Captain Kirk

De Duitse overheid heeft opnieuw een waarschuwing gegeven voor het BlueKeep-lek in Windows, waardoor aanvallers op afstand kwetsbare systemen kunnen overnemen. Naar schatting zijn er in Duitsland zo'n 14.000 systemen via internet toegankelijk die de beschikbare update missen. De kwetsbaarheid in Windows Remote Desktop Services werd vorige maand door Microsoft gepatcht. Een aantal dagen later kwamen de Duitse en Nederlandse overheid met de oproep om de update te installeren. Sinds het uitkomen van de beveiligingsupdate zijn er verschillende exploits verschenen waarmee het mogelijk is om kwetsbare systemen te laten crashen of over te nemen. Daadwerkelijke aanvallen zijn echter nog niet waargenomen. Wereldwijd werden ongeveer een miljoen kwetsbare systemen geteld die via internet toegankelijk zijn. Er wordt aangenomen dat het aantal ongepatchte computers in bedrijfsnetwerken veel groter is. Een aanvaller die één systeem van een organisatie weet te compromitteren kan zo eenvoudig andere machines aanvallen. Het probleem speelt bij Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar. "We hebben hier een buitengewone kwetsbaarheid met een enorm potentieel voor schade, en alle bedrijven en organisaties hebben de mogelijkheid om zich effectief tegen cyberaanvallen te beschermen en een crisisscenario te voorkomen", zegt Arne Schönbohm, directeur van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI adviseert organisaties om de patch zo snel als mogelijk te installeren. Eerder kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid met een soortgelijke waarschuwing en advies. "Deze kwetsbaarheden hebben de potentie om grootschalig te worden gebruikt, zo blijkt uit het verleden. Een recent voorbeeld daarvan is de WannaCry-uitbraak. Het NCSC wil daarom nogmaals benadrukken dat het belangrijk is om de patch uit te voeren." bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een beveiligingslek onthuld waardoor het mogelijk is om Windows-servers op afstand te laten vastlopen en een update van Microsoft is nog niet beschikbaar. De kwetsbaarheid bevindt zich in SymCrypt, een library die Windows voor alle encryptietoepassingen gebruikt. Een aanvaller kan via het beveiligingslek alle processen en programma's die iets met encryptie doen laten vastlopen, waaronder antivirussoftware. De kwetsbaarheid is onder andere te misbruiken door een malafide e-mail te versturen. "Ik bestempel de ernst van het lek als 'laag', hoewel je er vrij snel een gehele Windows-vloot mee kunt uitschakelen", aldus de onderzoeker. Afhankelijk van de context kan het nodig zijn om getroffen servers te herstarten. Ormandy waarschuwde Microsoft op 13 maart van dit jaar. Vervolgens kreeg Microsoft 90 dagen de tijd om het probleem te verhelpen. De softwaregigant kwam niet binnen deze deadline met een beveiligingsupdate, waarop Ormandy de details nu openbaar heeft gemaakt. Microsoft liet de onderzoeker weten dat het probleem met de updates van juli wordt gepatcht. Ormandy heeft in het verleden vaker kwetsbaarheden in Microsoft-producten onthuld waarvoor nog geen patch beschikbaar was. bron: security.nl

Onderzoekers van verschillende universiteiten hebben een nieuwe aanval op DDR-geheugen gedemonstreerd die het mogelijk maakt om encryptiesleutels en andere gevoelige data uit te lezen. De aanval, die RAMBleed wordt genoemd, werkt ook tegen ECC-geheugen dat in servers wordt gebruikt. RAMBled is gebaseerd op de Rowhammer-aanval, die het mogelijk maakt voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. Bij de RAMBleed-aanval bekijkt een aanvaller geflipte bits in zijn eigen geheugen en kan zo de waardes van nabijgelegen DRAM-rijen afleiden. Zo is RAMBleed niet alleen een dreiging voor de integriteit, maar ook voor de vertrouwelijkheid. Een aanvaller kan namelijk data in het fysieke geheugen van de computer uitlezen. "Omdat het fysieke geheugen door alle processen in het systeem wordt gedeeld, lopen alle processen hierdoor risico", aldus de onderzoekers. Een ander verschil is dat RAMBleed geen persistente geflipte bits vereist en zodoende ook tegen ECC-geheugen werkt. De onderzoekers hebben gedemonstreerde hoe ze via RAMBleed een RSA-sleutel in het geheugen kunnen uitlezen, maar in principe is het mogelijk om via de aanval alle data in het geheugen te benaderen. Om zich tegen de RAMBleed-aanval te beschermen krijgen gebruikers en organisaties het advies om naar DDR4 geheugen te upgraden waar targeted row refresh (TRR) is ingeschakeld. Dit maakt het lastiger om de aanval uit te voeren. Daarnaast moet een aanvaller voor het uitvoeren van RAMBleed in staat zijn om lokaal code op het systeem uit te voeren. De aanval is dan ook vooral een risico voor omgevingen waar meerdere gebruikers een systeem delen, zoals bijvoorbeeld bij shared hosting. bron: security.nl

De FBI waarschuwt voor phishingsites die van https gebruikmaken, omdat dit steeds meer voorkomt. Volgens de Amerikaanse opsporingsdienst wordt gebruikers tijdens cybersecuritytrainingen geleerd om naar de aanwezigheid van het slot-icoon te kijken dat hij https-sites wordt getoond. "De aanwezigheid van "https" en het slot-icoon worden geacht aan te geven dat het webverkeer is versleuteld en bezoekers gegevens veilig kunnen delen. Helaas maken cybercriminelen misbruik van het vertrouwen dat het publiek in "https" en het slot-icoon heeft", aldus de FBI. Steeds vaker zouden phishingsites van https gebruikmaken. De opsporingsdienst adviseert dan ook om websites niet alleen maar te vertrouwen omdat er een slot-icoon of https in de adresbalk verschijnt. Wie van een bekend contact een verdachte e-mail met een link ontvangt, wordt door de FBI aangeraden om de persoon te bellen of te mailen om te controleren dat de link legitiem is. Gebruikers moeten geen reply op de verdachte e-mail versturen. Tevens wordt er aangeraden om naar spelfouten of verkeerde domeinen in de link te kijken. bron: security.nl

Mozilla heeft een abonnementsdienst voor Firefox aangekondigd, die later dit jaar gelanceerd zou moeten worden. De browserontwikkelaar wil op deze manier extra inkomsten genereren en zo minder afhankelijk van Google worden, dat voor het grootste deel van de inkomsten verantwoordelijk is. Google betaalt Mozilla voor het zoekverkeer dat Firefox naar de zoekmachine genereert. Mozilla werkt echter aan drie inkomstenbronnen die uiteindelijk gelijkwaardig moeten worden. Naast geld van zoekmachines gaat het ook om Pocket, dat gesponsorde content aan Firefoxgebruikers aanbiedt, en verschillende abonnementsdiensten. Eén van deze diensten zal een "premium versie" van Firefox worden. "Je kunt je voorstellen dat we een oplossing aanbieden die je een bepaalde hoeveelheid gratis vpn-verkeer geeft en dan een premium niveau voor een maandelijks bedrag aanbiedt", zegt ceo Chris Beard in een interview met t3n magazine. Vorig jaar besloot Mozilla al om de vpn-dienst van ProtonVPN aan gebruikers aan te bieden, die hier maandelijks voor betalen. Mozilla heeft echter plannen om meer abonnementsdiensten te onderzoeken, aldus Beard. Het plan is om de eerste abonnementsdienst in oktober uit te rollen. Beard benadrukt dat dingen die nu gratis zijn straks ook gratis zullen blijven. bron: security.nl

Microsoft waarschuwt gebruikers en organisaties via Twitter voor een nieuwe aanvalscampagne waarbij aanvaller van een oude en bekende kwetsbaarheid in Microsoft Office gebruikmaken. Het beveiligingslek werd op 14 november 2017 door Microsoft gepatcht. Ruim anderhalf jaar later zijn er nog steeds gebruikers en organisaties die de beschikbare beveiligingsupdate niet hebben geïnstalleerd. Microsoft heeft een campagne in "Europese talen" waargenomen waarbij aanvallers een kwaadaardige RTF-document versturen. Zodra het document met een kwetsbare versie van Microsoft Word wordt geopend, zal de exploit in het document een backdoor op het systeem installeren. Onlangs maakte antivirusbedrijf ESET bekend dat criminelen verschillende oude Office-lekken, waaronder deze kwetsbaarheid, hadden gebruikt om met succes de systemen van een niet nader genoemde bank te infecteren. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven. bron: security.nl

Microsoft brengt geen beveiligingsupdate voor een aanval waardoor het mogelijk is om op afstand een vergrendelde RDP-sessie te ontgrendelen. Windows remote desktopprotocol (RDP) ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten. Een aanvaller die toegang heeft tot het systeem dat als RDP-client wordt gebruikt kan de netwerkverbinding verbreken en zo het remote systeem ontgrendelen en zonder inloggegevens inloggen. Volgens Microsoft komt het scenario niet in aanmerking voor een beveiligingsupdate, aangezien Server 2019 zich aan de regels van Network Level Authentication houdt, waarbij de client zolang die verbonden is met het systeem de inloggegevens zal cachen en gebruiken als de verbinding wordt hervat. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken. Een andere oplossing is "automatic reconnection" op RDP-servers uit te schakelen, aldus Will Dormann van het CERT/CC. bron: security.nl

Mozilla gaat op een privacyvriendelijke manier telemetriegegevens van een kleine groep Firefoxgebruikers verzamelen om trackers te bestrijden, zo heeft de browserontwikkelaar aangekondigd. Deze week kondigde Mozilla aan dat Firefox vanaf nu standaard third-party trackingcookies blokkeert. "We verwachten dat trackers hierop zullen reageren en in sommige gevallen zullen proberen om dit te omzeilen. We kunnen dit detecteren door te monitoren hoe onze blocklists in Firefox worden toegepast", zegt Mozillas Steven Englehardt. Het direct monitoren van de blocklists bij Firefoxgebruikers zou echter data vereisen die volgens Englehardt te gevoelig is om te verzamelen. Vorig jaar onthulde Mozilla een nieuw systeem om op een privacyvriendelijke manier telemetriegegevens te verzamelen. Prio, zoals het systeem heet, is ontwikkeld door wetenschappers van Stanford University. Het idee achter Prio is dat voor de meeste gevallen het niet nodig is om individuele data van gebruikers te verzamelen, maar alleen geaggregeerde gegevens. Prio, dat zich in het publieke domein bevindt, laat Mozilla geaggregeerde gegevens verzamelen, zonder dat de individuele data van gebruikers wordt verzameld. Mozilla heeft nu een aanvulling op Prio ontwikkeld genaamd Firefox Origin Telemetry. Deze toevoeging telt het aantal websites waarop de blocklist actief was, alsmede het aantal websites waar die vanwege compatibiliteitsuitzonderingen niet draaide. Door deze statistieken te monitoren kan Mozilla zien hoe trackers het blokkeren van de trackingcookies proberen te omzeilen. Prio vereist dat twee onafhankelijke partijen elk een apart deel van de telemetriegegevens verwerken. In het geval van de nu aangekondigde test zal dit niet gebeuren en verwerkt Mozilla alle data. De browserontwikkelaar zal daarom alleen maar gegevens verzamelen van 1 procent van de Firefox Nightly-gebruikers. Dit is een vroege testversie van Firefox. Daarnaast voldoet de test aan het dataverzamelingsbeleid van Firefox, aldus Englehardt. bron: security.nl

Onderzoekers hebben een botnet genaamd 'GoldBrute' ontdekt dat via het remote desktopprotocol (RDP) op 1,5 miljoen servers probeert in te breken. Het botnet gebruikt zwakke en hergebruikte wachtwoorden om via RDP op de servers in te loggen. Zodra de inlogpoging succesvol is wordt de bot op het systeem geïnstalleerd. Deze bot scant vervolgens naar willekeurige ip-adressen om meer blootgestelde RDP-servers te vinden. Deze ip-adressen worden aan de command & control-server van het botnet doorgegeven. Nadat de bot tachtig nieuwe slachtoffers heeft gerapporteerd ontvangt die een verzameling doelwitten om aan te vallen. Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is", zegt Renato Marinho van Morphus Labs. Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken. bron: security.nl

Duizenden mailservers op internet zijn kwetsbaar door een beveiligingslek in Exim, een message/mail transfer agent (MTA). De software, die wordt gebruikt voor het afleveren van e-mails, draait volgens statistieken op 507.000 mailservers, wat neerkomt op 57 procent van het totale aantal mailservers. Onderzoekers van securitybedrijf Qualys ontdekten een kwetsbaarheid in Exim waardoor een aanvaller op afstand commando's met rootrechten op de mailserver kan uitvoeren. Het beveiligingslek is direct door een lokale aanvaller te misbruiken. In bepaalde configuraties is de kwetsbaarheid ook op afstand aan te vallen. In deze gevallen moet een aanvaller 7 dagen lang de verbinding met de kwetsbare server openhouden, waarbij er elke paar minuten een byte wordt verstuurd. "Vanwege de enorme complexiteit van Exims code, kunnen we niet garanderen dat deze aanvalsmethode uniek is, er kunnen snellere methoden bestaan", aldus Qualys. Het beveiligingslek is aanwezig in versie 4.87 tot en met 4.91. Versie 4.87 verscheen op 6 april 2016, wat inhoudt dat mailservers jarenlang kwetsbaar zijn geweest. Het probleem is niet aanwezig in versie 4.92, die op 10 februari van dit jaar uitkwam. Ondanks de beschikbaarheid van deze versie draaien 396.000 van de 507.000 Exim-servers nog de kwetsbare versie 4.91. De ontwikkelaars van Exim laten weten dat er nog geen aanwijzingen zijn dat de kwetsbaarheid actief wordt aangevallen. De beschikbare patch zal nu worden gebackport naar alle versies die sinds 4.87 zijn uitgekomen, waaronder ook versie 4.87. Volgens de ontwikkelaars hangt de impact van de kwetsbaarheid af van de Exim-configuratie. Hoe dichter die bij de standaardconfiguratie ligt, des te beter, aldus de ontwikkelaars. bron: security.nl

Een beveiligingsonderzoeker heeft een exploitmodule voor de populaire securitytool Metasploit ontwikkeld waarmee het mogelijk is om Windows-systemen via het "BlueKeep-lek" in Remote Desktop Services (RDS) over te nemen. Vanwege de impact van de exploit is die nog niet openbaar gemaakt. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Eind mei ontwikkelden twee ontwikkelaars met het alias zerosum0x0 en JaGoTu een Metasploit-module waarmee het mogelijk is voor beheerders om naar kwetsbare machines binnen hun netwerk te zoeken, zonder die te laten crashen. Op dinsdag 14 mei kwam Microsoft met een update voor de zeer ernstige kwetsbaarheid in RDS. Het beveiligingslek is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Dit weekend liet zerosum0x0 weten dat hij een exploit voor Windows XP had ontwikkeld. Inmiddels heeft de ontwikkelaar ook een Metasploit-module gemaakt. "Nog steeds te gevaarlijk om openbaar te maken. Misschien na de eerste megaworm?", aldus zerosum0x0 op Twitter. Wel heeft de ontwikkelaar een demonstratievideo online gezet die laat zien hoe een remote systeem via de module wordt overgenomen. Gisteren deed de Amerikaanse geheime dienst NSA nog een oproep aan systeembeheerders om de beveiligingsupdate voor de kwetsbaarheid zo snel als mogelijk te installeren. Eerder bleek al dat er bijna 1 miljoen kwetsbare machines op internet zijn te vinden. Sommige van deze computers werden bij Fortune 500-bedrijven aangetroffen. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarmee er 42 beveiligingslekken in de browser zijn verholpen. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De twee high-kwetsbaarheden bevonden zich in de serviceworker en downloadmanager van Chrome. De onderzoekers die de beveiligingslekken aan Google rapporteerden ontvingen hiervoor respectievelijk 5.000 en 500 dollar. De andere kwetsbaarheden waren minder ernstig van aard en maakten het onder andere mogelijk om url's in de omnixbox te spoofen en de pop-upblocker te omzeilen. Tevens is de ondersteuning van de WebAuthenticatie-api uitgebreid. Zo is het nu mogelijk om lokale gebruikers te authenticeren via de pincode van hun fysieke beveiligingssleutel. Updaten naar Chrome 75.0.3770.80 zal op de meeste systemen automatisch gebeuren. bron: security.nl

De Amerikaanse geheime dienst NSA heeft beheerders van Windows-systemen opgeroepen om een kwetsbaarheid in Remote Desktop Services te patchen, aangezien de kans op misbruik van het beveiligingslek aan het toenemen is. Het lek is aanwezig in Windows XP en 7 en Server 2003 en 2008. Vanwege de ernst van de kwetsbaarheid besloot Microsoft vorige maand om ook updates voor Windows XP en Server 2003 beschikbaar te maken, ook al worden deze Windowsversies niet meer ondersteund. Om het lek te misbruiken hoeft een aanvaller alleen via het remote desktopprotocol (RDP) verbinding met een kwetsbare machine te maken. Hiervoor hoeft de aanvaller niet over geldige inloggegevens te beschikken. Uit onderzoek blijkt dat bijna een miljoen ongepatchte Windows-systemen via internet toegankelijk zijn. Deze machines lopen het risico om door een worm besmet te worden. Aanleiding voor Microsoft om vorige week nogmaals een oproep te doen om de beschikbare update te installeren. Nu komt ook de NSA met dergelijk advies. "We hebben vernietigende computerwormen schade aan ongepatchte systemen zien aanrichten met vergaande gevolgen, en we willen mensen motiveren om zich tegen dit lek te beschermen", zo laat de geheime dienst weten. De NSA stelt dat dergelijke kwetsbaarheden vaak door aanvallers worden gebruikt om systemen aan te vallen. Zo maakt de geheime dienst zich zorgen dat aanvallers het lek zullen misbruiken om ransomware te verspreiden. Een soortgelijk scenario deed zich voor bij de WannaCry-ransomware, dat gebruikmaakte van een beveiligingslek dat door de NSA was ontdekt. Ook voor dit lek waren updates beschikbaar, maar die waren door tal van organisaties niet geïnstalleerd. Afsluitend adviseert de NSA om tcp-poort 3389 op de firewall te blokkeren, Network Level Authentication (NLA) in te schakelen, aangezien aanvallers dan over geldige inloggegevens moeten beschikken om de aanval uit te voeren, en onnodige remote desktop services uit te schakelen. "Het uitschakelen van ongebruikte en onnodige diensten verkleint blootstelling aan kwetsbaarheden en is zelfs zonder de huidige dreiging een best practice", zo laat het advies weten. Voor organisaties die willen testen of ze kwetsbaar zijn is er een Metasploit-module verschenen. bron: security.nl

Mozilla heeft vandaag een wachtwoordmanager gelanceerd waarmee desktopgebruikers hun inloggegevens kunnen beheren. Firefox Lockwise stond eerder nog bekend als Firefox Lockbox en was alleen beschikbaar voor Android en iOS. Vandaag is ook de desktopversie uitgebracht. Via Firefox Lockwise kunnen gebruikers hun wachtwoorden opslaan en die vanaf andere apparaten benaderen. Gebruikers moeten in dit geval zowel de mobiele app als de desktopextensie hebben geïnstalleerd. Daarnaast is het gebruik van een Firefox Account verplicht. Om opgeslagen wachtwoorden te beschermen maakt de wachtwoordmanager gebruik van verschillende technologieën, waaronder AES-256-GCM-encryptie. Mozilla laat in een FAQ over Lockwise weten dat de desktopextensie op dit moment nog niet werkt wanneer er een Master Password is ingeschakeld. In het geval gebruikers de extensie willen gebruiken moeten ze eerst het Master Password uitschakelen en daarna Firefox Lockwise in de browser installeren of opnieuw inschakelen. bron: security.nl

Een feature die het Windows remote desktopprotocol (RDP) ondersteunt maakt het mogelijk voor een aanvaller om de schermvergrendeling van het besturingssysteem te omzeilen en zo op afstand vergrendelde RDP-sessie te ontgrendelen. RDP ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Dit moet het aanvalsoppervlak van het systeem verkleinen. Net zoals bij een lokaal systeem mogelijk is, kan ook via RDP een systeem worden vergrendeld. De gebruiker krijgt in dit geval een inlogscherm te zien. Zodra de gebruiker inlogt wordt de sessie hervat. Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten. Een gebruiker logt bijvoorbeeld in via RDP en vergrendelt vervolgens de remote desktopsessie. De gebruiker verlaat hierna het systeem dat als RDP-client wordt gebruikt. Op dit moment kan een aanvaller in de buurt de netwerkverbinding van het RDP-clientsysteem onderbreken. Dit zorgt ervoor dat het remote systeem op dat moment ontgrendeld wordt en er zonder inloggegevens kan worden ingelogd. Tweefactorauthenticatie-oplossingen die in het Windows-inlogscherm zijn geïntegreerd worden op deze manier ook omzeild. Een praktische oplossing is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken. bron: security.nl

Mozilla heeft besloten om third-party trackingcookies, die worden gebruikt om internetgebruikers op internet te volgen en gerichte advertenties te tonen, standaard in Firefox te blokkeren. De optie om dergelijke cookies tegen te houden was al in de browser aanwezig, maar stond niet ingeschakeld. Uit onderzoek blijkt dat trackingcookies websites 4 procent meer per advertentie opleveren, wat neerkomt op een extra 0,00008 dollar (pdf). Volgens Mozilla is het op grote schaal verzamelen van gegevens om gerichte advertenties te kunnen tonen niet langer houdbaar. Daarnaast vindt de browserontwikkelaar dat privacy niet aan optionele instellingen moet worden overgelaten, maar standaard hoort te zijn ingeschakeld. De meeste mensen blijken hun privacyinstellingen namelijk niet aan te passen. "De standaardinstellingen van het product moeten overeenkomen met de verwachtingen van de gebruiker. Dat is de aanpak die we in Firefox nemen", zegt Peter Dolanjski van Mozilla. Daarom is nu besloten om het blokkeren van third-party trackingcookies standaard voor nieuwe gebruikers in Firefox te blokkeren. Alle nieuwe Firefox-installaties zullen dergelijke cookies nu tegenhouden. Voor bestaande Firefoxgebruikers zal de maatregel de komende maanden automatisch worden doorgevoerd, zonder dat ze hier iets voor hoeven te doen. Gebruikers die hier niet op willen wachten kunnen de optie ook zelf inschakelen. "Als het gaat om privacy zijn standaardinstellingen belangrijk. We hopen dat de maatregelen die we nemen uiteindelijk voor verandering in de industrie zorgen. Gebruikers verdienen tenslotte beter", besluit Dolanjski. bron: security.nl

Criminelen hebben vorig jaar verschillende systemen van een bank geïnfecteerd door gebruik te maken van bekende kwetsbaarheden in Microsoft Word. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven. De aanval op de niet nader genoemde bank wordt beschreven door antivirusbedrijf Bitdefender (pdf). De criminelen stuurden een spearphishingmail naar medewerkers van de bank. Twee bankmedewerkers openden de meegestuurde bijlage. Het ging om een .doc-bestand. Het document bevatte een exploit voor drie kwetsbaarheden in Microsoft Word ( CVE-2017-8570, CVE-2017-11882 en CVE-2018-0802). Op het moment van de aanval waren deze beveiligingslekken al door Microsoft gepatcht. Het ging om beveiligingsupdates die op 11 juli 2017, 14 november 2017 en 9 januari 2018 door Microsoft waren uitgebracht. De aanval op de bank vond plaats tussen maart en mei 2018. Doordat de bank had nagelaten de updates te installeren werkte de exploit in het kwaadaardige document van de aanvallers en kon er malware op de systemen van de twee bankmedewerkers worden geïnstalleerd. Vanaf de besmette systemen werd de rest van het banknetwerk aangevallen. Gedurende 63 dagen hadden de criminelen toegang tot het banknetwerk en wisten ook de beheerdersgegevens te compromitteren. De aanvallers stelen gedurende de operatie belangrijke documenten en proberen de ATM- en bankapplicaties van de bank te benaderen. Uiteindelijk slagen de criminelen hierin en kunnen zo de geldautomaten van de bank op afstand bedienen, zodat de inhoud van de geldcassettes wordt geleegd. Handlangers die bij de automaten ter plekke zijn nemen het geld mee. De bende achter de aanval zou bij meer dan honderd banken wereldwijd hebben ingebroken en daarbij 1 miljard euro hebben gestolen. Het zijn met name Oost-Europese banken die het doelwit zijn. De vermeende bendeleider werd vorig jaar aangehouden. Ondanks de aanhouding is de bende nog steeds actief. Naast documenten met exploits voor bekende kwetsbaarheden maakt de bende ook gebruik van Word-documenten met kwaadaardige macro's. bron: security.nl

Aanvallers hebben websites die bij verschillende hostingbedrijven waren ondergebracht kunnen compromitteren omdat de NFS-permissies van de shared hostingomgeving verkeerd stonden ingesteld en er onnodig informatie werd gelekt. Het ging onder andere om iPage, FatCow, PowWeb en NetFirms. Door de kwetsbaarheden konden aanvallers de databases van de websites aanpassen, zonder dat ze directe toegang tot de websites hadden. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld. In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" of "group-traversable" en alle klantbestanden "world-readable" of "group-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden. De aanvallers konden zo een beheerdersaccount genaamd 'badminton' toevoegen dat vervolgens werd gebruikt om op de website in te loggen. Zodra de aanvallers waren ingelogd werd er via de WordPress theme editor kwaadaardige code aan de website toegevoegd die verkeer van zoekmachines kaapte en bezoekers van de websites naar spamsites doorstuurde. De kwetsbaarheden werden door securitybedrijf Wordfence ontdekt, dat de hostingbedrijven waarschuwde. Die namen vervolgens maatregelen om de problemen te verhelpen. Hoeveel websites op deze manier zijn gecompromitteerd is onbekend. Een zelfde probleem werd vorig jaar ook bij verschillende andere hostingbedrijven aangetroffen. bron: security.nl

Verschillende Windows 10-apps en -games hebben gebruikers vorige week malafide advertenties laten zien die automatisch een malafide website of pop-up openden. De advertenties verschenen onder andere bij Microsoft Mahjong, de calculator en de apps MSN Money, News en Weather. Zodra de advertenties in de app worden getoond, laadt de advertentie een malafide website in de browser van de gebruiker. Deze malafide website doet zich voor als een melding van Microsoft en claimt dat het systeem met malware besmet is geraakt. Ook kregen gebruikers pop-ups te zien die claimden dat ze een smartphone hadden gewonnen. Een moderator op het forum van Microsoft merkt op dat de apps MSN Money, News en Weather op 3 juni werden uitgefaseerd en deze diensten mogelijk tijdens dit proces kwetsbaar waren. Op het Duitstalige forum Dr Windows klagen tal van gebruikers die de advertenties te zien kregen en vervolgens met de malafide websites werden geconfronteerd. Gebruikers krijgen het advies om de malafide websites te sluiten. Daarnaast is het mogelijk om de betreffende advertentienetwerken van Microsoft op dns-niveau te blokkeren. bron: security.nl

De ontwikkelaars van de GandCrab-ransomware hebben op internet hun afscheid aangekondigd, wat ook gevolgen voor recent gemaakte slachtoffers heeft. De Nederlandse politie waarschuwde eind vorig jaar nog voor GandCrab. De ransomware versleutelt bestanden en eist losgeld voor het ontsleutelen. GandCrab wordt verspreid via e-mailbijlagen en besmette advertenties. In februari van dit jaar verscheen er een gratis decryptietool waarmee slachtoffers van verschillende GandCrab-versies hun bestanden kosteloos konden ontsleutelen. Volgens Europol wist de ransomware vorig jaar bijna 500.000 slachtoffers te maken. De ontwikkelaars van GandCrab claimen dat de ransomware ze genoeg geld heeft opgeleverd om met pensioen te gaan. Naar eigen zeggen heeft de ransomware een bedrag van 2 miljard dollar gegenereerd, waarvan de ontwikkelaars 150 miljoen dollar per jaar zouden hebben opgestreken. GandCrab werd als een 'ransomware as a service' aangeboden. Via dergelijke diensten kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In een bericht op een forum voor cybercriminelen kondigen de ontwikkelaars nu hun afscheid aan. "We hebben bewezen dat je in een jaar geld voor een heel leven kan verdienen", zo stellen ze. Als gevolg van het afscheid stoppen de ontwikkelaars met de advertenties voor GandCrab en hebben hun partners gevraagd om ook de verspreiding stop te zetten. Daarnaast krijgen slachtoffers het advies om nu te betalen, aangezien hun decryptiesleutels later deze maand worden verwijderd, wat inhoudt dat bestanden niet meer zijn te ontsleutelen. Het bericht van de ontwikkelaars werd gedeeld door de beveiligingsonderzoekers Damian en David Montenegro. bron: security.nl

De populaire securitytool Metasploit is voorzien van een scanner waarmee beheerders kunnen kijken of er binnen hun organisatie nog systemen zijn die via een beveiligingslek in Remote Desktop Services (RDS) van Windows zijn over te nemen, zonder deze systemen tijdens de test te laten crashen. Het beveiligingslek in RDS werd op 14 mei door Microsoft gepatcht. Recentelijk bleek dat er bijna een miljoen computers die via internet toegankelijk zijn de beveiligingsupdate nog altijd niet geïnstalleerd hebben. Aanleiding voor Microsoft om Windowsgebruikers nogmaals op te roepen om de patch te installeren, aangezien anders een worm deze systemen kan infecteren. Volgens de softwaregigant zijn er waarschijnlijk nog veel meer systemen binnen organisaties niet gepatcht. Zodra één machine binnen een dergelijke organisatie door malware wordt besmet lopen ook deze nog ongepatchte systemen risico. Malware hoeft alleen via het remote desktopprotocol (RDP) verbinding met kwetsbare systemen te maken. Er is geen interactie van de gebruiker vereist en de malware hoeft niet over geldige inloggegevens te beschikken. De afgelopen dagen verschenen er verschillende scanners waarmee het mogelijk is om netwerken op kwetsbare systemen te controleren. Deze scanners kunnen de kwetsbare systemen echter laten crashen, waardoor er een denial of service ontstaat. Twee ontwikkelaars met het alias zerosum0x0 en JaGoTu hebben nu een module voor Metasploit ontwikkeld waarmee het mogelijk is om systemen te testen zonder die te laten crashen. Eerder kwam één van de ontwikkelaars met een scanner voor het beveiligingslek waar de WannaCry-ransomware misbruik van maakte. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Een community van ontwikkelaars maakt allerlei aanvullende modules voor de tool, waarmee de functionaliteit verder wordt vergroot. bron: security.nl

Beste Bastet, Gezien het feit dat de kerkversterker nog 5-polige din's gebruikt, praten we hier over een versterker op behoorlijke leeftijd. Dit systeem werd zo'n 35 jaar geleden voor het laatst toegepast op systemen. Ik begrijp ook dat de boxen ook via dezelfde din zijn aangesloten. Dat doet mij vermoeden dat het hier gaat om een, voor de kerk op maat gemaakte, opstelling. Ook begrijp ik dat je vooral muziek wilt versterken? De versterker van de kerk is een versterker vooral bedoeld voor het versterken van spraak. Geluid kan wel maar je moet je afvragen hoe goed dit gaat klinken. De laptop rechtstreeks op de boxen gaat overigens niet werken. De boxen zullen het geluid uit je laptop "opzuigen". Voordat je nu allerlei moeilijke constructies gaat proberen of zelf gaat solderen: waarom niet gewoon je versterker met eigen boxen gebruiken? Ik zag dat je versterker een redelijk vermogen kan leveren. (Alhoewel ik niet denk dat de versterker krachtig genoeg is bij een volle kerk).

Google heeft nieuw beleid voor Chrome-extensies aangekondigd waardoor die straks minder toegang tot gegevens van gebruikers krijgen en hun privacybeleid moeten publiceren. Bijna de helft van alle Chrome-gebruikers heeft een extensie geïnstalleerd. Vorig jaar oktober kondigde Google de intentie aan dat alle Chrome-extensies standaard te vertrouwen moeten zijn. In het verlengde daarvan is nu nieuw beleid voor de Chrome Web Store aangekondigd. Chrome-extensies mogen straks alleen toegang vragen tot de data die nodig is voor het uitvoeren van de functionaliteit die de extensie biedt. Als er meer dan één permissie beschikbaar is om een feature te implementeren, moeten ontwikkelaars de permissie gebruiken die de minst mogelijke hoeveelheid data nodig heeft. Daarnaast worden meer Chrome-extensies verplicht om hun privacybeleid te publiceren, waaronder extensies die persoonlijke communicatie en door gebruikers aangeboden content verwerken. In eerste instantie was het publiceren van het privacybeleid alleen verplicht voor extensies die persoonlijke en gevoelige gebruikersgegevens verwerkten. Het beleid wordt deze zomer van kracht. Google heeft ook bekendgemaakt dat het Chrome-extensies gaat aanpakken die misleidende installatietactieken toepassen. bron: security.nl

Google heeft nieuwe maatregelen aangekondigd om misleidende installaties van Chrome-extensies aan te pakken. Extensies die dubieuze tactieken gebruiken om uiteindelijk te worden geïnstalleerd zal Google uit de Chrome Web Store verwijderen. Volgens Google ontvangt het nog altijd veel klachten van Chrome-gebruikers die worden misleid om extensies te installeren. "Eén slechte ervaring kan de interesse van gebruikers in veel andere extensies beïnvloeden. Door vanaf het begin duidelijk te maken wat een extensie doet zorgt voor een gezond en bloeiend ecosysteem van extensies, ontwikkelaars en gebruikers", zegt Swagateeka Panigrahy van Google. Google eist nu dat extensies op "verantwoorde wijze" worden aangeboden. Misleidende installatietactieken worden daarbij niet meer toegestaan. Het gaat dan bijvoorbeeld om onduidelijke of onopvallende vermeldingen in de marketing voordat de gebruiker bij de extensie in de Chrome Web Store aankomt. Een ander voorbeeld zijn misleidende interactieve elementen als onderdeel van de distributiestroom. Het kan dan gaan om knoppen die iets anders beloven dan de installatie van de extensie. Extensies die niet aan de eisen voldoen zullen vanaf 1 juli dit jaar uit de Chrome Web Store worden verwijderd. Google adviseert extensie-ontwikkelaars om te controleren dat hun installatieverkeer aan de nieuwe regels voldoet. bron: security.nl

Microsoft waarschuwt gebruikers en organisaties om een belangrijke beveiligingsupdate voor Windows die op 14 mei uitkwam zo snel als mogelijk te installeren wanneer dat nog niet is gedaan. Uit onderzoek blijkt namelijk dat bijna een miljoen computers die vanaf het internet toegankelijk zijn de update missen. Daardoor lopen deze machines risico's om door een computerworm besmet te worden. Om de kwetsbaarheid in Remote Desktop Services van Windows te misbruiken hoeft een aanvaller alleen via het remote desktopprotocol (RDP) verbinding met de computer te maken. Er is geen interactie van de gebruiker vereist en de aanvaller hoeft niet over geldige inloggegevens te beschikken. Hoewel de beveiligingsupdate al twee weken beschikbaar is en de kwetsbaarheid veel aandacht in de media heeft gekregen, hebben nog altijd tal van gebruikers en organisaties de update niet geïnstalleerd. Daardoor zou een nieuwe WannaCry-achtige uitbraak kunnen plaatsvinden. WannaCry verspreidde zich via een beveiligingslek waar al twee maanden een update voor beschikbaar was, maar die op honderdduizenden systemen niet door eigenaren en beheerders was geïnstalleerd. Hoewel zo'n 1 miljoen kwetsbare computers vanaf het internet toegankelijk zijn, denkt Microsoft dat in de praktijk nog veel meer machines binnen bedrijfsnetwerken kwetsbaar zijn. "Er is slechts één besmette computer nodig die met het internet verbonden is om als een potentiële gateway naar deze bedrijfsnetwerken te dienen, waar geavanceerde malware allerlei systemen binnen het bedrijf kan infecteren. Dit scenario kan nog erger zijn voor degenen die hun interne systemen niet up-to-date met de laatste patches houden", zegt Simon Pope, directeur Incident Response bij het Microsoft Security Response Center (MSRC). Op dit moment zijn er nog geen meldingen van wormen bekend die het beveiligingslek misbruiken. Wel hebben onderzoekers een proof-of-concept ontwikkeld die laat zien dat een dergelijke aanval mogelijk is. Microsoft adviseert organisaties dan ook om de beveiligingsupdate zo snel als mogelijk te installeren. bron: security.nl