Captain Kirk

Google heeft maatregelen aangekondigd die gebruikers van Chrome tegen fingerprinting moeten beschermen en meer controle over cookies moeten geven. Dit moet gebruikers meer privacy geven. Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld. Het gaat dan bijvoorbeeld om scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. Aan de hand hiervan wordt een digitale vingerafdruk gemaakt waarmee gebruikers vervolgens over het web te volgen zijn. "Omdat fingerprinting niet transparant is en gebruikers er geen controle over hebben, zorgt het voor tracking dat de keuze van gebruikers niet respecteert", zegt Justin Schuh van Google in een blogpost. Daarom zal Google agressiever tegen fingerprinting op het web gaan optreden. Zo zal Google de manieren gaan beperken waarop op Chromium gebaseerde browsers passief zijn te fingerprinten, zodat actief fingerprinten kan worden gedetecteerd zodra het plaatsvindt. Tevens zal Google veranderingen doorvoeren in de manier waarop Chrome met cookies omgaat. Webontwikkelaars moeten straks specifiek aangeven welke cookies zijn toegestaan om op meerdere websites te worden gebruikt en zijn te gebruiken om gebruikers te volgen. Hierdoor wordt het mogelijk voor gebruikers om deze cross-site trackingcookies te verwijderen, terwijl andere cookies waarmee de gebruiker op een site is ingelogd bewaard blijven. Ook zorgt deze maatregel ervoor dat Chrome en andere op Chromium gebaseerde browsers informatie kunnen bieden over welke websites deze trackingcookies plaatsen. Volgens Schuh heeft de maatregel ook grote veiligheidsvoordelen voor gebruikers, omdat het cookies standaard tegen cross-site injection en informatielekken zoals Spectre en cross-site request forgery (CSRF) beschermt. Uiteindelijk is Google ook van plan om cross-site cookies voor https-verbindingen te beperken, wat gebruikers extra privacybescherming geeft. bron: security.nl

Onderzoekers hebben malware voor Microsoft Exchange-servers ontdekt die speciaal ontwikkeld is om e-mails te lezen, aan te passen of te blokkeren en tevens als een backdoor dient. Daarnaast is de malware zeer lastig te verwijderen. Dat meldt antivirusbedrijf ESET in een vandaag verschenen rapport. Volgens de virusbestrijder maken de aanvallers gebruik van een techniek die nog nooit eerder is gezien, namelijk een Transport Agent. Microsoft Exchange biedt via het gebruik van Transport Agents extra functionaliteit, zoals het filteren van spam en besmette e-mails en het toevoegen van een onderschrift aan elke verstuurde e-mail. Transport Agents kunnen worden gemaakt door Microsoft, externe leveranciers of de organisatie die de Exchange-server beheert. De LightNeuron-malware voegt een Transport Agent toe waarmee het berichten kan onderscheppen, lezen en blokkeren, alsmede nieuwe e-mails versturen. Het lijkt erop dat de aanvallers de getroffen organisaties eerst compromitteren en dan de Exchange Server-infecteren. Zo ontdekte ESET op het netwerk van getroffen organisaties ook andere malware van de aanvallers. De eerste versie van de LightNeuron-malware zou al in 2014 zijn ontwikkeld. De meest recente versie is in 2016 gemaakt. Onder andere diplomatieke organisaties en ministeries van Buitenlandse Zaken in Oost-Europa en het Midden-Oosten waren doelwit van de aanvallers. Deze aanvallen vonden in 2017 en 2018 plaats. "In een aantal gevallen draaide LightNeuron met systeemrechten. Het is vaak lastig om dergelijke rechten op een Exchange-server te krijgen, aangezien het één van de belangrijkste middelen van een organisatie is. Eenmaal gecompromitteerd is het waarschijnlijk dat de malware maanden of jaren onopgemerkt blijft", aldus de onderzoekers. Het verwijderen van de malware is geen eenvoudige opgave, zo laten de onderzoekers in het onderzoeksrapport verder weten (pdf). Door de twee kwaadaardige bestanden van de malware te verwijderen stopt de Microsoft Exchange-server namelijk met werken en kan niemand in de organisatie nog e-mails versturen of ontvangen. Antivirusbedrijven wordt dan ook aangeraden om deze twee bestanden niet zomaar te verwijderen, maar van een goede schoonmaakroutine gebruik te maken. Het is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen. Volgens ESET wordt de LightNeuron-malware door een groep genaamd Turla gebruikt, die ook als Snake en Uroburos bekendstaat. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zerodaylekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen. bron: security.nl

Versleutelde e-maildienst ProtonMail stopt met het ondersteunen van Internet Explorer 11, zo heeft het bedrijf vandaag bekendgemaakt. Volgens ProtonMail moeten gebruikers naar een veiligere, modernere browser upgraden om van de e-maildienst gebruik te blijven maken. Internet Explorer 11 wordt nog wel gewoon door Microsoft met beveiligingsupdates ondersteund. De softwaregigant zal dit blijven doen zolang het Windows 10 ondersteunt. Toch is ProtonMail van mening dat IE11 geen veilige browser is. "Microsoft verplaatst de aandacht naar Edge en minder ontwikkelaars testen ermee. Daardoor zijn meer bugs en kwetsbaarheden onvermijdelijk", aldus Ben Wolford van ProtonMail. Verder stelt Wolford dat maar weinig ProtonMail-gebruikers van IE11 gebruikmaken. Ongeveer één procent van al het verkeer is afkomstig van IE11. De versleutelde e-maildienst wil daarnaast allerlei nieuwe features ontwikkelen, in plaats van een verouderde browser te ondersteunen die allerlei functionaliteit mist. IE11 heeft volgens marktvorser Net Applications op de desktop nog een marktaandeel van 7,7 procent. bron: security.nl

Systemen met de Windows 10 May 2019 Update (versie 1903) zijn nu gecertificeerd voor wachtwoordloze authenticatie. Dat heeft de FIDO Alliance bekendgemaakt. De Fast IDentity Online (FIDO) Alliance, die uit allerlei techbedrijven bestaat, heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Via Windows Hello kunnen Windows 10-gebruikers door hun biometrische kenmerken of een pincode op het systeem en apps inloggen. Naast de FIDO2-certificering laat de nieuwste Windows 10-update Firefoxgebruikers via Windows Hello of FIDO-beveiligingssleutels op hun Microsoft-account inloggen of andere websites die de FIDO-standaard ondersteunen. Chromium-gebaseerde browsers, zoals Chrome en Edge on Chromium, zullen deze feature binnenkort ondersteunen. Microsoft, dat een deelnemer van de FIDO Alliance is, roept bedrijven en softwareontwikkelaars op om aan een wachtwoordloze toekomst te werken door wachtwoordalternatieven zoals Windows Hello te ondersteunen. bron: security.nl

Verschillende tools die bij de Amerikaanse geheime dienst NSA werden gestolen en eind 2016 en in 2017 online verschenen zijn al begin 2016 door een andere partij voor cyberspionage toegepast. Het gaat onder andere om een zerodaylek in Windows dat Microsoft in maart van dit jaar patchte. Dat meldt Symantec in een blogpost. In augustus 2016 en begin 2017 publiceerde een groep die zich Shadow Brokers noemt verschillende tools en exploits van de NSA. Deze exploits werden onder andere voor de verspreiding van de WannaCry-ransomware gebruikt. Symantec heeft aanwijzingen gevonden dat de gelekte NSA-tools al een jaar voor het online verschijnen door een groep aanvallers genaamd APT3 (ook bekend als Buckeye en Gothic Panda) werd gebruikt. Het gaat hierbij om varianten van de tools die door Shadow Brokers werden vrijgegeven, wat een andere herkomst suggereert. Zo gebruikte APT3 de DoublePulsar-backdoor van de NSA al in maart 2016. Deze backdoor werd pas in april 2017 door Shadow Brokers openbaar gemaakt. Om de backdoor bij slachtoffers te installeren maakten de aanvallers gebruik van twee kwetsbaarheden in Windows. Het eerste beveiligingslek werd in maart 2017 door Microsoft gepatcht. De tweede kwetsbaarheid werd in september 2018 door Symantec aan Microsoft gemeld, waarna er in maart van dit jaar een update voor verscheen. Hoe APT3 de NSA-tools wist te verkrijgen voordat die door Shadow Brokers openbaar werden gemaakt is nog onbekend, aldus Symantec. De tools werden onder andere tegen doelwitten in België en Luxemburg gebruikt. APT3 zou in 2017 zijn gestopt met het uitvoeren van aanvallen, maar de tools die het gebruikte werden nog tot eind 2018 bij aanvallen waargenomen. Door wie is echter onbekend. bron: security.nl

Microsoft heeft tijdens de ontwikkelaarsconferentie Microsoft Build 2019 nieuwe privacytools gedemonstreerd die aan Edge zullen worden toegevoegd en waarmee gebruikers online tracking kunnen tegengaan. Volgens de softwaregigant hebben gebruikers laten weten dat ze niet begrijpen hoe websites hun data gebruiken. Ook hebben gebruikers het gevoel dat ze tijdens het browsen geen controle over hun eigen data hebben. Om hier tegemoet aan te komen heeft Microsoft nu een privacydashboard voor Edge gedemonstreerd. Hiermee kunnen gebruikers van de browser straks uit verschillende niveaus kiezen om hun gegevens te delen en beschermen. Afhankelijk van het gekozen niveau zal de browser gebruikers beschermen tegen third party tracking. De browser zal drie beschermingsniveaus bieden: unrestricted, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Wanneer de opties precies aan Edge worden toegevoegd is nog niet bekend. bron: security.nl

Criminelen hebben de afgelopen dagen verschillende Git-repositories gegijzeld voor losgeld. Iets wat mogelijk was door onveilig wachtwoord gedrag, zo heeft GitLab laten weten. Git is een versiebeheersysteem dat ontwikkelaars gebruiken voor het beheren van broncode. Bij verschillende ontwikkelaars was er ingebroken op het Git-account en aanwezige code verwijderd. De criminelen hadden een bericht achtergelaten dat er een back-up was gemaakt en er moest worden betaald voor het terugkrijgen van de verwijderde code. Onder andere gebruikers van GitLab, een bekende Git-respository, werden slachtoffer. Volgens het platform heeft de aanvaller tenminste 131 gebruikersaccounts en 163 repositories benaderd. Uit voorzorg zijn alle getroffen accounts tijdelijk uitgeschakeld en de eigenaren geïnformeerd. GitLab stelt in een reactie dat de aanvaller kennis had van het wachtwoord van zijn slachtoffers. Uit onderzoek blijkt dat de gecompromitteerde accounts wachtwoorden in plaintext hadden opgeslagen op een uitrol of gerelateerde repository. "We moedigen het gebruik van wachtwoordmanagers aan om wachtwoorden op een veiligere manier op te slaan, en het inschakelen van tweefactorauthenticatie waar mogelijk. Beide hadden dit probleem kunnen voorkomen", aldus Kathy Wang van GitLab. bron: security.nl

Facebook laat al jaren een externe partij handmatig berichten van gebruikers labelen en het is de vraag of dit wel onder de Europese privacywetgeving is toegestaan. Een team van 260 ingehuurde krachten van het Indiase outsourcingsbedrijf Wipro is al sinds 2014 bezig met het labelen van miljoenen foto's, statusupdates en andere content, zo meldt persbureau Reuters. Berichten worden in vijf categorieën onderverdeeld, onder andere gebaseerd op onderwerp, gebeurtenis en bedoeling. Volgens Facebook wil het zo trends in kaart brengen. Verschillende Wipro-medewerkers stellen dat ze zo een blik in het privéleven van gebruikers krijgen. Gebruikers die hier geen expliciete toestemming voor hebben gegeven, zo stelt een voormalige privacymanager van Facebook die niet bij naam genoemd wil worden. Ook door Wipro-medewerkers doen op basis van anonimiteit hun verhaal, maar Facebook heeft het labelen van berichten wel bevestigd. De AVG verplicht dat bedrijven aangeven hoe persoonlijke gegevens worden verzameld en gebruikt en in veel gevallen moeten gebruikers hier expliciete toestemming voor geven. In het geval Facebook de dienstverlening wil verbeteren door berichten van gebruikers te laten bekijken, dan moet dit expliciet worden vermeld, aldus een advocaat tegenover Reuters. Ook het gebruik van een externe partij zou toestemming kunnen vereisen. Facebook laat in een reactie weten dat het databeleid duidelijk maakt dat de informatie die gebruikers met Facebook delen wordt gebruikt om hun ervaring te verbeteren en dat hierbij externe partijen kunnen zijn betrokken. bron: security.nl

Mozilla heeft een update uitgerold om het probleem te verhelpen waardoor bij Firefoxgebruikers alle extensies werden uitgeschakeld. Een verlopen certificaat zorgde er dit weekend voor dat de browser bij honderden miljoenen gebruikers de extensies uitschakelde. Ook was het niet meer mogelijk om extensies te installeren. Mozilla gebruikte het certificaat dat was verlopen voor het signeren van Firefox-extensies. Doordat het certificaat was verlopen was de digitale handtekening van de certificaten niet meer geldig en besloot Firefox die uit te schakelen. Voor dezelfde reden werd ook de installatie van extensies geblokkeerd. Mozilla kwam dit weekend al met een tussentijdse oplossing om het probleem te verhelpen. Nu is er via de automatische updatefunctie van Firefox een fix uitgerold. Deze update repareert de certificaatketen, zodat uitgeschakelde webextensies, themes, zoekmachines en taalpakketten weer werken. Mozilla merkt op dat er nog resterende problemen zijn waaraan wordt gewerkt, maar dat er besloten is om de update voor maandag uit te rollen om de impact van uitgeschakelde extensies voor het begin van de nieuwe week te beperken. Voor gebruikers van Firefox Desktop en Android is versie 66.0.4 beschikbaar. Gebruikers van Firefox ESR kunnen updaten naar versie 60.6.2. Op de meeste systemen zal de nieuwe versie automatisch worden geïnstalleerd. Anders is de nieuwste Firefox-versie via Mozilla.org te downloaden. bron: security.nl

Mozilla werkt nog altijd aan een update om het probleem te verhelpen waardoor alle extensies bij Firefoxgebruikers zijn uitgeschakeld. Ook gebruikers van Tor Browser zijn door het probleem getroffen. Voor gebruikers die niet op de update willen wachten zijn er tussentijdse oplossingen. Een certificaat dat Mozilla gebruikt voor het signeren van Firefox-extensies is gisteren verlopen. Daardoor is de digitale handtekening van extensies niet meer geldig en besluit Firefox alle extensies uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe. Hierdoor zijn bij honderden miljoenen Firefoxgebruikers de extensies uitgeschakeld. "Dit heeft ons hard geraakt", zo laten de ontwikkelaars van de populair adblocker Adblock Plus weten. Ook zo'n 2 miljoen gebruikers van Tor Browser zijn hierdoor getroffen. Om extra bescherming te bieden wordt Tor Browser, dat op Firefox is gebaseerd, standaard geleverd met de extensie NoScript, die het laden van scripts en andere zaken uitschakelt. Doordat de extensie ook in Tor Browser is uitgeschakeld kan de browser geen hogere beveiligingsniveaus aan gebruikers aanbieden. Mozilla is bezig met een oplossing. Het is echter nog onbekend wanneer die zal verschijnen. In de tussentijd kunnen gebruikers ervoor kiezen om een noodupdate te laten installeren. Dit kan door 'studies' in te schakelen (Firefox Options/Preferences -> Privacy & Security -> Allow Firefox to install and run studies). Nadat de extensies weer werken kan deze optie worden uitgeschakeld. Voor gebruikers van Tor Browser is het Tor Project ook met een tussentijdse oplossing gekomen. Hierbij kunnen gebruikers kiezen om de controle op digitale handtekeningen uit te schakelen. Het Tor Project waarschuwt gebruikers dat dit alleen als tijdelijke oplossing moet worden gebruikt, aangezien er op deze manier een belangrijke beveiligingsmaatregel wordt uitgeschakeld.

Een verlopen certificaat van Mozilla zorgt ervoor dat extensies van Firefox-gebruikers worden uitgeschakeld en het niet mogelijk is om nieuwe extensies te installeren. Het gaat om een certificaat dat wordt gebruikt voor het signeren van extensies, zo blijkt uit een melding op Bugzilla. Dit is het systeem dat Mozilla gebruikt voor het bijhouden van bugs en kwetsbaarheden. Doordat het certificaat is verlopen is de digitale handtekening niet meer geldig en besluit Firefox de extensie uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe. Aangezien miljoenen Firefoxgebruikers extensies hebben geïnstalleerd zorgt dit voor tal van reacties op Hacker News en Reddit. Op de eigen website laat Mozilla weten dat er op dit moment een oplossing voor het probleem wordt getest. In de tussentijd is het signeren van nieuwe extensies uitgeschakeld. bron: security.nl

Honderden draadloze presentatiesystemen die door bedrijven, scholen en universiteiten worden gebruikt zijn toegankelijk vanaf internet en kunnen door het ontbreken van beveiligingsupdates op afstand worden overgenomen. Het gaat om presentatiesystemen van onder andere Barco en Crestron. Via de apparatuur is het mogelijk om data draadloos naar het presentatiescherm door te sturen. Onderzoeker Jacob Baines van securitybedrijf Tenable ontdekte onlangs vijftien kwetsbaarheden in de AM-100- en AM-101-presentatiesystemen van Crestron. Verder onderzoek wees uit dat de WePresent van fabrikant Barco nagenoeg hetzelfde apparaat is. Zowel de software van Barco als Crestron is ontwikkeld door Awind, een dochteronderneming van Barco. Baines ontdekte dat nog meer partijen de WePresent onder een eigen naam aanbieden. Al deze verschillende apparaten zijn via één exploit te compromitteren, aldus de onderzoeker. Nu zijn er wel firmware-updates beschikbaar die de kwetsbaarheid verhelpen, maar in het geval van Crestron zijn die niet door eindgebruikers te downloaden. Bij andere fabrikanten moeten gebruikers eerst een serienummer opgeven. Via de zoekmachine Shodan ontdekte Baines zo'n 1600 draadloze presentatiesystemen. Het grootste deel daarvan draaide niet de laatste versie. In het geval van Crestron, dat de populairste aanbieder is, was 80 procent niet up-to-date. De apparaten bleken onder andere door meer dan honderd universiteiten in Noord-Amerika gebruikt te worden. "Dus wat hebben we hier? Een doorverkocht platform dat tussen verschillende leveranciers verschillende patchniveaus heeft. Gebruikers die traag patches installeren. Lastig te verkrijgen firmware. Installaties die apparaten blootstellen aan het internet en als laatste slechte softwareontwikkelingsmethoden die alle apparaten kwetsbaar maken voor het op afstand uitvoeren van code", aldus de onderzoeker. Gebruikers wordt aangeraden om alleen producten te kopen van leveranciers die standaard 'security practices' volgen en IoT-apparaten niet aan het internet te hangen. bron: security.nl

Er zijn wereldwijd tienduizenden bedrijven met onveilige SAP-configuraties waardoor aanvallers de systemen op afstand kunnen compromitteren. Exploits om deze aanvallen uit te voeren zijn online verschenen. SAP is software voor bedrijfsprocessen en is vooral binnen grote ondernemingen populair. Vorige maand demonstreerde beveiligingsonderzoeker Mathieu Geli tijdens een securityconferentie hoe verkeerd geconfigureerde SAP-installaties zijn te compromitteren. Het probleem wordt veroorzaakt door een verkeerd geconfigureerde Access Control List in SAP Gateway of Message Server. Message Server en Gateway zijn in alle SAP-omgevingen aanwezig. Daardoor kunnen alle SAP NetWeaver Application Servers (AS) en S/4HANA-systemen risico lopen. Door de misconfiguratie kan een aanvaller een applicatie laten denken dat hij een ander SAP-product is en zo zonder inloggegevens volledige toegang tot het systeem krijgen. De enige vereiste is toegang tot het SAP-systeem. Vervolgens is het mogelijk om informatie in het systeem te benaderen of aan te passen. Ook kan de SAP-installatie worden uitgeschakeld. Het gaat hier echter om bekende problemen waar SAP in het verleden al voor heeft gewaarschuwd. Veel bedrijven blijken de bekende configuratiefouten niet te hebben hersteld, zo claimt securitybedrijf Onapsis. Het bedrijf analyseerde honderden SAP-installaties bij klanten en schat dat zo'n 90 procent van de SAP-systemen verkeerd is geconfigureerd. Het probleem wordt vergroot doordat Geli de exploits beschikbaar heeft gemaakt waarmee de aanvallen zijn uit te voeren. De onderzoeker wil hiermee het risico van kwetsbaarheden aantonen en experts helpen bij het testen van SAP-systemen. "We wijzen alleen op iets dat al verholpen is, maar klanten kunnen wat traag zijn. We proberen daar verandering in te brengen door te laten zien dat het belangrijk is en ze het moeten oplossen", aldus Geli. Volgens persbureau Reuters lopen tot 50.000 ondernemingen risico. Bedrijven krijgen dan ook het advies om de aanbevelingen uit de betreffende SAP Security Notes op te volgen (1, 2 en 3). bron: security.nl

Een beveiligingslek in de DCS-2132L-cloudcamera van fabrikant D-Link maakt het mogelijk voor aanvallers om met beelden van gebruikers mee te kijken. Tevens blijkt dat de camera zonder toestemming van gebruikers de http-interface toegankelijk voor het internet maakt. Dat meldt antivirusbedrijf ESET. Beelden van de camera worden naar de cloud gestuurd, waar ze vervolgens via een app zijn te bekijken. Zowel de audio- en videostreams die tussen de camera en de cloud worden verstuurd als de streams van de cloud naar de app zijn onversleuteld. Een aanvaller die zich tussen de gebruiker of camera en het internet bevindt kan zo het dataverkeer onderscheppen en bekijken. Verder ontdekten de onderzoekers dat kwetsbaarheden in het D-Link tunnelingprotocol het mogelijk maken voor een aanvaller om malafide firmware te installeren. De authenticiteit van de aangeboden firmware wordt namelijk niet tijdens het updateproces gecontroleerd. UPnP Een ander probleem met de camera is dat die via UPnP de http-interface op poort 80 voor heel het internet toegankelijk maakt. Dit kan zonder toestemming van de gebruiker gebeuren en zelfs wanneer de opties "Enable UPnP presentation" of "Enable UPnP port forwarding" staan uitgeschakeld. "Waarom de camera een dergelijke gevaarlijke instelling gebruikt is onduidelijk", aldus de onderzoekers. Via de Shodan-zoekmachine werden zo'n 1600 DCS-2132L-camera's gevonden waarvan de http-interface via internet toegankelijk is. Gebruikers van een dergelijke router krijgen het advies om UPnP op de router uit te schakelen. ESET waarschuwde D-Link op 22 augustus vorig jaar, maar de hierboven beschreven problemen zijn nog altijd aanwezig. De DCS-2132L werd ook door allerlei winkels in Nederland verkocht. bron: security.nl

Cisco waarschuwt systeem- en netwerkbeheerders voor een kwetsbaarheid in Nexus 9000-switches waardoor een aanvaller op afstand roottoegang kan krijgen. Het probleem wordt veroorzaakt door de aanwezigheid van een standaard SSH-sleutel waardoor het mogelijk is om als rootgebruiker in te loggen. Deze standaard SSH-sleutel is in alle 9000-switches aanwezig. Een aanvaller kan misbruik van deze kwetsbaarheid maken door via IPv6 een SSH-verbinding naar een aangevallen apparaat te openen, aldus Cisco. Vervolgens kan de aanvaller met de rechten van de rootgebruiker toegang tot het systeem krijgen. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst van het lek met een 9,8 is beoordeeld, is alleen te misbruiken via IPv6. IPv4 is niet kwetsbaar. Cisco heeft een update uitgebracht om het beveiligingslek te verhelpen. Er zijn geen workarounds beschikbaar. bron: security.nl

Een programma dat op veel Dell-computers standaard staat geïnstalleerd bevat twee beveiligingslekken waardoor aanvallers in bepaalde gevallen kwetsbare systemen kunnen overnemen. Dell heeft inmiddels een beveiligingsupdate uitgebracht en adviseert gebruikers om zo snel als mogelijk te updaten. Het gaat om Dell Support Assist, dat proactief de status van de hardware en software op het systeem controleert. Het kan onder andere automatisch beschikbare drivers installeren. Beveiligingsonderzoeker Bill Demirkapi ontdekte dat het in bepaalde gevallen mogelijk is om via Support Assist automatisch kwaadaardige software op het systeem van het slachtoffer te installeren. Voorwaarde is wel dat een aanvaller op hetzelfde netwerk als het slachtoffer zit of op afstand het dns-verkeer van het slachtoffer kan omleiden, bijvoorbeeld door de router te compromitteren. Daarnaast moet het slachtoffer een website van de aanvaller bezoeken. Vervolgens zal Support Assist de kwaadaardige code van de aanvaller op het systeem uitvoeren. De tweede kwetsbaarheid werd door onderzoeker John C. Hennessy-ReCar ontdekt. Via het lek kan een aanvaller op afstand cross-site request forgery (CSRF) aanvallen tegen de gebruiker uitvoeren. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om de aanval uit te voeren moet een slachtoffer wel eerst een malafide link of website openen. Dell heeft Support Assist 3.2.0.90 uitgebracht om de kwetsbaarheden te verhelpen. In onderstaande video demonstreert Demirkapi de aanval. bron: security.nl

Google biedt gebruikers voortaan de mogelijkheid om verzamelde locatie- en activiteitsgegevens, zoals zoekopdrachten, automatisch na een bepaalde tijd te verwijderen. Gebruikers konden via hun Google-account al locatiegegevens en web- en app-activiteiten deels of geheel handmatig verwijderen. Via de nieuwe auto-delete-functie kan dit voortaan automatisch worden gedaan. Gebruikers kunnen aangeven of ze hun gegevens 3 of 18 maanden willen bewaren. Alle gegevens die ouder zijn worden automatisch van het account verwijderd. Google meldt in een blogpost dat de optie eerst naar locatiegeschiedenis en web- en app-activiteiten komt en de komende weken wordt uitgerold. bron: security.nl

Onderzoekers van de Ruhr-Universiteit Bochum hebben binnen verschillende e-mailprogramma's kwetsbaarheden in de implementatie van de encryptiestandaarden S/MIME en OpenPGP ontdekt, waardoor het mogelijk is om de inhoud van een gesigneerde e-mail aan te passen zonder dat dit bij de controle wordt opgemerkt. E-mailhandtekeningen moeten juist voorkomen dat de inhoud ongezien wordt aangepast. Het probleem speelt bij de verificatie van de e-mailhandtekening en niet het maken ervan, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Om de aanval uit te voeren maakten de onderzoekers gebruik van eerder gesigneerde e-mails, injectie-aanvallen, fouten in de implementatie van OpenPGP en S/MIME en het manipuleren van headers. Wanneer HTML/CSS in de e-mailclient staat ingeschakeld is het mogelijk om de controle van de e-mailhandtekening te manipuleren, aldus het BSI. Daardoor krijgt de gebruiker te zien dat het bericht over een geldige handtekening beschikt, terwijl de inhoud door een aanvaller is aangepast. De Duitse overheidsinstantie was sinds maart van dit jaar betrokken bij het coördineren van de kwetsbaarheden met de verschillende e-mailclientontwikkelaars. Inmiddels zijn er voor de verschillende e-mailclients updates uitgekomen. Volgens het BSI kunnen OpenPGP en S/MIME dan ook gewoon worden gebruikt mits de e-mailclient up-to-date is en het laden van actieve content in het e-mailprogramma is uitgeschakeld. Het gaat dan om het uitvoeren van HTML-code en het laden van externe content. Verdere technische details over de beveiligingslekken en kwetsbare e-mailclients zijn niet door het BSI gegeven. bron: security.nl

Google heeft twee beveiligingslekken in Chrome waardoor een aanvaller het onderliggende systeem had kunnen overnemen 'per ongeluk' vergeten te melden toen de beveiligingsupdate verscheen. Dat heeft de internetgigant laten weten bij de release van een nieuwe Chrome-versie. De nieuwe Chrome-versie die gisterenavond verscheen verhelpt twee kwetsbaarheden waarvan de impact beperkt is. In de aankondiging meldt Google dat het in vorige Chrome-versies twee beveiligingslekken heeft verholpen, maar die destijds bij vergissing heeft weggelaten. Volgens onderzoeker Ned Williamson, die in het verleden verschillende ernstige kwetsbaarheden in Chrome ontdekte, gaat het om een "full chain exploit" waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. De onderzoeker die de twee beveiligingslekken ontdekte ontving van Google voor zijn melding bijna 26.000 dollar. In maart bleek dat Google ook al een keer informatie in een beveiligingsbulletin voor Chrome achterwege had gelaten. Destijds ging het om de melding dat een kwetsbaarheid in combinatie met een Windows-lek werd gebruikt om Chrome-gebruikers op 32-bit versies van Windows 7 aan te vallen. bron: security.nl

Elk kwartaal maakt back-updienst Backblaze een overzicht van de betrouwbaarheid van harde schijven, maar in het eerste kwartaal van dit jaar zag het bedrijf een toename van het aantal defecte harde schijven. Er is zelfs sprake van een opwaartse trend, zo blijkt uit de statistieken. De cijfers van Backblaze zijn gebaseerd op iets meer dan 104.000 harde schijven, goed voor 850 petabytes aan opslagruimte. Het uitvalratio in het eerste kwartaal bedroeg 1,56 procent. Een stijging ten opzichte van de 1,2 procent uitval in dezelfde periode een jaar eerder en de 1,25 procent uitval voor heel 2018. Het uitvalratio van 1,56 procent is het hoogste percentage sinds het vierde kwartaal van 2017. Als er naar specifieke harde schijven wordt gekeken laten 12TB Seagate-schijven een hoog uitvalratio zien (2,22 procent). Ook 4TB en en 8TB harde schijven van Seagate vielen met respectievelijk 1,96 en 1,64 procent vaker uit dan andere schijven. De 6TB-schijven van Seagate presteerden daarentegen beter met een uitvalpercentage van 0,27 procent. Om in de statistieken te worden opgenomen moeten er minimaal 45 harde schijven van een bepaald type worden gebruikt. In het geval van 5TB Toshiba-schijven wordt dit aantal precies gehaald. Geen van deze schijven viel uit. Ook de 4TB-schijven van Toshiba kenden geen uitval. Wederom ging het om een relatief klein aantal (99). Backblaze heeft echter ook ruim twaalfhonderd 14TB-schijven van Toshiba in gebruik, met een uitvalratio van 0,33 procent. Verder presteerden de 4TB-schijven van HGST (0,23 en 0,34 procent) beter dan de rest. bron: security.nl

Als het aan de Britse overheid ligt worden Internet of Things-apparaten straks met een uniek wachtwoord geleverd dat niet naar een universeel standaardwachtwoord is terug te zetten. Het Britse ministerie voor Digitale Zaken, Cultuur, Media & Sport is een internetconsultatie gestart over de veiligheid van IoT-apparaten voor particulieren. Het doel is om tot richtlijnen te komen voor fabrikanten, serviceproviders, ontwikkelaars en winkels. Volgens het ministerie worden er op dit moment grote aantallen IoT-apparaten verkocht die zelfs de meest basale beveiligingsmaatregelen missen. Deze kwetsbare apparaten kunnen de achilleshiel van iemands netwerk worden en de privacy en persoonlijke veiligheid van de gebruiker ondermijnen. Gecompromitteerde IoT-apparaten zijn in het verleden voor grootschalige ddos-aanvallen ingezet. "Deze situatie is onhoudbaar", aldus het ministerie. De Britse regering vindt dat IoT-apparaten met ingebouwde security moeten worden geleverd in plaats van dat wordt aangenomen dat de gebruiker verantwoordelijk is voor de beveiliging. In samenwerking met experts zijn er nu door de overheid drie regels opgesteld die als minimale basisbeveiliging moeten worden gezien. Deze regels moeten verplicht gaan gelden voor IoT-apparaten die in het Verenigde Koninkrijk worden aangeboden. Als eerste moeten alle IoT-apparaten met een uniek wachtwoord worden geleverd dat niet terug te zetten is naar een universeel standaardwachtwoord. Fabrikanten moeten daarnaast een contactpersoon vermelden waar onderzoekers beveiligingslekken kunnen melden. Verder zullen fabrikanten aangeven hoelang een IoT-product beveiligingsupdates blijft ontvangen. Deze maatregelen zouden gebruikers tegen de grootste risico's moeten beschermen. De maatregelen kunnen op verschillende manieren in de praktijk worden geimplementeerd. Zo kunnen winkels worden verplicht om alleen IoT-apparaten te verkopen die over een "security label" beschikken dat door de fabrikanten zelf wordt opgesteld. Een tweede optie is om winkels te verplichten dat ze alleen producten aanbieden die aan de drie regels van de overheid voldoen. De derde en laatste optie verplicht winkels om alleen producten te verkopen die aan dertien eerder gestelde regels voldoen. De Britse overheid is van plan om later dit jaar een vrijwillig "security label" te lanceren totdat wetgeving van kracht wordt en de regering heeft beslist welke maatregelen onderdeel van deze wetgeving zijn. Via de internetconsultatie wordt nu om feedback gevraagd, bijvoorbeeld of de overheid zich met regelgeving voor IoT-producten moet bemoeien en of een security label gewenst is. bron: security.nl

Microsoft gaat gebruikers van Windows 10 en Office 365 ProPlus meer opties geven om te bepalen welke gegevens van hun systemen worden verzameld. De softwaregigant reageert daarmee op kritiek van gebruikers en toezichthouders. Voor alle grote producten en diensten komt Microsoft met een categorie van gegevens die verplicht worden verzameld en optionele data. Verplichte gegevens zijn volgens Microsoft nodig om de producten en diensten te laten functioneren. Het gaat dan bijvoorbeeld om zoekopdrachten, ip-adres en het soort en versie van het systeem. Optionele data is niet vereist voor de werking van het product. Bij de installatie of het gebruik van producten en diensten kunnen gebruikers straks aangeven of optionele gegevens mogen worden verzameld. Ook zegt Microsoft het eenvoudiger voor gebruikers te zullen maken om een eerder gemaakte beslissing terug te draaien. Tevens zal Microsoft duidelijker maken welke gegevens het in de verschillende categorieën precies verzamelt. Tevens komt er twee keer per jaar een rapport uit dat laat weten welke nieuwe gegevens verplicht worden verzameld. Daarnaast gaat Microsoft uitleggen als het aanpassingen aan de dataverzameling doorvoert als antwoord op nieuwe privacywetgeving, industriestandaarden en regelgeving. De aanpassingen, zoals de categorisering van verplichte en optionele data, opties om optionele data te verzamelen en meer informatie over de dataverzameling, zullen de komende maanden als eerste voor Windows 10 en Office 365 ProPlus worden doorgevoerd, gevolgd door aanvullende aanpassingen voor producten zoals Xbox en Dynamics 365. bron: security.nl

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Oracle WebLogic Server om systemen met ransomware te infecteren. Afgelopen weekend verscheen er een noodpatch voor het beveiligingslek, waardoor aanvallers op afstand kwetsbare servers kunnen overnemen. "Deze kwetsbaarheid is eenvoudig voor aanvallers te misbruiken, aangezien iedereen met http-toegang tot de WebLogic-server de aanval kan uitvoeren", aldus Pierre Cadieux van Cisco. Volgens Cadieux wordt de kwetsbaarheid al zeker sinds 17 april aangevallen. De noodpatch van Oracle verscheen op 26 april. De eerste fase van de aanvallen met ransomware werd op 25 april waargenomen. Via de kwetsbaarheid kunnen aanvallers de Sodinokibi-ransomware binnen het netwerk van het slachtoffer uitrollen. Deze ransomware versleutelt allerlei bestanden. Voor het ontsleutelen van de bestanden moet een bedrag van 2500 dollar worden betaald. Wanneer het slachtoffer dit niet op tijd doet wordt het losgeld verdubbeld naar 5000 dollar. Cisco verwacht dat het WebLogic-lek op grote schaal misbruikt zal worden en adviseert organisaties om de beveiligingsupdate zo snel als mogelijk te installeren. bron: security.nl

Klinkt raa maar ik heb het probleem eens kunnen oplossen door de HDMI-kabel om te draaien. Dus de kant die nu in de tv zit naar de pc en omgekeerd. Vraag niet waarom, maar het loste het probleem op

Ik zou je adviseren eerst even met stegisoft alle mogelijkheden te doorlopen. Herinstallatie kan altijd nog als laatste redmiddel. Dat je het snel opgelost wil hebben, begrijpen we. Vergeet alleen niet dat we hier allemaal vrijwillig werken en dus niet direct altijd kunnen reageren ;). Neemt niet weg dat je probleem inderdaad irritant is.