te installeren wanneer dat nog niet is gedaan. Uit onderzoek blijkt namelijk dat bijna een miljoen computers die vanaf het internet toegankelijk zijn de update missen. Daardoor lopen deze machines risico's om door een computerworm besmet te worden. Om de kwetsbaarheid in Remote Desktop Services van Windows te misbruiken hoeft een aanvaller alleen via het remote desktopprotocol (RDP) verbinding met de computer te maken. Er is geen interactie van de gebruiker vereist en de aanvaller hoeft niet over geldige inloggegevens te beschikken. Hoewel de beveiligingsupdate al twee weken beschikbaar is en de kwetsbaarheid veel aandacht in de media heeft gekregen, hebben nog altijd tal van gebruikers en organisaties de update niet geïnstalleerd. Daardoor zou een nieuwe WannaCry-achtige uitbraak kunnen plaatsvinden. WannaCry verspreidde zich via een beveiligingslek waar al twee maanden een update voor beschikbaar was, maar die op honderdduizenden systemen niet door eigenaren en beheerders was geïnstalleerd. Hoewel zo'n 1 miljoen kwetsbare computers vanaf het internet toegankelijk zijn, denkt Microsoft dat in de praktijk nog veel meer machines binnen bedrijfsnetwerken kwetsbaar zijn. "Er is slechts één besmette computer nodig die met het internet verbonden is om als een potentiële gateway naar deze bedrijfsnetwerken te dienen, waar geavanceerde malware allerlei systemen binnen het bedrijf kan infecteren. Dit scenario kan nog erger zijn voor degenen die hun interne systemen niet up-to-date met de laatste patches houden", zegt Simon Pope, directeur Incident Response bij het Microsoft Security Response Center (MSRC). Op dit moment zijn er nog geen meldingen van wormen bekend die het beveiligingslek misbruiken. Wel hebben onderzoekers een proof-of-concept ontwikkeld die laat zien dat een dergelijke aanval mogelijk is. Microsoft adviseert organisaties dan ook om de beveiligingsupdate zo snel als mogelijk te installeren. bron: security.nl

Google Chrome, de meestgebruikte browser op internet, is spyware geworden, zo stelt Brendan Eich, ceo van browser Brave en medeoprichter van Mozilla. Waar andere browsers ervoor kiezen om third-party cookies, die vaak worden gebruikt voor het tracken van internetgebruikers, standaard te blokkeren, besloot Google eerder deze maand de beslissing bij gebruikers neer te leggen. Naar aanleiding van het nieuws stegen de aandelen van advertentiebedrijf Criteo met bijna 10 procent. Andere browsers treden ook veel strenger op tegen advertenties en bieden gebruikers ingebouwde adblockers. Chrome blokkeert echter alleen advertenties die niet aan een eigen standaard voldoen. "De browser is het ding dat het meeste van je ziet", zegt Eben Moglen, hoogleraar mededingsrecht aan de Columbia Law School, tegenover Bloomberg. "Chrome is ronduit vijandig geworden voor diensten die advertenties verminderen, zoals adblockers." Volgens Eich is Googles browser inmiddels te vergelijken met spyware. De internetgigant heeft met Chrome niet alleen de meestgebruikte browser, steeds meer browsers draaien op Chromium. Een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome vormt. Ook Brave maakt er gebruik van. Eerder liet Mozilla al weten dat het bang is voor een monocultuur van Chromium-browsers, aangezien ook Microsoft Edge op Chromium gaat draaien. bron: security.nl

De populaire nieuws-app Flipboard waarschuwt gebruikers voor een datalek nadat een aanvaller ongeautoriseerde toegang tot verschillende databases wist te krijgen. Dat heeft het bedrijf achter de app bekendgemaakt. Flipboard ontdekte de ongeautoriseerde activiteit op 23 april van dit jaar. Het engineeringteam was op dat moment bezig met onderzoek naar verdachte activiteit die op 23 maart van dit jaar had plaatsgevonden. Na ontdekking van de aanval werd een verder onderzoek ingesteld. Daaruit blijkt dat een ongeautoriseerde persoon tussen 2 juni 2018 en 23 maart 2019 en tussen 21 en 22 april 2019 mogelijk kopieën van verschillende databases met gegevens van Flipboard-gebruikers heeft gemaakt. Het gaat om namen, Flipboard-gebruikersnamen, e-mailadressen en gesalte en met bcrypt gehashte wachtwoorden. In het geval gebruikers hun wachtwoord voor 14 maart 2012 hadden aangemaakt en sindsdien niet meer veranderd, is het wachtwoord gesalt en met het SHA-1-algoritme gehasht. Wanneer gebruikers hun Flipboard-account aan een third-party account hadden gekoppeld, zoals een socialmedia-account, dan stonden in de database ook tokens die voor deze koppeling werden gebruikt. Flipboard zegt geen aanwijzingen te hebben gevonden dat de aanvaller deze tokens heeft gebruikt om toegang tot de gekoppelde third-party accounts van Flipboard-gebruikers te krijgen, maar heeft uit voorzorg alle tokens verwijderd en vervangen. Tevens is besloten om van alle gebruikers het wachtwoord te resetten. Hoe de aanvaller precies toegang tot de databases wist te krijgen is niet bekendgemaakt. Om herhaling te voorkomen heeft Flipboard naar eigen zeggen 'verbeterde beveiligingsmaatregelen' geïmplementeerd en kijkt het naar manieren om de veiligheid van de systemen te versterken. "Voor beveiligingsredenen geven we geen specifieke details", aldus de nieuws-app, die zo'n 145 miljoen gebruikers heeft. bron: security.nl

Het Duitse testlab AV-Test heeft 19 virusscanners voor Windows 10 vergeleken, waaruit blijkt dat de ingebouwde antivirus Windows Defender net zo goed malware detecteert als betaalde oplossingen. De antiviruspakketten werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 277 "zero-day" malware-exemplaren en ruim 6500 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de 6500 exemplaren leverde een gemiddelde detectiescore van 100 procent op. Elf van de negentien virusscanners wisten op dit onderdeel de maximale 6 punten te halen. Windows Defender, de scanner die in Windows 10 zit ingebouwd, scoorde bij de detectie van zero-day malware en bij het andere onderdeel 100 procent, waardoor het 6 punten scoorde. Microworld eindigt met 4,5 punten onderaan. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Elf van de negentien pakketten scoren de maximale 6 punten. Zeven pakketten, waaronder Windows Defender, volgen met 5,5 punten. BullGuard eindigt op dit onderdeel als laatste met 5 punten. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Veertien van de negentien pakketten halen op dit onderdeel de maximale 6 punten, waaronder ook Windows Defender. PC Pitstop is met 3,5 punten hekkensluiter. Uiteindelijk weten Bitdefender, F-Secure, Kaspersky Lab, McAfee en Symantec de maximale 18 punten te scoren. Windows Defender volgt op 17,5 punten, net als vijf andere oplossingen. Virusscanners die 17,5 punten of meer scoren zijn volgens AV-Test een 'Top Product'. Malwarebytes Premium eindigt in het overzicht met 16 punten op de laatste plek. bron: security.nl

Bijna 1 miljoen Windows-systemen die via internet toegankelijk zijn missen een belangrijke beveiligingsupdate die eerder deze maand verscheen en lopen zodoende risico om door een computerworm besmet te worden. Daarvoor waarschuwt beveiligingsonderzoeker Robert Graham. Het gaat om een kwetsbaarheid in de Remote Desktop Service van Windows waardoor een aanvaller kwetsbare systemen kan overnemen. Hiervoor hoeft er alleen verbinding via het remote desktopprotocol te worden gemaakt. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken. Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP en Server 2003 van een noodpatch te voorzien. Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek, werd het met een 9,8 beoordeeld. Ook waarschuwde de softwaregigant voor de mogelijkheid van een nieuwe WannaCry-achtige uitbraak. Vorige week liet antivirusbedrijf McAfee weten dat het een werkende exploit voor het beveiligingslek had ontwikkeld. Graham wilde weten hoe groot de dreiging is en voerde een scan uit op internet, waarbij er specifiek op poort 3389 werd gescand. Dit is de standaardpoort die wordt gebruikt om via het remote desktopprotocol verbinding te maken. Dit leverde zo'n 950.000 systemen op die via poort 3389 toegankelijk zijn en de beveiligingsupdate van Microsoft niet hebben geïnstalleerd. "Dit houdt in dat wanneer de worm uitbreekt, die waarschijnlijk deze miljoen apparaten zal infecteren. Dit zal mogelijk zorgen voor een incident dat net zo schadelijk is als WannaCry en notPetya in 2017, en mogelijk erger, aangezien hackers sindsdien hun vaardigheden hebben verbeterd om deze dingen voor ransomware en andere narigheid te misbruiken", aldus Graham. Organisaties krijgen dan ook het dringende advies om de update zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers hebben een nieuwe variant van de beruchte Mirai-malware ontdekt die dertien verschillende exploits gebruikt om Internet of Things-apparaten te infecteren. De exploits maken misbruik van bekende kwetsbaarheden in digitale videorecorders, routers en andere apparaten. Sommige van de aangevallen kwetsbaarheden zijn al vier jaar oud. Onder de kwetsbare producten bevinden zich apparaten van Linksys, MVPower, Netgear, Huawei, Vacron, GPON en Dasan. Volgens Trend Micro is de nu ontdekte variant de eerste Mirai-versie die van dertien verschillende exploits gebruikmaakt. Tevens kan deze variant bruteforce-aanvallen uitvoeren om zo toegang te krijgen. Zodra de aanval succes is wordt er een backdoor geïnstalleerd en kan het besmette apparaat voor ddos-aanvallen worden ingezet. Gebruikers krijgen het advies om beschikbare patches voor hun IoT-apparaten te installeren. Tevens raadt Trend Micro aan om goed op te letten wat voor soort apparaten of het thuisnetwerk worden aangesloten en bij de aanschaf van IoT-apparatuur te kijken naar het patchbeleid van de fabrikant. bron: security.nl

Online designtool Canva, waarmee presentaties, flyers, uitnodigingen en andere zaken zijn te ontwerpen, heeft gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang tot gebruikersgegevens heeft gekregen. Dat laat het bedrijf via Twitter en de eigen website weten. Canva werd op 24 mei gewezen op een beveiligingsincident waarbij een aanvaller toegang heeft gekregen tot e-mailadressen, gebruikersnamen en gesalte en met bcrypt gehashte wachtwoorden van gebruikers. Hoe de aanvaller wist binnen te dringen en hoeveel gebruikers er precies zijn getroffen laat Canva niet weten. Wel krijgen gebruikers het advies om hun wachtwoord te wijzigen. Verdere details over het incident worden niet gegeven, behalve dat de situatie is verholpen. Alle gebruikers van wie de gegevens zijn benaderd zullen door Canva worden benaderd. In april liet het bedrijf nog weten dat het meer dan 15 miljoen gebruikers had. bron: security.nl

De nieuwste versie van Windows 10 waarschuwt gebruikers die verbinding met wifi-netwerken maken die via WEP of TKIP beveiligd zijn. In toekomstige Windows-versies zal het zelfs niet meer mogelijk zijn om dergelijke netwerken te gebruiken, zo heeft Microsoft aangekondigd. Met de Windows 10 May 2019 Update (versie 1903) verschijnt er een melding als gebruikers verbinding willen maken met een netwerk dat via WEP of TKIP is beveiligd. Volgens Microsoft is dit niet veilig, aangezien het om oudere beveiligingsstandaarden gaat die bekende kwetsbaarheden bevatten. Als sinds het begin van deze eeuw hebben onderzoekers aangetoond dat de encryptie van Wired Equivalent Privacy (WEP) eenvoudig is te kraken. Temporal Key Integrity Protocol (TKIP) werd vanwege de beveiligingsproblemen met WEP als tijdelijke oplossing gepresenteerd, maar ook dit protocol bevatte kwetsbaarheden. De Wi-Fi Alliance besloot het gebruik van TKIP voor nieuwe wifi-netwerken van 2011 te verbieden en sinds 2012 wordt TKIP door geen enkel draadloos apparaat meer ondersteund. Windows 10-gebruikers die met de melding worden geconfronteerd krijgen het advies om een ander betrouwbaar wifi-netwerk in de omgeving te gebruiken of de beveiliging van de wifi-router aan te passen als het om het thuisnetwerk gaat. Wanneer de router geen nieuwere beveiliging ondersteunt raadt Microsoft aan om de aanschaf van een nieuwe wifi-router te overwegen. Microsoft is daarnaast van plan om de ondersteuning van WEP en TKIP te stoppen. In toekomstige Windows-versies zal het niet meer mogelijk zijn om met dergelijke wifi-netwerken verbinding te maken. "Wifi-routers moeten worden geüpdatet om AES-encryptie te gebruiken, beschikbaar met WPA2 en WPA3", aldus de softwaregigant. bron: security.nl

Microsoft heeft een extensie gelanceerd die Chrome en Firefox tegen browseraanvallen moet beschermen. De Application Guard-extensie zorgt ervoor dat onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend. Dit moet voorkomen dat een eventuele aanval of malware toegang tot het systeem krijgt. Windows Defender Application Guard werd vorig jaar mei aan Windows 10 Professional toegevoegd en was al in Windows 10 Enterprise aanwezig. De technologie werkt alleen met Microsoft Edge. Zodra Edge ziet dat de gebruiker een onbetrouwbare website wil bezoeken wordt er via Microsofts eigen virtualisatiesoftware een container aangemaakt die van het systeem gescheiden is. Om Application Guard naar andere browsers uit te breiden heeft Microsoft een aparte extensie voor Chrome en Firefox ontwikkeld. Beheerders kunnen een lijst van vertrouwde websites opgeven. Als de gebruiker een website bezoekt die niet op deze lijst staat wordt Application Guard actief en zal de site in een geïsoleerde versie van Edge laden. Zodra de gebruiker weer naar een betrouwbare website gaat wordt de standaardbrowser geladen. De Windows Defender Application Guard-extensie voor Chrome en Firefox is beschikbaar voor Windows 10 Professional, Enterprise en Education versie 1803 en nieuwer met de laatste updates. Tevens moet het systeem beschikken over een 64-bit processor met minimaal 4 cores, 8GB werkgeheugen, 5GB vrije harde schijfruimte en cpu virtualisatie-extensies. bron: security.nl