Captain Kirk

Een beveiligingskeurmerk voor websites is onlangs door criminelen gecompromitteerd en voorzien van keyloggers die de toetsaanslagen van bezoekers opsloegen. Dat laat de Nederlandse beveiligingsonderzoeker Willem de Groot op Twitter weten. Het gaat om het Best of the Web-keurmerk. Volgens Best of the Web kunnen websites via het keurmerk aangeven dat bezoekers kunnen vertrouwen dat hun gegevens veilig zijn. Het keurmerk wordt via een script op goedgekeurde websites weergegeven. Aanvallers wisten dit script te compromitteren en van kwaadaardige code te voorzien die toetsaanslagen van bezoekers onderschepte. De eerste keylogger werd volgens De Groot op 24 april toegevoegd, de andere vorige week. Hoe de aanvallers dit konden doen laat Best of the Web niet weten. Volgens het bedrijf werd het script bij Amazons content delivery network (CDN) gehost. Na te zijn ingelicht is de kwaadaardige code verwijderd. Best of the Web meldt via Twitter dat het alle getroffen klanten gaat informeren en een security-audit van alle hostingaccounts laat uitvoeren. bron: security.nl

Onderzoekers van verschillende universiteiten hebben meerdere kwetsbaarheden in Intel-processoren ontdekt waardoor het mogelijk is om gevoelige gegevens van systemen te stelen, zoals wachtwoorden. De beveiligingslekken worden ZombieLoad, RIDL en Fallout genoemd en zijn aanwezig in alle Intel-processoren die vanaf 2008 zijn gemaakt. Het probleem raakt zowel thuisgebruikers als virtual hosting- en cloudomgevingen Door thuisgebruikers kwaadaardige JavaScript-code te laten laden, bijvoorbeeld via een advertentie of kwaadaardige website, is het mogelijk om data van het systeem te stelen. In een cloudomgeving kan een aanvaller, als twee gebruikers dezelfde processor-core delen, via zijn virtuele machine informatie uit de andere virtual machine stelen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 6,5 beoordeeld. RIDL, wat staat voor Rogue In-Flight Data Load, is door onderzoekers van de Vrije Universiteit en het Helmholtz Center for Information Security (CISPA) ontdekt. Fallout is gevonden door onderzoekers van onder andere KU Leuven en TU Graz. Het zijn zogeheten Microarchitectural Data Sampling (MDS) side-channel-aanvallen. In tegenstelling tot bestaande aanvallen zoals Meltdown en Spectre is het met deze aanvallen mogelijk om willekeurige "in-flight" data uit de interne CPU-buffers te lezen. De ZombieLoad-aanval, ontdekt door onderzoekers van TU Graz en KU Leuven, maakt het ook mogelijk om gevoelige gegevens te stelen zodra de computer die benadert. Het gaat dan bijvoorbeeld om wachtwoorden, schijfencryptiesleutels en browsegeschiedenis. De onderzoekers hebben een demonstratie gemaakt die laat zien hoe een aanvaller de websites kan monitoren die een Tor-gebruiker in een virtual machine bezoekt. Maatregelen die Intel en andere partijen tegen eerdere aanvallen hebben genomen blijken onvoldoende te zijn en in sommige gevallen de situatie te verergeren. Zo heeft Intel onlangs maatregelen aan Coffee Lake-processoren toegevoegd om die tegen Meltdown te beschermen. Hierdoor zijn deze processoren juist kwetsbaarder voor de nieuwe aanvallen dan bij oudere processoren het geval is. De kwetsbaarheden zijn door verschillende onderzoeksteams gevonden, die vervolgens Intel informeerden. Of andere partijen de problemen ook hebben ontdekt en er misbruik van maken weten de onderzoekers niet. "Op dit moment wordt de kwetsbaarheid voor zover bekend nog niet actief misbruikt. De verwachting is echter dat nu de kwetsbaarheid publiek bekend is er getracht wordt om hier misbruik van te maken", zo stelt het Nationaal Cyber Security Centrum (NCSC) van de overheid. Updates Intel heeft inmiddels microcode-updates uitgebracht om gebruikers te beschermen. Tevens hebben ook Apple, Microsoft, Oracle, Citrix, Canonical, SUSE en RedHat updates uitgebracht. Volgens Intel hebben de microcode-updates wel impact op de prestaties van het systeem. Apple laat weten dat voor een volledige oplossing het inschakelen van een aanvullende cpu-instructie en het uitschakelen van hyper-threading nodig is. Dit kan voor een prestatieverlies van 40 procent zorgen. Tevens zijn er voor meerdere MacBooks en iMacs uit 2010 geen updates door een gebrek aan microcode-updates van Intel. bron: security.nl

Microsoft heeft eigenaren van oudere Windowsversies gewaarschuwd voor een zeer ernstig beveiligingslek waardoor aanvallers systemen op afstand kunnen overnemen, zonder interactie van gebruikers. De kwetsbaarheid is zo gevaarlijk dat Microsoft ook updates voor de niet meer ondersteunde Windowsversies Windows XP en Windows Server 2003 heeft uitgebracht. De kwetsbaarheid bevindt zich in Remote Desktop Services, dat voorheen bekend stond als Terminal Services. Een aanvaller die via RDP verbinding met een systeem maakt en speciaal geprepareerde verzoeken stuurt kan het systeem volledig overnemen. Voor de aanvaller is het niet vereist om over een geldige login te beschikken. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Volgens Microsoft is het beveiligingslek door een computerworm te misbruiken. Een infectie kan zich zo van de ene naar de andere computer verspreiden, net zoals de WannaCry-malware deed. Microsoft verwacht dat aanvallers een exploit voor dit beveiligingslek zullen ontwikkelen om zo kwetsbare systemen te infecteren. Om een dergelijk scenario te voorkomen heeft de softwaregigant besloten om ook beveiligingsupdates voor de niet meer ondersteunde Windowsversies Windows XP en Server 2003 uit te brengen. Gebruikers van Windows 8 en Windows 10 zijn niet kwetsbaar. Bij kwetsbare systemen die Network Level Authentication (NLA) hebben ingeschakeld kan een computerworm zich niet verspreiden. In dit geval moet een aanvaller over geldige inloggegevens beschikken voordat de kwetsbaarheid kan worden misbruikt. Systemen zijn echter nog steeds kwetsbaar om te worden overgenomen als de aanvaller kan inloggen. Tevens adviseert Microsoft het blokkeren van TCP-poort 3389. Meteen testen en installeren In het beveiligingsbulletin over de kwetsbaarheid laat Microsoft weten dat het lek nog niet wordt aangevallen, maar dat misbruik waarschijnlijk is. Securitybedrijf ZDI adviseert organisaties dan ook om deze beveiligingsupdate meteen te testen en uit te rollen. Op de meeste ondersteunde systemen zal de update automatisch worden geïnstalleerd. bron: security.nl

😂

Adobe heeft tijdens de patchdinsdag van mei maar liefst 84 kwetsbaarheden in Adobe Acrobat en Acrobat Reader verholpen. Het gaat om één van de grootste updates in de geschiedenis van de twee pdf-lezers. Via 48 van de 84 beveiligingslekken had een aanvaller willekeurige code kunnen uitvoeren als een gebruiker een kwaadaardig pdf-bestand zou openen. De overige kwetsbaarheden maakten het mogelijk om informatie te achterhalen. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. 28 van de lekken werden gevonden door onderzoekers van securitybedrijf Palo Alto Networks. Tevens werden 18 kwetsbaarheden door onderzoeker Steven Seeley gerapporteerd. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.012.20034, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30142, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30497 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Vorig jaar kwam de grootste update tot nu toe uit voor Acrobat, toen werden er in één keer 104 kwetsbaarheden verholpen. bron: security.nl

Aanvallers hebben de WebStorage-software van fabrikant ASUS gebruikt om systemen met malware te infecteren, zo hebben onderzoekers van antivirusbedrijf ESET ontdekt. WebStorage is een cloudopslagdienst waar gebruikers hun bestanden kunnen opslaan. Gebruikers installeren de WebStorage-software op hun computer en kunnen zo met de cloud communiceren. Onderzoekers ontdekten eind april van dit jaar verschillende pogingen om de Plead-backdoor op systemen te installeren. Bij deze pogingen werd er gebruik gemaakt van het updateproces van de WebStorage-software. Dit zou verschillende scenario's kunnen inhouden, waaronder een "supply chain" aanval waarbij de updateservers van ASUS zouden zijn gebruikt. In maart werd al bekend dat aanvallers ASUS Live Update hadden gebruikt om malware te verspreiden en hierbij de infrastructuur van de Taiwanese computerfabrikant hadden gecompromitteerd. In het geval van de Plead-backdoor is het scenario van een supply chain-aanval echter een onwaarschijnlijker scenario, omdat er geen aanwijzingen zijn dat de WebStorage-servers ooit malware hebben verspreid. Daarnaast werden er losse malwarebestanden gebruikt, in plaats van de kwaadaardige functionaliteit aan de legitieme software toe te voegen. De onderzoekers keken daarom naar een andere mogelijkheid, het gebruik van een man-in-the-middle-aanval. Het WebStorage-updateproces vindt namelijk plaats via het onversleutelde http. Tevens blijkt de software de authenticiteit van aangeboden updates niet te controleren. Een aanvaller die tussen de gebruiker en het internet zit kan zo een kwaadaardige update aanbieden die vervolgens automatisch wordt geïnstalleerd. Een man-in-the-middle-aanval zou mogelijk zijn via medewerking van de internetprovider, of het compromitteren van de router van het slachtoffer. De makers van de Plead-backdoor hebben zich in het verleden vaker met het compromitteren van routers beziggehouden. Onderzoek naar geïnfecteerde organisaties wees uit dat ze allemaal routers van dezelfde fabrikant gebruikten. Daarnaast waren de beheerderspanelen van deze routers vanaf het internet toegankelijk. Onderzoekers van ESET zagen daarnaast aanvallen waarbij de aanvallers hert updateverzoek van de WebStorage-software onderschepten en aanpasten. Vervolgens werd er vanaf een gecompromitteerd Taiwanees overheidsdomein malware gedownload. De naam van de routerfabrikant is niet door ESET bekendgemaakt. Wel stelt de virusbestrijder dat softwareontwikkelaars maatregelen moeten nemen om hun updatemechanisme tegen man-in-the-middle-aanvallen te beschermen. bron: security.nl

Aanvallers hebben toegang gekregen tot een netwerk van antivirusbedrijf Trend Micro en daar debugging gerelateerde informatie gestolen. Dat heeft de virusbestrijder in een reactie tegenover Computer Business Review laten weten. Eerder deze week kwam een vrij onbekend securitybedrijf met het bericht over een groep aanvallers die een inbraak bij drie antivirusbedrijven claimde. De groep zou via het remote desktopprotocol en active directory-accounts bij de bedrijven zijn binnengedrongen. Vervolgens werden allerlei gegevens gestolen die de aanvallers daarna op internet aanboden. Trend Micro zou één van de getroffen bedrijven zijn. Naar aanleiding van de berichtgeving stelde het bedrijf een onderzoek in. Daaruit blijkt dat er ongeautoriseerde toegang tot het netwerk van een testlab heeft plaatsgevonden. De aanvallers wisten debugging gerelateerde informatie te stelen die door een woordvoerder als "low-risk" wordt bestempeld. Vooralsnog zijn er geen aanwijzingen gevonden dat er klantgegevens of broncode zijn benaderd of buitgemaakt. bron: security.nl

De Amerikaanse overheid waarschuwt organisaties die naar Microsoft Office 365 overstappen voor beveiligingsrisico's die door onveilige instellingen worden veroorzaakt. Het gaat dan met name om organisaties die de migratie naar Office 365 door een derde partij laten uitvoeren. "Nu het aantal organisaties toeneemt dat e-maildiensten naar Microsoft Office 365 en andere clouddiensten migreert, neemt ook het gebruik van derde partijen toe die organisaties naar de cloud verhuizen. Organisaties en derde partijen moeten zich bewust zijn van de risico's bij het overstappen naar Office 365 en andere clouddiensten", aldus het Cybersecurity and Infrastructure Security Agency (CISA), dat onderdeel van het ministerie van Homeland Security is. Sinds oktober vorig jaar heeft het CISA verschillende organisaties gesproken die via een derde partij naar Office 365 zijn gemigreerd. Bij deze organisaties bleken er verschillende configuraties zijn gebruikt die de beveiliging verminderen. Tevens stelt het CISA dat de meeste van deze organisaties geen apart it-securityteam hebben om zich op hun security in de cloud te richten. Deze tekortkomingen hebben gezorgd voor overgenomen e-mailaccounts en kwetsbaarheden. Het CISA geeft vier voorbeelden van configuratiekwetsbaarheden waar organisaties op moeten letten. Het eerste probleem is dat multifactorauthenticatie standaard niet voor het beheerdersaccount staat ingeschakeld. Tevens stond mailbox-auditing voor januari 2019 standaard niet ingeschakeld. Organisaties die voor deze datum van Office 365 gebruikmaken moeten dit zelf inschakelen. Tevens blijkt het unified audit log standaard niet te zijn ingeschakeld. Een ander configuratieprobleem waarvoor wordt gewaarschuwd is "Password Sync", waardoor lokale Active Directory (AD) wachtwoorden de wachtwoorden in Azure AD overschrijven. Als een aanvaller de lokale AD-identiteit weet te compromitteren, kan hij zich lateraal naar de cloud bewegen als de synchronisatie van het wachtwoord plaatsvindt. Sinds oktober vorig jaar heeft Microsoft de mogelijkheid om bepaalde beheerdersaccounts op deze manier te matchen uitgeschakeld. Het kan echter zijn dat organisaties voor deze maatregel van Microsoft hebben ingeschakeld dat lokale en cloudaccounts van beheerders overeenkomen. Daardoor kunnen identiteiten worden gesynchroniseerd die voor de migratie zijn gecompromitteerd. Verder zijn normale gebruikersaccounts niet door het uitschakelen van deze maatregel beschermd. Oude e-mailprotocollen Het vierde probleem dat door het CISA wordt genoemd betreft het gebruik van legacy protocollen die geen authenticatie ondersteunen. Het gaat dan bijvoorbeeld om het Post Office Protocol (POP3), Internet Message Access Protocol (IMAP) en Simple Mail Transport Protocol (SMTP) die niet met moderne authenticatiemethodes met multifactorauthenticatie werken. Het CISA stelt dat legacy protocollen vooral door oudere e-mailclients worden gebruikt. Wanneer organisaties van deze clients gebruikmaken lopen ze risico dat e-mailaccounts alleen met een gebruikersnaam en wachtwoord zijn beschermd. Via Azure AD Conditional Access is het mogelijk om het aantal gebruikers te beperken dat van legacy protocol authenticatiemethoden gebruik kan maken. "Deze maatregel zal het aanvalsoppervlak voor organisaties drastisch verkleinen", aldus de Amerikaanse overheidsinstantie. Afsluitend krijgen organisaties het advies een cloudstraetegie te implementeren om hun infrastructuur te beschermen tegen aanvallen die met de migratie naar Office 365 samenhangen. bron: security.nl

Onderzoekers hebben op internet meer dan 25.000 Linksys Smart Wi-Fi-routers ontdekt die gevoelige informatie lekken. Het gaat onder andere om het mac-adres van alle apparaten die ooit met de router verbinding hebben gemaakt, de naam van deze apparaten en het besturingssysteem dat ze draaien. Ook gaat het om WAN-instellingen, status van de firewall, update-instellingen en DDNS-instellingen. Dat laat onderzoeker Troy Mursch van Bad Packets Report weten. Mursch merkt op dat het mogelijk is om gebruikers via het mac-adres van hun telefoon of laptop over meerdere netwerken te volgen. "Als de naam van een apparaat de volledige naam van de eigenaar bevat, kunnen aanvallers via dit lek de identiteit van de eigenaar bepalen en hem via het publieke ip-adres van de router geolokaliseren", zo stelt de onderzoeker. Daarnaast gaat het ook nog eens om alle apparaten die ooit met de router verbinding hebben gemaakt. "Dit is een privacyzorg die niet licht moet worden opgevat", gaat Mursch verder. Vijf jaar geleden kwam Linksys met een beveiligingsupdate voor het probleem. De update blijkt de kwetsbaarheid echter niet volledig te verhelpen, waardoor routers nog steeds informatie lekken. Mursch heeft een overzicht van kwetsbare Linksys-routers gemaakt, alsmede hun locaties. In totaal werden er 25.617 kwetsbare routers in 146 landen gevonden. Tweehonderd van de routers hebben een Nederlands ip-adres. Meer dan 14.000 van de routers hebben automatische updates ingeschakeld staan. "Als Linksys uiteindelijk besluit om deze kwetsbaarheid te patchen, zullen deze routers automatisch zijn beschermd", besluit de onderzoeker. bron: security.nl

Onderzoekers hebben nieuwe malware ontdekt die informatie verzamelt over Bluetooth-apparaten die op het besmette systeem van een slachtoffer zijn aangesloten. De malware gebruikt de Windows Bluetooth-interfaces om informatie over deze apparaten te verzamelen. Het gaat onder andere om naam, adres en soort apparaat, alsmede of het apparaat op het moment is aangesloten. "De aanvallers lijken meer informatie over slachtoffers te verzamelen", zo laat antivirusbedrijf Kaspersky Lab weten. De malware, die via een 'downloader' op het systeem wordt geïnstalleerd, wordt als een "Bluetooth device harvester" omschreven. Een groep genaamd ScarCruft zou achter de malware zitten. Deze groep weet slachtoffers via phishingaanvallen en exploits te infecteren. Onder andere in Rusland en Vietnam werden infecties aangetroffen. bron: security.nl

De Canadese overheid heeft een waarschuwing afgegeven voor aanvallen op Microsoft SharePoint-servers. Aanvallers maken gebruik van een beveiligingslek dat in februari en maart door Microsoft werd gepatcht om China Chopper te installeren, een webshell die aanvallers toegang tot de server geeft. SharePoint biedt organisaties een platform om intern of via internet gegevens te delen. Bij de waargenomen aanvallen zouden onder andere SharePoint-servers van academische instellingen, industriële bedrijven, fabrieken en techbedrijven zijn gecompromitteerd. Om de aanval uit te voeren moet een aanvaller een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server kunnen uploaden, zo laat de omschrijving van Microsoft weten. Hoewel er beveiligingsupdates beschikbaar zijn, zijn er nog veel kwetsbare systemen, aldus het Canadese Centre for Cyber Security. Ook securitybedrijf AlienLabs meldt dat het aanvallen heeft gezien. Organisaties krijgen dan ook het advies om de patches zo snel als mogelijk te installeren. bron: security.nl

Het Centrum voor Cybersecurity van de Belgische overheid (CCB) en Febelfin, de overkoepelende organisatie van Belgische banken, hebben internetgebruikers gewaarschuwd voor malafide helpdesks die in de zoekresultaten van Google verschijnen. Gebruikers die zoeken naar bijvoorbeeld de helpdesk van Microsoft, Google, Netgear en Symantec kunnen naar de telefoonnummers van oplichters worden verwezen. Deze oplichters proberen de controle over de computer over te nemen en stellen dat er allerlei problemen zijn die tegen betaling kunnen worden opgelost. "Op het eerste gezicht lijkt de oplichter je te helpen maar opgelet: op het einde van de rit vragen ze je een betaling uit te voeren, nemen ze de controle van je pc over en blijf je achter met een geplunderde rekening", zegt Miguel De Bruycker, directeur van het CCB. Febelfin en het CCB hebben het frauduleuze telefoonnummer inmiddels laten blokkeren en de verwijzingen daarnaar in de resultaten van Google en andere zoekmachines laten verwijderen. "Maar morgen kan er natuurlijk een nieuw nummer online staan. Laat niemand je computer overnemen die je niet kent. En voer zeker geen betalingen uit terwijl iemand je computer heeft overgenomen", stelt Karel Van Eetvelt, ceo bij Febelfin. Internetgebruikers die de klantenservice van een bedrijf zoeken worden door beide instanties aangeraden om bij de zoekresultaten alleen te klikken op resultaten die naar de echte naam van het bedrijf wijzen. bron: security.nl

Mozilla heeft excuses gemaakt voor de fout waardoor afgelopen weekend bij honderden miljoenen gebruikers de extensies werden uitgeschakeld. De browserontwikkelaar zal tevens alle telemetrie- en Studiesgegevens van gebruikers verwijderen die het tijdens het incident verzamelde. Op 4 mei verliep een certificaat dat Mozilla gebruikt voor het signeren van extensies. Mozilla stelt dat het signeren van extensies een belangrijke maatregel is om gebruikers tegen kwaadaardige extensies te beschermen. Door het verlopen van het certificaat beschouwde Firefox alle extensies als ongeldig. Al geïnstalleerde extensies werden daarop uitgeschakeld en het was niet meer mogelijk om nieuwe extensies te installeren. Telemetrie Om het probleem snel te verhelpen rolde Mozilla een tijdelijke oplossing uit via het Studies-systeem. Via Studies worden normaliter allerlei "features en ideeën" getest. Gebruikers moeten zich hiervoor apart aanmelden. Mozilla besloot om via het Studies-systeem een fix voor de uitgeschakelde extensies uit te rollen. Hiervoor moesten gebruikers ook het verzamelen van telemetriegegevens toestaan. Een optie die sommige gebruikers eerder opzettelijk hadden uitgeschakeld. Om de "oorspronkelijke intentie" van deze gebruikers te respecteren heeft Mozilla besloten om alle verzamelde telemetrie- en Studiesgegevens van 4 en 5 mei te verwijderen. Beveiligde locatie In een blogpost legt Mozilla uit hoe het incident zich kon voordoen en waarom de oplossing zolang op zich liet wachten. Om het probleem te verhelpen moest er een nieuw certificaat worden uitgegeven, wat via een rootcertificaat wordt gedaan. Dit rootcertificaat bevindt zich in een hardware security module (HSM) die offline in een beveiligde locatie is opgeslagen. Eén van de Mozilla-engineers moest dan ook naar deze locatie rijden. Vervolgens waren er verschillende valse starts waar Mozilla niet het juiste certificaat uitgaf. "En elke poging kostte een uur of twee aan testen voordat we precies wisten wat we moesten doen", zegt Mozilla-cto Eric Rescorla. Daarnaast moest er een "system add-on" worden ontwikkeld waarmee het nieuwe certificaat bij gebruikers kon worden geïnstalleerd. Om de situatie niet te verergeren moest ook deze stap worden getest. Als laatste nam de uitrol enige tijd in beslag. Firefox controleert automatisch elke zes uur op updates. Daardoor duurde het meerdere uren voordat alle Firefoxgebruikers de oplossing ontvingen. Rescorla stelt dat de oplossing binnen 12 uur na de eerste melding was ontwikkeld. Toch had het probleem in de eerste plaats zich niet mogen voordoen. Toekomst De Firefox-cto vindt dan ook dat Mozilla beter in staat moet zijn om de status te monitoren van alles dat een potentiële tijdbom binnen Firefox is. Aan de details van dit plan wordt nog gewerkt. "Maar op z'n minst moeten we alles van deze aard inventariseren", merkt Rescorla op. Tevens moet er een mechanisme komen om snel updates onder gebruikers uit te kunnen rollen als alles down is. Als laatste gaat Mozilla kijken naar de beveiligingsarchitectuur van add-ons, om ervoor te zorgen dat het juiste beveiligingsniveau wordt gehandhaafd met de kleinste kans op storingen. bron: security.nl

Antivirusbedrijf Kaspersky Lab heeft een ernstig beveiligingslek in de antivirussoftware verholpen waardoor een aanvaller op afstand systemen van gebruikers volledig had kunnen overnemen. Het probleem in de virusscanner kon zich voordoen bij het scannen van JavaScript-bestanden. Hierdoor kon er een heap-based buffer overflow ontstaan, waarna het mogelijk was om willekeurige code met systeemrechten uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8 beoordeeld. Vorige maand bracht Kaspersky Lab een update uit, zo heeft bedrijf gisterenavond in het eerste beveiligingsbulletin van 2019 bekendgemaakt. Kwetsbaarheden in antivirussoftware zijn vaak zonder interactie van gebruikers te misbruiken en kunnen aanvallers vergaande toegang geven. De software draait vaak met hogere rechten en scant in de achtergrond continu allerlei bestanden en websites. Door het versturen van een e-mail met een kwaadaardige bijlage, ook als de gebruiker die zelf nog niet heeft geopend, of bij het bezoeken van een kwaadaardige website zou een aanvaller de virusscanner een kwaadaardig bestand kunnen laten scannen. Vervolgens zou er via een dergelijk bestand misbruik van de kwetsbaarheid kunnen worden gemaakt. bron: security.nl

Gerookt van af mijn veertiende tot mijn 34e, Over een paar dagen dagen alweer 16 jaar rookvrij. Ik ga niet zeggen hoe oud ik van de week mag worden....lol

Je bent duidelijk geen opgever. Daar houden we wel van. Ik kan je weinig verder adviseren dan de weg die je nu bewandeld: try and error. Hou ons op de hoogte wie er gaat winnen: jij of je Bleuray-speler.

De vraag hier is of het wel de motor is. Het probleem kan ook in de aansturing zitten. Ik zie dat je de motor al los hebt. Misschien kun je deze door meten? Anders zou je ook nog kunnen kiezen voor vervanging van de speler in zijn geheel: https://www.conrad.nl/p/pioneer-bdr-209ebk-interne-blu-ray-brander-retail-sata-zwart-1438476 Een tweede, iets voordeligere optie is het aanschaffen van een externe brander. Een vervangende motor kan ik niet zo ergens vinden.

Antivirusbedrijf Kaspersky Lab heeft een ernstig beveiligingslek in de antivirussoftware verholpen waardoor een aanvaller op afstand systemen van gebruikers volledig had kunnen overnemen. Het probleem in de virusscanner kon zich voordoen bij het scannen van JavaScript-bestanden. Hierdoor kon er een heap-based buffer overflow ontstaan, waarna het mogelijk was om willekeurige code met systeemrechten uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8 beoordeeld. Vorige maand bracht Kaspersky Lab een update uit, zo heeft bedrijf gisterenavond in het eerste beveiligingsbulletin van 2019 bekendgemaakt. Kwetsbaarheden in antivirussoftware zijn vaak zonder interactie van gebruikers te misbruiken en kunnen aanvallers vergaande toegang geven. De software draait vaak met hogere rechten en scant in de achtergrond continu allerlei bestanden en websites. Door het versturen van een e-mail met een kwaadaardige bijlage, ook als de gebruiker die zelf nog niet heeft geopend, of bij het bezoeken van een kwaadaardige website zou een aanvaller de virusscanner een kwaadaardig bestand kunnen laten scannen. Vervolgens zou er via een dergelijk bestand misbruik van de kwetsbaarheid kunnen worden gemaakt. bron: security.nl

Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners. Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven. Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld. "De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op. De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt. bron: security.nl

Accounts van systeembeheerders zijn een geliefd doelwit van aanvallers, maar organisaties kunnen verschillende maatregelen nemen om de kans te verkleinen dat aanvallers hier toegang toe krijgen, zo stelt Microsoft. De softwaregigant heeft een blog gepubliceerd waarin het beschrijft hoe het zelf met identiteitsmanagement omgaat en het beveiligen van beheerdersaccounts is daar een onderdeel van. "Om de bescherming van onze organisatie te verbeteren is het belangrijk om het aantal mensen te beperken dat geprivilegieerde toegang heeft en controles te implementeren voor wanneer, hoe en waar beheerdersaccounts gebruikt kunnen worden", laat Microsoft weten. Als het gaat om het beveiligen van adminaccounts worden drie aanbevelingen gedaan. Als eerste wordt voor het uitvoeren van systeembeheer een aparte computer aangeraden die volledig up-to-date is. Tevens moeten de beveiligingsinstellingen van deze machine worden verhoogd en moet worden voorkomen dat systeembeheer op afstand is uit te voeren. Het tweede advies betreft het toepassen van een "geïsoleerde identiteit". Zo moet er een aparte naamgeving voor het account worden gebruikt en mag die geen toegang tot internet hebben. Tevens moet de identiteit verschillen van de werkidentiteit van de gebruiker. In het geval van Microsoft zijn beheerdersaccounts alleen toegankelijk via een smartcard. Afsluitend adviseert Microsoft het toepassen van "non-persistent access". Zo moeten beheerdersaccounts standaard geen rechten hebben. Beheerders moeten just-in-time (JIT) privileges aanvragen die ze toegang voor een beperkte tijd geeft en dit moet in een systeem worden bijgehouden. Microsoft erkent dat het beschikbare budget kan beperken wat organisaties kunnen doen. Toch raadt de softwaregigant aan om alle drie de zaken uit te voeren op een niveau dat voor de organisatie zinvol is. bron: security.nl

Het integreren van Tor in Firefox zou tal van privacyvoordelen voor gebruikers hebben, maar hierbij komen ook allerlei vragen kijken, aldus Mozilla. De browserontwikkelaar heeft daarom verschillende beurzen beschikbaar gesteld voor onderzoekers die deze vragen willen beantwoorden. Tor Browser is een op Firefox gebaseerde browser waarmee toegang tot het Tor-netwerk wordt verkregen. Het beschikt over allerlei aanvullende beveiligingsmaatregelen om gebruikers tegen tracking te beschermen. Verschillende van deze maatregelen zijn door Mozilla in het verleden al aan Firefox toegevoegd, maar de browserontwikkelaar wil nu laten onderzoeken of een verdere integratie mogelijk is. "Mozilla heeft een interesse om mogelijk meer van Tor in Firefox te integreren, om gebruikers zo een Super Private Browsing (SPB) mode te bieden. Tor biedt privacy en anonimiteit op het web, features die hard nodig zijn in het moderne tijdperk van massasurveillance, tracking en fingerprinting", aldus Mozilla. Op dit moment maken elke dag zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk. Om een groot aantal extra gebruikers te kunnen faciliteren zouden eerste allerlei vraagstukken moeten worden opgelost over de prestaties, protocollen en opzet van het Tor-netwerk. "Tor is nog nooit op een dergelijke schaal uitgerold en er spelen allerlei overwegingen die moeten worden onderzocht voordat Mozilla hiermee aan de slag gaat", stelt Gabriela Rodríguez van het Tor Project. Onderzoekers die zich geroepen voelen kunnen zich aanmelden voor een beurs van Mozilla. bron: security.nl

Onderzoekers hebben een nieuwe versie van de Dharma-ransomware ontdekt die een legitieme antivirustool gebruikt om slachtoffers af te leiden, terwijl in de achtergrond allerlei bestanden worden versleuteld. De aanval begint met een e-mail die zogenaamd van Microsoft afkomstig is. Volgens het bericht loopt de computer van de ontvanger risico en moet de geïnstalleerde antivirussoftware worden geüpdatet en geverifieerd. Hiervoor moeten gebruikers een aangeboden bestand downloaden. Dit bestand bevat de ransomware en ESET AV Remover, een legitieme tool van antivirusbedrijf ESET om geïnstalleerde virusscanners van een computer te verwijderen. Ongeacht of gebruikers de installatie van AV Remover afronden versleutelt de ransomware in de achtergrond allerlei bestanden. Gebruikers moeten vervolgens voor het ontsleutelen van de bestanden betalen. "Cybercriminelen hebben een verleden van het misbruiken van authentieke tools. En deze recente tactiek om een installatieprogramma als afleiding te gebruiken is weer een methode waarmee ze experimenteren", zegt onderzoeker Raphael Centeno van antivirusbedrijf Trend Micro. bron: security.nl

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Confluence om ongepatchte servers met ransomware en een combinatie van een rootkit en cryptominer te infecteren. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Op 20 maart verscheen er een beveiligingsupdate die twee kwetsbaarheden verhielp. Via één van deze beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige code op Confluence-servers uitvoeren. Drie weken later op 11 april verscheen er een proof-of-concept-exploit om van de kwetsbaarheid misbruik te maken. Een dag later werden de eerste aanvallen waargenomen. Bij deze aanvallen werd de Gandcrab-ransomware geïnstalleerd, zo meldde securitybedrijf Alert Logic eerder al. Volgens onderzoekers van het bedrijf zullen Confluence-applicaties vaak waardevolle bedrijfsgegevens bevatten en mogelijk niet goed zijn geback-upt. Het losgeld dat de ransomware oplevert zal dan waarschijnlijk ook veel hoger zijn dan het installeren van een cryptominer, die de rekenkracht van de server gebruikt om cryptovaluta te delven. Antivirusbedrijf Trend Micro meldt dat aanvallers inmiddels ook begonnen zijn om via het beveiligingslek een combinatie van een rootkit en cryptominer op kwetsbare servers te installeren. De rootkit wordt gebruikt om de cryptominer te verbergen. Daarnaast kan de rootkit het cpu-gebuik van de server vervalsen. Daardoor lijkt het voor beheerders dat de processor niet wordt belast, terwijl dat in werkelijkheid wel het geval is. Organisaties krijgen dan ook het advies om de beschikbare update te installeren. bron: security.nl

Softwarebedrijf Canonical is vorige week gestopt met de ondersteuning van Ubuntu 14.04 Trusty Tahr. Nieuw gevonden kwetsbaarheden worden niet meer gepatcht. Organisaties kunnen echter nog wel tegen betaling beveiligingsupdates ontvangen. Hiervoor biedt Canonical Extended Security Maintenance (ESM). Ubuntu long term support (LTS) releases worden vijf lang met beveiligingsupdates ondersteund. Zodra de Standard Security Maintenance-periode is verlopen ontvangen LTS-versies via Extended Security Maintenance drie tot vijf jaar aanvullende ondersteuning, afhankelijk van de betreffende versie. Hierdoor kunnen organisaties die nog niet zijn geüpgraded naar een nieuwere versie voldoen aan compliancestandaarden. "Kwetsbaarheden die niet worden gepatcht openen je systemen voor hackers en de mogelijkheid van grote datalekken. Verder zijn beveiligingsupdates vaak noodzakelijk om aan regelgeving te voldoen die in de financiële, gezondheids-, e-commerce- en telecomsector gelden", aldus Canonical. Het softwarebedrijf stelt dat sinds de lancering van Ubuntu 14.04 vijf jaar geleden meer dan 1300 Ubuntu Security Notices (USNs) voor het besturingssysteem zijn verschenen, waarbij één USN meerdere kwetsbaarheden kan verhelpen. bron: security.nl

Cisco heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer ernstige kwetsbaarheid in Elastic Services Controller (ESC). Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek is het met een 10 beoordeeld. Elastic Services Controller is een oplossing voor het beheren van virtuele netwerkfuncties, waaronder het monitoren van virtual machines, automatische recovery en dynamisch opschalen. Een kwetsbaarheid in de programmeerinterface van de controller zorgt ervoor dat een ongeauthenticeerde aanvaller door alleen het versturen van een verzoek naar de interface willekeurige acties op het systeem kan uitvoeren met beheerdersrechten. De kwetsbaarheid is aanwezig in versie 4.1, 4.2, 4.3 en 4.4 van de software. Beheerders krijgen dan ook het advies om te updaten naar versie 4.5. Cisco merkt op dat de programmeerinterface niet standaard staat ingeschakeld. De netwerkgigant meldt verder dat er op dit moment nog geen meldingen van misbruik zijn waargenomen. bron: security.nl