Captain Kirk

De Duitse overheid heeft een security-audit van wachtwoordmanager KeePass laten uitvoeren, die twee kleine, mogelijke problemen heeft opgeleverd. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, lanceerde in 2021 het 'Code Analysis of Open Source Software' (CAOS)-project. De bedoeling van dit project is het onderzoeken van opensourceprogramma's waar steeds meer overheden en mensen gebruik van maken. Eerder werd al gekeken naar communicatiesoftware Matrix, microbloggingplatform Mastodon en videoconferentiesoftware Jitsi en BigBlueButton. De nieuwste audit die het BSI liet uitvoeren is van wachtwoordmanager KeePass. De Duitse overheidsinstantie moet de resultaten nog op de eigen website publiceren, maar KeePass laat weten dat er twee kleine potentiële beveiligingsproblemen zijn aangetroffen en onderdelen van de code die verbeterd konden worden. Deze verbeteringen zijn inmiddels in versie 2.57.1 doorgevoerd. bron: https://www.security.nl

Microsoft heeft in een testversie van Edge nieuwe technologie beschikbaar gemaakt voor het tonen van gerichte advertenties binnen de browser. Vooralsnog zijn 'Privacy-Preserving Ads' niet beschikbaar voor gebruikers in Europa. Op den duur zal ook Edge third-party cookies, die vaak voor tracking worden gebruikt, uitfaseren. Om ervoor te zorgen dat gerichte advertenties toch mogelijk blijven kondigde Microsoft eerder dit jaar de 'Ad Selection API' aan. Het techbedrijf omschrijft de API als een 'browser platform feature' waarmee adverteerders en uitgevers zonder third-party cookies toch 'relevante advertenties' kunnen tonen. Hiervoor kijkt Microsofts nieuwe systeem naar het browsegedrag van gebruikers. Het techbedrijf claimt dat hierbij de privacy van gebruikers wordt beschermd en die 'volledige controle' over hun eigen data hebben. Net als bij huidige advertenties maakt ook Microsofts oplossing gebruik van advertentieveilingen. De feature is nu beschikbaar in de Canary- en Dev-versies van Edge, waar gebruikers de API zelf moeten inschakelen. Het gaat hier om vroege testversies, vooral bedoeld voor ontwikkelaars en gebruikers die als eerste nieuwe features willen testen. Microsoft stelt dat de huidige test zowel voor gebruikers als ontwikkelaars is bedoeld, die zo kunnen kijken hoe de nieuwe advertentiemethode op hun websites werkt. Of en wanneer de feature voor Europese gebruikers beschikbaar komt laat Microsoft niet weten. bron: https://www.security.nl

Malware die air-gapped systemen kan infecteren is jarenlang ingezet in Europa, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. De aanvallen zijn volgens de virusbestrijder het werk van een spionagegroep genaamd GoldenJackal, die een niet nader genoemde overheidsorganisatie in Europa van mei 2022 tot en met maart 2024 meerdere keren met de malware aanviel. Bij een air-gap is een systeem fysiek gescheiden van onveilige netwerken, zoals het internet of onveilige lokale netwerken. Een offline of niet verbonden computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. ESET ontdekte twee verschillende toolsets van de spionagegroep die air-gapped systemen via besmette usb-sticks proberen te infecteren. De initiële infectiemethode is echter onbekend. De aanval begint bij systemen die met internet verbonden zijn en besmet worden. Zodra op deze systemen een usb-stick wordt aangesloten zal de malware die infecteren. Wanneer de besmette usb-stick vervolgens op een air-gapped systeem wordt aangesloten, en de gebruiker de malware uitvoert, zal ook dit systeem besmet raken. ESET denkt dat de malware hiervoor een map-icoon gebruikt. De gebruiker denkt een map te openen, terwijl het in werkelijkheid een uitvoerbaar bestand is. Zodra de malware is uitgevoerd kopieert die gegevens van het air-gapped systeem naar de usb-stick. Zodra de usb-stick weer op het met internet verbonden systeem wordt aangesloten kan de gestolen data van het air-gapped systeem naar de aanvallers worden gestuurd. De eerste toolset om air-gapped systemen aan te vallen wordt volgens ESET al sinds 2019 door GoldenJackal ingezet. In dat jaar was een Zuid-Aziatische ambassade in Belarus het doelwit. De tweede toolset is sinds 2022 in gebruik. "Met de vereiste complexiteit is het vrij bijzonder dat GoldenJackal in vijf jaar tijd niet één, maar twee verschillende toolsets heeft ontwikkeld en uitgerold om air-gapped systemen te infecteren", aldus de onderzoekers. Volgens het antivirusbedrijf laat dit zien dat de spionagegroep een 'geraffineerde dreigingsactor' is, die bekend is met de netwerksegmentatie die doelwitten toepassen. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland honderdvijftig ‘small office and home office’ routers (soho-routers) geïdentificeerd die onderdeel van botnets zijn. Het grootste deel daarvan bevindt zich in Zuid-Holland. Voor eigenaren van ASUS-routers heeft de overheidsinstantie via GitHub een script beschikbaar gemaakt om de aanwezigheid van kwaadaardige processen en bestanden op het apparaat te controleren. De routers in kwestie zijn besmet met TheMoon-malware en Alogin-botnetmalware, zo laat het NCSC in een analyse weten. De malwarefamilies werden ontdekt tijdens onderzoek naar verdachte activiteiten op ASUS-netwerkrouters van bedrijven en consumenten. Zowel particulieren als bedrijven gebruiken deze routers voor hun internetverbinding. "Het betreft hier expliciet de apparatuur die consumenten en bedrijven zelf openstellen richting het internet en niet netwerkapparatuur die verstrekt is door internetproviders", zo stelt het NCSC. Het verdachte internetverkeer kwam aan het licht doordat de ip-adressen van deze routers gerapporteerd werden wegens veelvuldige authenticatiepogingen op ssh-servers. Ook werd duidelijk dat deze routers deel uitmaakten van het Alogin-botnet dat uit besmette Asus-routers bestaat. Het NCSC kon met toestemming van een eigenaar van een besmette ASUS-router de malware veilig stellen en vervolgens onderzoek doen. De analyse daarvan is een blogposting beschreven. Daarin doet de overheidsinstantie ook aanbevelingen, waaronder het tijdig installeren van firmware-updates, vervangen van end-of-life apparaten en het niet direct blootstellen van netwerkapparaten aan internet zonder juiste beveiligingsmaatregelen. Daarnaast werkt het NCSC samen met partners om contact op te nemen met en meldingen te sturen naar getroffen gebruikers. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft meer dan honderd kwetsbaarheden in verschillende producten verholpen, waaronder twee beveiligingslekken in Windows waar aanvallers actief misbruik van maken. Tevens zijn twee problemen in Windows gepatcht waardoor systemen zonder enige interactie van gebruikers op afstand door aanvallers zijn over te nemen. De eerste actief aangevallen kwetsbaarheid (CVE-2024-43573) bevindt zich in het Windows MSHTML-platform, waarin Microsoft de afgelopen maanden meerdere beveiligingslekken verhielp die al voor het uitkomen van de updates actief werden misbruikt. Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld. De tweede kwetsbaarheid (CVE-2024-43572) die Microsoft deze maand heeft gerepareerd en al voor het uitkomen van de patch werd misbruikt bevindt zich in de Microsoft Management Console. In dit geval moet een aanvaller het slachtoffer zover zien te krijgen om een malafide MMC snap-in te laden. Via de Microsoft Management Console is het mogelijk om admintools te maken, opslaan en openen. Een snap-in is een tool die binnen MMC wordt gehost. Microsoft geeft geen verdere details over de aard en omvang van het misbruik. Twee andere beveiligingslekken die deze maand opvallen, maar die volgens Microsoft niet worden misbruikt, zijn aanwezig in Remote Desktop Protocol Server (CVE-2024-43582) en Microsoft Configuration Manager (CVE-2024-43468). Beide kwetsbaarheden maken het mogelijk voor ongeauthenticeerde aanvallers om systemen op afstand zonder enige interactie van gebruikers over te nemen. In het geval van het lek in Remote Desktop Protocol Server moet een aanvaller hiervoor een speciaal geprepareerd pakket naar een RPC-host sturen. De kwetsbaarheid in de Configuration Manager is via het versturen van een speciaal request te misbruiken. De beschikbaar gestelde updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Connect Secure en Policy Secure maakt het mogelijk voor aanvallers om code op vpn-servers uit te voeren. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. In het verleden is Connect Secure vaker het doelwit van aanvallen geweest. De kwetsbaarheid (CVE-2024-37404) waarvoor Ivanti nu waarschuwt bevindt zich in de adminportal van de vpn-oplossing en is alleen te misbruiken als een aanvaller toegang tot inloggegevens van een beheerder heeft. Ondanks deze vereiste is de impact van het beveiligingslek op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Ivanti raadt organisaties aan de beschikbare update te installeren. Daarnaast wordt geadviseerd om admintoegang alleen voor de managementinterface in te schakelen en ervoor te zorgen dat deze interface verbonden is met een geïsoleerd intern netwerk. bron: https://www.security.nl

Een kwetsbaarheid in de WordPressplug-in LatePoint, die op duizenden websites actief is, laat aanvallers door middel van SQL Injection het adminwachtwoord wijzigen, om zo de website volledig over te nemen. Via LatePoint kunnen WordPress-sites online reserveringen en afspraken van gebruikers beheren. De plug-in zou op meer dan zevenduizend websites geïnstalleerd zijn, meldt securitybedrijf Wordfence. Onderzoekers vonden twee kritieke kwetsbaarheden in de plug-in. Het eerste probleem wordt veroorzaakt door het onvoldoende escapen van gebruikersinvoer, waardoor SQL Injection mogelijk is. Dit zorgt ervoor dat een ongeauthenticeerde aanvaller van elk account, waaronder de beheerder, het wachtwoord kan wijzigen. Voorwaarde voor misbruik is wel dat de optie 'Use WordPress users as customers' actief is, die standaard niet ingeschakeld staat. Het tweede probleem zorgt ervoor dat een gebruiker als elke gebruiker kan inloggen, waaronder de beheerder, als het 'user id' bekend is. Wederom moet de optie 'Use WordPress users as customers' zijn ingeschakeld. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van LatePoint kwamen op 24 september met een volledige update. Daarop heeft Wordfence nu de details openbaar gemaakt. Het gaat hier om een commerciële plug-in, waardoor er geen cijfers zichtbaar zijn van hoeveel sites niet up-to-date zijn, zoals met plug-ins op WordPress.org wel het geval is. bron: https://www.security.nl

Chipfabrikant Qualcomm waarschuwt voor een actief misbruikte kwetsbaarheid die aanwezig is in een groot aantal chipsets. Het bedrijf heeft firmware-updates uitgebracht om het probleem te verhelpen. Smartphonefabrikanten moeten die update binnen hun eigen patches verwerken en onder hun gebruikers uitrollen. De kwetsbaarheid, aangeduid als CVE-2024-43047, bevindt zich in een onderdeel verantwoordelijk voor 'digital signal processing'. Een aanvaller die al toegang tot de telefoon heeft kan dit beveiligingslek misbruiken voor het veroorzaken van een use after free. Hierdoor kan een aanvaller onder andere code uitvoeren of zijn rechten verhogen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het probleem raakt meer dan zestig chipsets van Qualcomm. Verdere details over het beveiligingslek of de waargenomen aanvallen zijn niet gegeven. Qualcomm meldt alleen dat misbruik is bevestigd door Google Project Zero en Amnesty International Security Lab, wat doet vermoeden dat het lek is gebruikt bij de verspreiding van spyware. Het CVE-nummer staat nog niet in de beveiligingsbulletins van Google en Samsung vermeld. "Hopelijk wordt de kwetsbaarheid snel op Androidtoestellen verholpen", zo laat de Google-onderzoeker weten die het probleem ontdekte. bron: https://www.security.nl

Mozilla gaat een actievere rol spelen in online advertenties, waarbij een balans tussen commercieel gewin en publiek belang cruciaal is, zo heeft de Firefox-ontwikkelaar aangekondigd. De afgelopen weken kwam Mozilla onder vuur te liggen vanwege tracking in Firefox. Er werd zelfs een klacht over Mozilla bij de Oostenrijkse privacytoezichthouder ingediend. Volgens Mozilla-president Mark Surman is de huidige advertentie-industrie 'fundamenteel kapot', maar ziet hij geen toekomst waarbij advertenties zullen verdwijnen. Mensen staan in het huidige advertentielandschap niet op de eerste plaats en hun privacy wordt niet gerespecteerd, aldus Surman. "Er moeten betere opties komen. Mozilla kan een sleutelrol spelen in het ontwikkelen van deze betere opties, niet alleen door ervoor te pleiten, maar ook door ze daadwerkelijk te bouwen." De Mozilla-president merkt op dat online advertenties niet te negeren zijn. "Het is een belangrijke factor voor hoe het internet werkt en wordt gefinancierd. We moeten het recht in de ogen kijken en proberen te repareren." De oplossing die Mozilla voor zich ziet bestaat uit wetgeving, standaarden en producten die privacy respecterende advertenties mogelijk maken. Surman ziet geen wereld voor zich waarin advertenties er niet meer zijn, maar kan zich naar eigen zeggen wel een wereld voorstellen waarin online adverteren op een manier gebeurt waarbij de privacy van iedereen wordt gerespecteerd en waar commerciële en publieke belangen in balans zijn. "Mozilla wordt actiever in online adverteren. Onze hypothese is dat we tegelijkertijd moeten werken aan openbaar beleid, standaarden, producten en infrastructuur", zegt Mozilla-ceo Laura Chambers. Zowel Chambers als Surman maken excuses voor de 'verwarring en zorgen' die zijn ontstaan over de Privacy Preserving Attribution technologie in Firefox. De methode waarmee Mozilla binnen Firefox wil meten hoe succesvol advertenties zijn. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritiek SQL Injection-lek in Ivanti Endpoint Manager (EPM), zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Ivanti kwam afgelopen mei met updates voor de kwetsbaarheid, aangeduid als CVE-2024-29824. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server kan dan ook vergaande gevolgen hebben, omdat zo ook andere apparaten van de organisatie zijn aan te vallen. Via CVE-2024-29824 kan een ongeauthenticeerde aanvaller willekeurige code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. Op het moment dat Ivanti het probleem in mei verhielp waren er volgens het bedrijf nog geen aanwijzingen dat er misbruik van werd gemaakt. Volgens het CISA is dat inmiddels wel het geval. Details over de waargenomen aanvallen zijn niet gegeven. Amerikaanse overheidsinstantie die met Ivanti EPM werken zijn opgedragen om de beveiligingsupdates voor 23 oktober te installeren. bron: https://www.security.nl

Honderdduizenden routers van fabrikant DrayTek bevatten een kritiek beveiligingslek waardoor ze op afstand door aanvallers zijn over te nemen. Dat stelt securitybedrijf Forescout op basis van eigen onderzoek. DrayTek heeft firmware-updates uitgebracht, maar elf van de 24 kwetsbare routermodellen zijn end-of-life en worden niet meer met patches ondersteund. Ook voor deze modellen heeft DrayTek echter updates uitgebracht. Volgens onderzoekers zijn 704.000 DrayTek-routers vanaf internet benaderbaar, waarvan er 43 procent end-of-life zijn. Onderzoekers van Forescout vonden in totaal veertien kwetsbaarheden in de routermodellen. De gevaarlijkste daarvan is CVE-2024-41592. Dit beveiligingslek maakt remote code execution mogelijk. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Forescout telde op internet 704.000 routers waarvan de gebruikersinterface benaderbaar is. Meer dan 425.000 daarvan bevinden zich in de EU. Van de aangetroffen routers is 43 procent end-of-life, 20 procent end-of-service en 37 procent wordt nog actief ondersteund. 72 procent van deze routers is volgens Forescout bij mkb-bedrijven in gebruik. Beheerders worden aangeraden om beschikbare firmware-updates te installeren. In het geval van routers die end-of-life zijn wordt geadviseerd die te vervangen. Tevens krijgen beheerders het advies om remote toegang uit te schakelen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid waardoor het mogelijk is om commando's op Zimbra-mailservers uit te voeren, zo waarschuwt securitybedrijf Proofpoint. Zimbra kwam vorige maand met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-45519. Eind september verscheen er proof-of-concept exploitcode online. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige commando's op de mailserver uitvoeren. In het beveiligingsbulletin spreekt Zimbra van het uitvoeren van commando's, terwijl Proofpoint het over remote code execution heeft. Bij de aanvallen versturen de aanvallers e-mails die van Gmail afkomstig lijken en in het CC-veld de malafide commando's bevatten. Volgens securitybedrijf HarfangLab vindt er inmiddels grootschalig misbruik plaats. Via de kwetsbaarheid installeren de aanvallers een webshell, zodat ze toegang tot de mailserver behouden en verdere aanvallen kunnen uitvoeren. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

UBlock-ontwikkelaar Raymond Hill heeft de lite-versie van zijn adblocker van Mozilla Add-ons verwijderd, nadat dit eerder ten onrechte door Mozilla zelf werd gedaan. UBlock Origin is veruit de populairste Firefox-extensie, met meer dan 8,4 miljoen gebruikers. De nummer twee, Video DownloadHelper, volgt op afstand met 1,9 miljoen gebruikers, wat aangeeft hoe populair uBlock Origin is. De manier waarop extensies in onder andere Google Chrome en Mozilla Firefox werken staat beschreven in een Manifest. Lange tijd werkten browsers met Manifest V2, maar Google is bezig om deze versie uit te faseren en te vervangen door Manifest V3. Deze versie kent echter allerlei beperkingen voor voornamelijk adblockers. Er is geen Manifest V3-versie van uBlock Origin beschikbaar. Vanwege de nieuwe Manifest V3-regels lanceerde Hill twee jaar geleden een 'lite' versie van de adblocker genaamd uBlock Origin Lite. Dit is een beperkte versie van uBlock Origin met minder mogelijkheden. Huidige gebruikers van uBlock Origin zullen niet automatisch naar de lite-versie worden overgezet, omdat er te grote verschillen zijn. Mozilla heeft aangegeven Manifest V2 voorlopig te blijven ondersteunen. De lite-versie van de adblocker is echter ook beschikbaar voor Firefox-gebruikers en was te downloaden via addons.mozilla.org. Ruim vijfduizend Firefox-gebruikers hadden dit gedaan. Onlangs kreeg Hill twee e-mails van Mozilla dat zijn nieuwste versies van uBlock Origin Lite niet aan de regels voldeden. Zo zou de extensie geen privacybeleid hebben en 'geen toegang voor dataverzamelen' vragen, ook al doet de extensie dit helemaal niet. Hill liet weten dat hij geen 'tijd of motivatie' had om aan 'deze nonsens' te verspillen. Mozilla verwijderde de recente versies van uBlock Origin Lite en liet alleen de allereerste versie staan. Een aantal dagen later liet Mozilla in een reactie op de kritiek van Hill weten dat het inderdaad om een fout ging en de beslissing incorrect was. Daarop werden de nieuwe versies van de extensie weer teruggeplaatst. De uBlock-ontwikkelaar is naar eigen zeggen helemaal klaar met het controleproces van Mozilla en heeft nu besloten uBlock Origin Lite van addons.mozilla.org te verwijderen en de extensie zelf via GitHub te hosten. bron: https://www.security.nl

Criminelen zijn erin geslaagd om in te breken op webservers van hostingbedrijf Rackspace, zo heeft het bedrijf aan klanten laten weten. De aanvallers maakten gebruik van een kwetsbaarheid in het SL1-monitoringplatform van ScienceLogic dat Rackspace gebruikt. De kwetsbaarheid was op het moment van de aanval onbekend, aldus Rackspace tegenover verschillende media. Volgens het hostingbedrijf worden de getroffen systemen gebruikt voor het genereren van interne performancerapporten en blijkt uit forensisch onderzoek dat er geen toegang tot klantconfiguraties of hun gehoste data is verkregen. Wel hadden de aanvallers toegang tot monitoringinformatie met een 'low-security sensitivity'. Waar deze informatie precies uit bestond laat Rackspace niet weten. Wel zegt het hostingbedrijf dat alle getroffen klanten zijn ingelicht en die geen verdere stappen hoeven te ondernemen. Vanwege de aanval hadden klanten geen toegang tot het monitoringdashboard. De kwetsbaarheid die de aanvallers gebruikten bevond zich in een niet nader genoemde 'third-party utility' die met het SL1-platform wordt meegeleverd. Het probleem is inmiddels door ScienceLogic verholpen. ScienceLogic laat aan The Register weten dat er geen CVE-nummer voor de kwetsbaarheid is uitgegeven. bron: https://www.security.nl

icrosoft is begonnen met de uitrol van Windows 11 versie 24H2, ook bekend als de Windows 11 2024 Update. Deze versie bevat allerlei nieuwe features en zal op de Enterprise en Education versies van Windows 11 drie jaar lang door Microsoft worden ondersteund. Windows 11 versie 24H2 bevat op het gebied van security verschillende nieuwe onderdelen, waaronder Personal Data Encryption (PDE) voor bekende Windows-mappen en Windows protected print mode. Daarmee hoeft er geen gebruik meer worden gemaakt van third-party software installers. Verder is support voor Wi-Fi 7 toegevoegd, een nieuwe wifi-standaard, en zal Windows 11 voortaan ook het hashing-algoritme SHA-3 ondersteunen. Gebruikers kunnen nu ook zien welke apps toegang tot wifi-netwerken in de omgeving hebben en zijn verschillende delen van de Windows-kernel via 'memory safe' programmeertaal Rust herschreven. Daarnaast zijn er ook aanpassingen aan het Server Message Block (SMB) protocol doorgevoerd en ondersteunt Windows nu het maken van 7-zip- and TAR-archiefbestanden. Windows 11 versie 24H2 is beschikbaar via Windows Server Update Services (WSUS) en Windows Update for Business. Het techbedrijf laat weten een gefaseerde uitrol te hanteren en het onder gebruikers te verspreiden als data aantoont dat hun apparaat er klaar voor is. In de aankondiging laat Microsoft ook weten dat het aanpassingen aan de fel bekritiseerde Recall-feature heeft doorgevoerd. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Standaard staat de feature uit voor alle commerciële apparaten en moet het via een policy worden toegestaan voordat gebruikers zich via een opt-in kunnen aanmelden. Eenmaal ingeschakeld worden gebruikers eerst via Windows Hello bevestigd voor de feature beschikbaar is. bron: https://www.security.nl

Vpn-providers beschermen niet je privacy op internet en zijn niet te vertrouwen, zowel de gratis als betaalde aanbieders, zo stelt TechCrunch in een serie artikelen waarin het stelt dat de meeste mensen geen vpn nodig hebben. Wanneer een vpn wel is vereist is het verstandiger om zelf een vpn-server op te zetten, aldus het online magazine. "Vpn-providers zijn bijna overal", merkt redacteur Zack Whittaker op. Hij wijst naar alle online advertenties en influencers op YouTube die reclame voor vpn-diensten maken. "Vpn's zijn een bloeiende industrie die beweren je privacy te beschermen door je anoniem op internet te houden door je browsegeschiedenis te verbergen. Geloof het niet. Vpn-providers zijn over het algemeen niet goed voor je privacy." Whittaker benadrukt dat een vpn-provider alleen het verkeer van gebruikers omleidt via de eigen servers. "Dat roept de vraag op: Waarom zou je een vpn die belooft je privacy te beschermen meer vertrouwen dan je internetprovider? Het eenvoudige antwoord is dat je dat niet kunt, en dat je dat ook niet zou moeten doen." Eén van de problemen is dat gebruikers niet kunnen zien wat er met hun data gebeurt, merkt de redacteur op. TechCrunch heeft een eenvoudige flowchart gemaakt waarin staat wanneer het nuttig kan zijn een vpn te gebruiken. Het gaat dan vooral om het omzeilen van geografische beperkingen om content in een andere regio te bekijken. "Vpn's kunnen in bepaalde gevallen handig zijn, maar het is belangrijk om hun beperkingen te kennen. Vertrouw niet op vpn-providers om je privacy of anonimiteit te beschermen", besluit Whittaker. Wie toch een vpn nodig heeft kan die volgens TechCrunch beter zelf opzetten, waarbij een uitleg wordt gegeven om een eigen server gebaseerd op Tailscale op te zetten. bron: https://www.security.nl

Op verzoek weer even geopend.

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de D-Link DIR 820-router. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, dat oproept de apparatuur niet meer te gebruiken. Het beveiligingslek in de router, aangeduid als CVE-2023-25280, maakt het voor ongeauthenticeerde aanvallers op afstand mogelijk om door middel van command injection root-toegang tot het apparaat te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is sinds vorig jaar maart bekend. De DIR 820-router wordt echter niet meer door D-Link met updates ondersteund en is dan ook end-of-life. Het CISA roept gebruikers en organisaties daarom op om het product niet langer te gebruiken. Details over de waargenomen aanvallen zijn niet door de Amerikaanse overheidsinstantie gegeven. bron: https://www.security.nl

Microsofts gratis virusscanner Defender waarschuwt gebruikers voortaan ook voor onveilige en 'verdachte' openbare wifi. Volgens het techbedrijf zijn dergelijke netwerken niet altijd veilig en kan persoonlijke data van gebruikers gevaar lopen. De waarschuwing wordt alleen getoond voor gebruikers met een Microsoft 365 family of persoonlijk abonnement. Daarnaast moeten gebruikers zijn ingelogd met hun Microsoft-account. De virusscanner zal automatisch detecteren en waarschuwen voor 'unsecure' en 'unsafe' wifi-verbindingen. In dit laatste geval gaat het om 'verdachte wifi', waarbij Microsoft gebruikmaakt van heuristiek. In de waarschuwing zal de optie worden geboden om een vpn-verbinding in te schakelen. De wifi-detectie is op dit moment beschikbaar voor Android, iOS en Windows. MacOS-support volgt. Gebruikers kunnen de waarschuwing van de virusscanner negeren en gewoon verbinding met de wifi-netwerken maken. bron: https://www.security.nl

Een groep criminelen genaamd Storm-0501 voert ransomware-aanvallen uit tegen hybride cloudomgevingen, waarbij data en inloggegevens worden gestolen en ransomware uitgerold, zo meldt Microsoft. De groep heeft het volgens het techbedrijf tegen meerdere sectoren in de Verenigde Staten voorzien, waaronder politie, transport, overheid en productie. Voor het uitvoeren van de aanvallen maakt de groep gebruik van 'zwakke inloggegevens' en accounts met te veel rechten om van de on-premises omgeving van de organisatie naar cloudomgevingen te bewegen. Naast zwakke credentials maakt de groep ook gebruik van bekende kwetsbaarheden in Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion om toegang tot servers te krijgen en daarvandaan verdere aanvallen uit te voeren. Zodra de groep een netwerk is binnengedrongen wordt geprobeerd om zoveel mogelijk inloggegevens te stelen, waaronder secrets van wachtwoordmanager KeePass. Ook wordt er geprobeerd om lateraal naar de cloudomgeving te bewegen. "Bij de recente Storm0501-campagne wist de aanvaller Microsoft Entra Connect Sync servers te lokaliseren en plaintext credentials van de Microsoft Entra Connect cloud en on-premises sync-accounts te stelen", aldus Microsoft. "Na het compromitteren van het cloud Directory Synchronization Account, kan de aanvaller zich via de clear text credentials authenticeren en een access token voor Microsoft Graph krijgen." Microsoft waarschuwt dat het compromitteren van het Microsoft Entra Connect Sync-account een groot risico voor de aangevallen organisatie vormt, aangezien het de aanvaller in staat stelt om de Microsoft Entra ID wachtwoorden van elk hybride account in te stellen of te wijzigen. Een andere methode waardoor de groep cloudomgevingen weet te compromitteren is door een on-premises account te compromitteren dat ook een account in de cloud heeft. Nadat de aanvaller de eerdere accounts heeft gecompromitteerd maakt die gebruik van een Global Administrator-account om een nieuw federated domain aan te maken dat als backdoor dient. Zodra er voldoende controle over het netwerk is verkregen worden gevoelige bestanden gestolen en de Embargo-ransomware uitgerold. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken. bron: https://www.security.nl

Een kwetsbaarheid in VLC media player maakt het mogelijk voor een aanvaller om willekeurige code met rechten van de aangevallen gebruiker uit te voeren. Om misbruik van het beveiligingslek te maken zou een aanvaller het doelwit een speciaal geprepareerde malafide mms-stream moeten laten openen. Een update is sinds juni beschikbaar. De Duitse overheid kwam gisteren met een waarschuwing voor het beveiligingslek. De impact daarvan is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het probleem is verholpen in VLC media player 3.0.21. Deze versie verscheen afgelopen juni. Tot het moment de patch is geïnstalleerd wordt aangeraden om geen mms-streams van onvertrouwde derde partijen te openen of de VLC-browserplug-ins uit te schakelen. VideoLAN, ontwikkelaar van de mediaspeler, is niet bekend met misbruik van de kwetsbaarheid. Dit jaar heeft VideoLAN pas twee beveiligingsbulletins uitgebracht. Het andere probleem betreft een beveiligingslek in de iOS-versie waardoor een denial of service mogelijk is. bron: https://www.security.nl

De Ierse privacytoezichthouder DPC heeft Meta wegens de plaintext opslag van wachtwoorden een boete van 91 miljoen euro opgelegd. Facebook maakte begin 2019 bekend dat het de wachtwoorden van "honderden miljoenen" gebruikers van Facebook Lite, tientallen miljoenen andere Facebookgebruikers en miljoenen gebruikers van Instagram in plaintext had opgeslagen. Het probleem werd ontdekt bij de controle van nieuwe code. Toen bleek dat wachtwoorden per ongeluk in plaintext werden gelogd. De DPC deed onderzoek naar het incident en laat vandaag weten dat Meta met de plaintext opslag vier artikelen van de AVG heeft overtreden, waaronder het nemen van gepaste technische of organisatorische maatregelen om de wachtwoorden van gebruikers te beschermen. "Het is algemeen geaccepteerd dat wachtwoorden van gebruikers niet in plaintext moeten worden opgeslagen, vanwege het risico op misbruik als personen toegang tot dergelijke data krijgen", zegt Graham Doyle van de DPC. Hij voegt toe dat de wachtwoorden in dit geval met name gevoelig waren, omdat ze toegang tot socialmedia-accounts gaven. De toezichthouder zal het volledige besluit op een later moment openbaar maken bron: https://www.security.nl

De Ransomware Task Force, die in 2021 werd opgericht, heeft vorig jaar wereldwijd zo'n 6700 ransomware-aanvallen geteld, waarvan honderdtwintig in Nederland. Een toename van 73 procent ten opzichte van 2022. Vorig jaar vond via een kwetsbaarheid in MOVEit Transfer één van de grootste ransomware-aanvallen in de geschiedenis plaats Door het beveiligingslek wisten criminelen achter de Clop-ransomware bij bijna 2800 organisaties de gegevens van zo'n 96 miljoen personen te stelen. Daarnaast stelt de taskforce dat criminelen zich op 'big game hunting' richten, waarbij 'high-value' ondernemingen en organisaties het doelwit van de ransomware-aanvallen zijn. De meeste ransomware-aanvallen werden in de Verenigde Staten waargenomen. Over het hele jaar genomen ging het om 6670 aanvallen in 117 landen, uitgevoerd door 66 verschillende ransomwaregroepen. In Nederland werden 120 aanvallen geteld. "Omdat ransomware-activiteit de verkeerde kant op blijft gaan, herhalen we onze oproep voor meer focus op afschrikking en verstoring", aldus de taskforce. "Aanwezig bewijs suggereert dat acties die overheid en industrie vorig jaar namen niet genoeg waren om de winstgevendheid van het ransomwaremodel aanzienlijk te verminderen", concludeert de taskforce. Die kwam in 2021 met 48 aanbevelingen voor de aanpak van ransomware, maar stelt dat pas de helft hiervan aanzienlijke voortgang laten zien. bron: https://www.security.nl

Het Tor Project, de organisatie achter Tor Browser en het Tor-netwerk, en het op privacygerichte besturingssysteem Tails gaan samenwerken. Dit moet voor een groter bereik zorgen en het sneller integreren van features van de ene naar de andere tool. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Daarnaast biedt het allerlei privacygerelateerde tools. Eind vorig jaar benaderden de Tails-ontwikkelaars het Tor Project met het idee om samen te gaan. Het ontwikkelteam van Tails liep tegen de grenzen van de bestaan structuur aan en zagen in het Tor Project een omgeving in verder te kunnen groeien. Volgens het Tor Project een logische stap, omdat beide tools elkaar aanvullen. Tor Browser biedt bescherming tijdens het browsen, Tails richt zich op de bescherming van het besturingssysteem. Beide tools worden in repressieve regio's vaak tegelijkertijd gebruikt, aldus het Tor Project. Het samengaan van beide projecten moet dan ook leiden tot een uitgebreide oplossing voor individuen die in risicovolle omgevingen bescherming op netwerk- en systeemniveau nodig hebben. Het Tor Project biedt ook trainingen, die zich voornamelijk op de browser richten. Met de samenwerking kan tijdens deze trainingen ook Tails worden meegenomen, wat ook voor meer zichtbaarheid van het OS moet zorgen. Tails is minder bekend dan Tor. "Door Tails onder de paraplu van het Tor Project te brengen, kunnen we deze krachtige tool aan meer individuen en groepen introduceren die tijdens hun werk in vijandige omgevingen anoniem moeten blijven", aldus het Tor Project. bron: https://www.security.nl

De Amerikaanse geheime dienst NSA, de Australische inlichtingendienst ASD en cyberagentschappen uit beide landen alsmede Canada, het Verenigd Koninkrijk en Nieuw-Zeeland, hebben advies gepubliceerd voor het beveiligen van Microsoft Active Directory. De diensten stellen dat Microsoft Active Directory de meestgebruikte authenticatie- en autorisatie-oplossing voor bedrijfsnetwerken is. Via de oplossing kunnen gebruikers op systemen en diensten inloggen. "Dit maakt het een waardevol doelwit voor aanvallers en het is geregeld doelwit bij aanvallen op bedrijfsnetwerken", aldus de diensten. Wanneer een aanvaller controle over Active Directory heeft kan die toegang tot allerlei andere systemen en diensten krijgen. Het verwijderen van een aanvaller kan 'drastische actie' vereisen, variërend van het resetten van alle wachtwoorden van gebruikers tot het herbouwen van de gehele Active Directory, stellen de diensten. Die melden ook dat het herstel van een dergelijke aanval veel tijd en geld kost en ontwrichtend kan zijn. "Organisaties moeten zoveel mogelijk Active Directory-aanvallen voorkomen en tegelijkertijd deze aanvallen detecteren als ze zich voordoen", laten de diensten verder weten. In een adviesdocument 'Detecting and mitigating Active Directory compromises' worden zeventien veelgebruikte aanvalstechnieken tegen Active Directory besproken en de maatregelen die genomen kunnen worden om ze te detecteren en voorkomen. Het gaat dan om zaken als Kerberoasting, password spraying, golden tickets en skeleton keys. bron: https://www.security.nl