Captain Kirk

Helpdeskfraudeurs hebben een nieuw truc gevonden om browsers van internetgebruikers via een malafide website te laten 'vastlopen', waardoor die mogelijk het telefoonnummer van de oplichters zullen bellen. Dat laat anti-virusbedrijf Trend Micro in een analyse weten. De malafide website maakt gebruik van iframes in combinatie met een standaard inlogvenster om een loop te creëren waardoor de gebruiker geen nieuwe pagina meer kan openen. De malafide pagina doet zich voor als een website van Microsoft en opent twee pop-ups. De eerste pop-up stelt dat het systeem besmet is met malware en het opgegeven telefoonnummer moet worden gebeld om te voorkomen dat de computer wordt uitgeschakeld. De tweede pop-up is een standaard inlogvenster dat ook laat weten dat de helpdesk op het opgegeven nummer moet worden gebeld. Als de gebruiker het inlogvenster wil sluiten wordt de pagina weer geladen en het sluiten van de eerste pop-up werkt niet. Volgens Trend Micro zijn de ok- en sluitknop alleen aangebracht om het venster legitiem te laten lijken. Op deze manier ontstaat er een loop waardoor de gebruiker de browser niet via de standaard manier kan sluiten of een andere pagina kan laden. De oplichters hopen zo dat het slachtoffer het opgegeven nummer belt. Vervolgens proberen ze het slachtoffer software te laten installeren waardoor het systeem kan worden overgenomen. Wanneer de oplichters toegang tot het systeem hebben stelen ze geld van de rekening van het slachtoffer of laten hem betalen voor het oplossen van niet bestaande problemen. Volgens Trend Micro is het succes van deze aanvallen afhankelijk van hoe slachtoffers op de pagina reageren. In dit geval is het bijvoorbeeld mogelijk om de browser via Taakbeheer te sluiten. bron: security.nl

Meer dan 60.000 op WordPress gebaseerde webwinkels wordt dringend aangeraden om een gebruikte plug-in meteen te updaten, aangezien ze anders het risico lopen dat de webshop door criminelen wordt overgenomen. Het gaat om de plug-in WooCommerce Checkout Manager. WooCommerce is een populaire plug-in voor het opzetten van een op WordPress gebaseerde webwinkel. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar. Via de Checkout Manager-plug-in kunnen beheerders de WooCommerce-bestelpagina van hun webwinkel eenvoudig aanpassen. De plug-in heeft meer dan 60.000 actieve installaties. Vorige week dinsdag werd er een kwetsbaarheid in de plug-in openbaar gemaakt waardoor een aanvaller op afstand willekeurige code kan uitvoeren en in het ergste geval de website kan overnemen. De details en een demonstratie om misbruik van de kwetsbaarheid te maken verschenen online voordat er een update beschikbaar was. WordPress besloot daarop de plug-in tijdelijk uit de WordPress-reposity te verwijderen, de locatie waar WordPressplug-ins te downloaden zijn. Nu er een beveiligingsupdate beschikbaar is, is de plug-in weer teruggeplaatst. Beheerders van webwinkels die met WooCommerce Checkout Manager werken worden door de plug-in-ontwikkelaar opgeroepen om de update meteen te installeren voordat criminelen er misbruik van maken. Vorige week werd namelijk bekend dat een kwetsbaarheid in een andere WooCommerce-plug-genaamd User Email Verification actief werd aangevallen. Voor deze plug-in, die 6.000 installaties heeft, is nog geen update beschikbaar. Beheerders krijgen in dit geval het advies om de plug-in uit te schakelen. bron: security.nl

Er is een nieuwe testversie van Firefox verschenen die gebruikers voor gecompromitteerde websites waarschuwt. De feature is onderdeel van "Firefox Monitor" en maakt gebruik van data die afkomstig is van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 362 gecompromitteerde websites in de zoekmachine. Firefox Monitor zal gebruikers voor deze gecompromitteerde websites waarschuwen. Voor de eerste versie van de feature zullen gebruikers alleen in bepaalde gevallen een waarschuwing te zien krijgen. Als de gebruiker nog geen waarschuwing heeft gezien, zal Firefox een waarschuwing tonen als ze een website bezoeken die de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd. Heeft de gebruiker zijn eerste waarschuwing gezien, dan zal Firefox alleen een waarschuwing laten zien bij websites die de laatste twee maanden aan de zoekmachine zijn toegevoegd. Volgens Mozilla zijn dit redelijke periodes om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. In de waarschuwing wordt gebruikers gevraagd om hun wachtwoord via Firefox Monitor te controleren. Deze dienst werd vorig jaar door Mozilla gelanceerd en laat gebruikers controleren of hun e-mailaccount bij één van de 362 sites is gecompromitteerd. De waarschuwingsfeature staat nu ingeschakeld in Firefox Nightly, een vroege versie van de browser. Het plan is om de maatregel uiteindelijk in Firefox 68 te lanceren, die voor 9 juli van dit jaar gepland staat. bron: security.nl

Oracle heeft een noodpatch uitgebracht voor een zeer ernstige kwetsbaarheid in WebLogic Server waardoor een aanvaller op afstand het systeem kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Een ongeauthenticeerde aanvaller kan via het beveiligingslek op afstand willekeurige code op het systeem uitvoeren. De kwetsbaarheid werd op 17 april aan de China National Vulnerability Database toegevoegd, een database met informatie over allerlei beveiligingslekken. Vanwege de ernst van de kwetsbaarheid geeft Oracle klanten het advies om de beveiligingsupdate zo snel als mogelijk te installeren. Oracle WebLogic is een populaire Java-applicatieserver. Het platform is ook een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers destijds voor cryptomining en het installeren van ransomware. Volgens securitybedrijf KnowSec zijn er zo'n 36.000 kwetsbare WebLogic-servers op internet te vinden. bron: security.nl

Twee miljoen Internet of Things-apparaten zijn door een beveiligingslek in de p2p-software die ze gebruiken voor kwaadwillenden toegankelijk. Het gaat om beveiligingscamera's, webcams, babymonitors en smart deurbellen, zo ontdekte beveiligingsonderzoeker Paul Marrapese. De apparatuur wordt geleverd met software genaamd "iLnkP2P". Via deze software is het mogelijk om de apparaten van over de gehele wereld te benaderen, zonder dat er aanpassingen aan de router of firewall moeten worden gemaakt. Gebruikers installeren een mobiele app en scannen de barcode op het apparaat of voeren een zescijferige code (UID) in. De p2p-software regelt de rest. De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken. Om de mogelijkheid te bewijzen ontwikkelde Marrapese een script waarmee hij meer dan twee miljoen kwetsbare IoT-apparaten identificeerde. Negentien procent hiervan bevindt zich in Europa. Wachtwoorden De onderzoeker ontwikkelde ook een aanval waarmee het mogelijk is om wachtwoorden van de kwetsbare apparaten te stelen, door misbruik van hun ingebouwde "heartbeat" feature te maken. Zodra de apparaten op een netwerk worden aangesloten versturen de iLnkP2P-apparaten geregeld een bericht naar een vooraf geconfigureerde p2p-server in afwachting van verdere instructies. De p2p-server zal verbindingsverzoeken naar de locatie van het meest recent ontvangen bericht doorsturen. Door alleen het UID te kennen kan een aanvaller een frauduleus heartbeat-bericht versturen dat het vorige bericht van het legitieme apparaat vervangt. Hierdoor zal het apparaat verbinding met de aanvaller maken. "Zodra er verbinding wordt gemaakt zullen de meest clients meteen in plaintext als beheerder proberen in te loggen, waardoor een aanvaller de inloggegevens van het apparaat kan verkrijgen", aldus de onderzoeker tegenover it-journalist Brian Krebs. Aanvallers kunnen zo het apparaat overnemen. Marrapese waarschuwde de ontwikkelaar van de software, maar kreeg geen reactie. ILnkP2P wordt vaak door fabrikanten geïmplementeerd, die hun apparaten als white label distribueren. Het is daardoor lastig om een lijst van alle kwetsbare fabrikanten te maken. Gebruikers kunnen echter aan de hand van de id-code op hun apparaat kijken of ze risico lopen. In onderstaande tabel staan (een deel van) de prefixes waarmee het UID van kwetsbare apparaten begint. In een analyse van de kwetsbaarheid stelt de onderzoeker dat het onwaarschijnlijk is dat fabrikanten met een update zullen komen, waardoor gebruikers risico blijven lopen. Gebruikers krijgen dan ook het advies om de apparatuur weg te doen. Wanneer dit niet mogelijk is wordt aangeraden om UDP-poort 32100 dicht te zetten, waardoor de p2p-functionaliteit niet meer werkt. Daardoor zijn de apparaten niet meer vanaf externe netwerken via p2p toegankelijk. Lokale toegang werkt nog wel. bron: security.nl

De meeste mensen die het op privacy gerichte besturingssysteem Tails gebruiken werken vanaf een usb-stick, zo hebben de ontwikkelaars bekendgemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het is zowel vanaf dvd als usb-stick te starten, of binnen een virtual machine te gebruiken. Sinds januari biedt Tails een nieuwe installatiemethode voor usb-sticks, die de installatie een stuk eenvoudiger maakt. Zo is er voor macOS een grafische tool beschikbaar, zodat gebruikers niet meer vanaf de commandline hoeven te werken. Windows-gebruikers hoeven niet meer over twee usb-sticks te beschikken. Daarnaast zorgt de nieuwe installatiemethode voor usb-sticks die beter op nieuwe computers met UEFI werken. 76 procent van alle downloads van Tails betreft inmiddels de versie voor usb-sticks, terwijl de resterende 24 procent het bestand voor dvd's en virtual machines is, zo laten de ontwikkelaars in het maandoverzicht van maart weten. Sinds de lancering van de nieuwe installatiemethode voor usb-sticks is het aantal Mac-gebruikers van Tails verdubbeld. Tails wordt gemiddeld 26.000 keer per dag gestart. VeraCrypt Vorig jaar besloten de Tails-ontwikkelaars om de encryptiesoftware VeraCrypt binnen het besturingssysteem te integreren. VeraCrypt is een programma voor het versleutelen van systemen en bestanden. Door de integratie kunnen gebruikers eenvoudig hun met VeraCrypt versleutelde schijven en containers ontsleutelen. Het aantal Tails-gebruikers dat VeraCrypt gebruikt is bijna verdubbeld. De ontwikkelaars zijn blij met deze resultaten, maar hadden naar eigen zeggen meer verwacht. "We moeten dan ook beter over nieuwe features communiceren", zo stellen ze. bron: security.nl

Duizenden WordPress-sites lopen risico om te worden overgenomen nu aanvallers zich op meer kwetsbare plug-ins richten. De afgelopen maanden zijn er verschillende kwetsbaarheden in populaire WordPressplug-ins onthuld die aanvallers kwaadaardige code aan de website laten toevoegen. Zo kunnen er backdoors worden toegevoegd en scripts die bezoekers bijvoorbeeld naar malafide websites doorsturen. Een bekend voorbeeld zijn websites die internetgebruikers via helpdeskfraude proberen op te lichten. Eén specifieke campagne die kwetsbaarheden in meerdere WordPressplug-ins gebruikt om websites over te nemen is al enige maanden gaande. De aanvallers achter deze campagne hebben nu exploits voor twee nieuwe plug-ins toegevoegd. Het gaat om Woocommerce User Email Verification. Deze plug-in wordt door webwinkels gebruikt voor het valideren van het e-mailadres waarmee klanten zich registreren. Een kwetsbaarheid in de plug-in laat aanvallers allerlei kwaadaardige scripts injecteren. Een beveiligingsupdate om de kwetsbaarheid te verhelpen is nog niet beschikbaar. Meer dan 6.000 websites hebben Woocommerce User Email Verification geïnstalleerd. WP Inventory Manager is de andere plug-in waar aanvallers het op hebben voorzien. Via deze plug-in kunnen webwinkels de voorraad van producten en materiaal bijhouden. Op 16 april werd een kwetsbaarheid in de plug-in verholpen, die inmiddels ook wordt aangevallen. In dit geval is er wel een beveiligingsupdate beschikbaar, maar de praktijk laat zien dat veel webmasters hun WordPressplug-ins niet updaten. Van WP Inventory Manager is een gratis en betaalde versie die identiek zijn. De gratis versie heeft meer dan duizend installaties. Het aantal installaties van de betaalde variant is onbekend. bron: security.nl

Ontwikkelaar van forensische software ElcomSoft heeft een update van de eigen software uitgebracht waardoor het eenvoudiger moet worden om via bruteforce het wachtwoord te kraken van harde schijven die via BitLocker, PGP en TrueCrypt/VeraCrypt zijn versleuteld. Normaliter moeten onderzoekers eerst een image van de versleutelde schijf maken voordat er begonnen kan worden met het bruteforcen van het wachtwoord dat voor de versleuteling is gebruikt, aldus ElcomSoft. De laatste versie van de System Recovery-software maakt het mogelijk om de computer van een usb-stick op te starten, waarna de aanwezige schijfversleuteling automatisch wordt gedetecteerd. Onderzoekers kunnen zo de informatie achterhalen die nodig is om het originele wachtwoord te bruteforcen, zo stelt het softwarebedrijf. ElcomSoft merkt op dat het lastig kan zijn om wachtwoorden voor volledige schijfversleuteling te kraken. "Een sneller alternatief is mogelijk aanwezig als de computer in slaapstand stond op het moment dat de versleutelde partitie was gemount. Wanneer dit het geval is, kan de decryptiesleutel in het slaapstandbestand zijn opgeslagen", zo laat het softwarebedrijf weten. De software van ElcomSoft wordt volgens het bedrijf door opsporingsdiensten wereldwijd gebruikt. bron: security.nl

Onderzoekers hebben nieuwe versies van de beruchte Emotet-malware ontdekt die ip-camera's en andere Internet of Things-apparaten als proxyserver gebruikt, om zo detectie te ontlopen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. Eenmaal actief maakt Emotet verbinding met een command & control-server. De nieuwste versies maken echter gebruik van een proxycontroleserver die het verkeer naar de echte command & control-servers doorstuurt. Wat opvalt aan deze proxyserver is dat het Internet of Things-apparaten zijn, zoals ip-camera's, routers en digitale videorecorders. "Deze aanpassingen lijken onbeduidend, maar de toegevoegde complexiteit aan het command & control-verkeer is een poging van de Emotet-auteurs om detectie te omzeilen", aldus anti-virusbedrijf Trend Micro. De virusbestrijder merkt op dat deze ontdekking ook laat zien dat de malware wordt ingezet om kwetsbare met internet verbonden apparaten te compromitteren en verzamelen, die weer voor allerlei andere kwade doeleinden gebruikt kunnen worden. De e-mails die Emotet begin deze maand gebruikte hadden een met wachtwoord beveiligd zip-bestand als bijlage, waarbij het wachtwoord in de e-mail stond vermeld. bron: security.nl

Hostingprovider GoDaddy heeft vorige maand 15.000 subdomeinen gesloten die voor meerdere grootschalige spamcampagnes werden gebruikt waarin allerlei gewichtsverliesproducten en medicijnen werden aanbevolen. De subdomeinen waren van honderden legitieme GoDaddy-klanten waarvan de inloggegevens waren gecompromitteerd. De aanvallers hebben deze inloggegevens waarschijnlijk bemachtigd via phishingaanvallen of doordat klanten hetzelfde wachtwoord voor meerdere websites gebruikten zo meldt securitybedrijf Palo Alto Networks. De spammers verstuurden e-mails met afgekorte links die naar de subdomeinen wezen. Deze subdomeinen verwezen weer door naar websites waarop de gewichtsverlies en andere producten werden aangeboden. Naast het sluiten van de subdomeinen in maart heeft GoDaddy de gecompromitteerde gebruikers aangespoord hun wachtwoord te wijzigen. bron: security.nl

Tienduizenden Oracle WebLogic-servers zijn kwetsbaar door een nieuw beveiligingslek waarvoor nog geen update beschikbaar is. Via de kwetsbaarheid kan een aanvaller op afstand code op de server uitvoeren, zo laat de China National Vulnerability Database weten. Oracle WebLogic, een populaire Java-applicatieserver, is een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruiken kwetsbare servers voor cryptomining of installeren ransomware. In het geval van de huidige kwetsbaarheid is er nog geen beveiligingsupdate door Oracle uitgerold. Securitybedrijf F5 Labs meldt op Twitter dat er al aanvallen zijn waargenomen die van het nieuwe beveiligingslek misbruik maken, maar dit is nog niet door andere partijen bevestigd. Beheerders van een Oracle WebLogic-server kunnen in afwachting van een beveiligingsupdate de bestanden wls9_async_response.war en wls-wsat.war verwijderen en de WebLogic-service herstarten. Een andere optie is toegang tot de /_async/* en /wls-wsat/* paden te beperken, aldus securitybedrijf KnowSec. Volgens het bedrijf zijn er zo'n 36.000 kwetsbare servers op internet te vinden. Oracle komt vier keer per jaar met beveiligingsupdates. De volgende patchronde staat gepland voor 16 juli. Of het softwarebedrijf vanwege het nu onthulde lek met een noodpatch komt is nog onbekend. bron: security.nl

Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zo goed als zinloos is, aldus Microsoft. De softwaregigant heeft dan ook besloten om het wachtwoordverloopbeleid waardoor Windows-gebruikers periodiek gedwongen kunnen worden om hun wachtwoord te wijzigen uit de security baseline van Windows 10 versie 1809 en Windows Server 2019 te verwijderen. "Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden", zegt Microsofts Aaron Margosis. Hij wijst naar onderzoek waaruit blijkt dat er betere alternatieven zijn voor het periodiek wijzigen van wachtwoorden, zoals het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie. Om organisaties te helpen bij hun beveiliging biedt Microsoft een zogeheten "security baseline" met aanbevolen instellingen. Het gaat dan onder andere om allerlei group policies. De group policy voor het periodiek wijzigen van wachtwoorden is in de nieuwste versie van de baseline verwijderd. Volgens Margosis heeft deze functie nauwelijks enige waarde. Het biedt namelijk alleen bescherming als een wachtwoord of wachtwoordhash is gestolen tijdens de periode dat die geldig is en vervolgens door een aanvaller wordt gebruikt. Als een wachtwoord echter nooit gestolen wordt is er ook geen reden om het verplicht te laten vervangen. En als blijkt dat een wachtwoord wel is gestolen, dan zullen de meeste organisaties of gebruikers meteen in actie komen en het veranderen, in plaats van te wachten tot de ingestelde periode verloopt. Het is dan ook de vraag hoeveel bescherming het periodiek wijzigen van wachtwoorden biedt. "Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zeer weinig waarde heeft, en we denken dat het niet zinvol is voor onze baseline om een bepaalde waarde te handhaven. Door het van onze baseline te verwijderen in plaats van een bepaalde waarde of helemaal geen expiratie aan te bevelen, kunnen organisaties kiezen wat het beste aan hun beoogde wensen tegemoet komt zonder dat het tegenstrijdig met ons advies is", aldus Margosis. Eind vorig jaar adviseerde het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid ook al om het periodiek wijzigen van wachtwoorden niet langer te verplichten en deze maatregel te vervangen door compenserende maatregelen. bron: security.nl

Aanvallers zijn er onlangs in geslaagd om kwaadaardige code aan een WordPress-site van securitybedrijf Flashpoint toe te voegen die bezoekers naar een website met malware doorstuurde. Dat heeft het bedrijf in een verklaring op de eigen website bevestigd. Het gaat om de website flashpoint-intel.com die vermoedelijk in de nacht van vrijdag 12 april op zaterdag 13 april via een kwetsbare Wordpressplug-in werd gecompromitteerd. Dit houdt in dat het securitybedrijf advies om de plug-in te verwijderen niet heeft opgevolgd. Op 10 april waarschuwden securitybedrijven Sucuri en Wordfence voor een beveiligingslek in de Yuzo Related Posts-plug-in dat actief werd aangevallen en waarvoor geen beveiligingsupdate beschikbaar was. De ontwikkelaar van de plug-in liet vervolgens weten dat er een update zou verschijnen en adviseerde gebruikers om Yuzo direct van hun website te verwijderen totdat de patch beschikbaar was. Twee dagen later was de plug-in nog steeds op de WordPress-site van Flashpoint aanwezig en kon zodoende door aanvallers worden misbruikt. De kwaadaardige code die de aanvallers toevoegden stuurde bezoekers door naar een malafide website. Deze website toonde een pop-up die naar malware linkte. Op 14 april werd de Flashpoint-website door het securitybedrijf opgeschoond. Naar aanleiding van het incident heeft Flashpoint besloten om alle onnodige plug-ins te verwijderen en de website verder te hardenen. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die 39 beveiligingslekken verhelpt en automatische downloads in iframes blokkeert. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Verder is er een beveiligingslek in de Autofill-functie van Chrome verholpen waardoor een kwaadwillende website informatie van de gebruiker had kunnen achterhalen. Voor het rapporteren van de kwetsbaarheden keerde Google in totaal meer dan 26.000 dollar uit aan externe beveiligingsonderzoekers. Tevens is de browser voorzien van een maatregel om gebruikers tegen "drive-by downloads" te beschermen die zonder interactie van de gebruiker plaatsvinden. Het gaat dan specifiek om automatische downloads in iframes. De automatische downloads worden vanaf nu geblokkeerd, maar de beperking kan nog door contentproviders worden omzeild. Vanaf Chrome 76 zal de ondersteuning van dergelijke downloads volledig worden verwijderd. Updaten naar Chrome 74.0.3729.108 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Eén van de beveiligingsupdates die Microsoft eerder deze maand voor Windows 7 en Server 2008 uitbracht zorgt voor problemen op systemen met sommige antivirussoftware. Na installatie van de update en een herstart van de computer kan die bij het laden van Windows vastlopen, zo meldt Microsoft. Daarnaast kunnen gebruikers met trage systeemprestaties en opstarttijden te maken krijgen. De problemen doen zich voor bij antivirussoftware van Sophos, Avira, ArcaBit, Avast en McAfee. Microsoft heeft een onderzoek naar het probleem ingesteld en systemen met de betreffende antiviruspakketten krijgen de Windows-update niet meer aangeboden. De verschillende antivirusbedrijven hebben inmiddels advies voor hun klanten uitgebracht. In het geval van Avast en ArcaBit zijn er micro-updates verschenen om het probleem te verhelpen. Volgens McAfee is een update voor het Client Server Runtime Subsystem (CSRSS) die deze maand verscheen de boosdoener en veroorzaakt het in combinatie met de antivirussoftware voor een "potentiële deadlock". CSRSS is een essentieel onderdeel van Windows dat verantwoordelijk is voor de Win32-console en het sluiten van de grafische gebruikersinterface. De deadlock zorgt ervoor dat de antivirussoftware wacht totdat er een resource wordt vrijgegeven, wat niet gebeurt. Of en wanneer Microsoft met een update komt om het euvel te verhelpen is nog onbekend. bron: security.nl

De populaire adblocker Adblock Plus heeft een update uitgebracht vanwege een beveiligingslek waardoor malafide filterlijsten kwaadaardige code hadden kunnen uitvoeren op websites die gebruikers bezoeken. Meerdere adblockers maken gebruik van filterlijsten voor het blokkeren van advertenties. Sommige filterlijsten maken daarbij gebruik van een zogeheten rewrite-filteroptie om trackingdata te verwijderen en advertenties op websites te blokkeren. In bepaalde gevallen is het mogelijk voor filterlijsten die de rewrite-optie toepassen om kwaadaardige scripts op bezochte websites uit te voeren. Onderzoeker Armin Sebastian die het probleem ontdekte stelde dat Adblock Plus, AdBlock en uBlock kwetsbaar zijn. In een reactie verklaarde Eyeo, het bedrijf achter Adblock Plus, dat zowel filterlijsten als hun auteurs worden gecontroleerd, waardoor de kans op misbruik onwaarschijnlijk zou zijn. Om misbruik uit te sluiten is er echter een nieuwe versie verschenen. Die is te downloaden via de browsers add-on store of adblockplus.org. Sebastian liet eerder al weten dat het probleem niet speelde bij uBlock Origin. bron: security.nl

Mozilla heeft een nieuwe maatregel aan een testversie van Firefox toegevoegd om pushnotificaties van malafide websites aan te pakken. Websites kunnen gebruikers toestemming vragen om pushnotificaties te tonen. Deze notificaties kunnen ook worden getoond als de gebruiker de website heeft verlaten. Onlangs liet Mozilla weten dat websites elke maand miljoenen keren aan Firefoxgebruikers toestemming vragen om pushnotificaties te versturen. Minder dan 3 procent van deze verzoeken wordt echter geaccepteerd. De browserontwikkelaar kondigde daarom maatregelen aan om deze "permission notification spam" tegen te gaan. Een van deze maatregelen is nu aan de nieuwste versie van Firefox Nightly toegevoegd, een testversie van de browser. Sommige malafide websites lieten gebruikers in het verleden een notificatieverzoek zien. Zodra de gebruiker dit weigerde verscheen er een nieuw notificatieverzoek, alleen vanaf een ander subdomein. Gebruikers werden op deze manier letterlijk met verzoeken gespamd totdat ze het versturen van pushnotificaties toestonden of de website verlieten, aldus Mozilla. Om deze vorm van spam te blokkeren geldt de beslissing van een gebruiker om een pushnotificatie nu voor het gehele domein. Verzoeken die van een subdomein afkomstig zijn worden zo ook geblokkeerd als de gebruiker tegen het eerst verzoek van de website nee heeft gezegd. De maatregel is nu aan Firefox Nightly 68 toegevoegd en zal later in de definitieve versie van de browser verschijnen. bron: security.nl

Om gebruikers tegen man-in-the-middle-aanvallen te beschermen gaat Google vanaf juni alle inlogpogingen blokkeren die afkomstig zijn van zogeheten "embedded browser frameworks". Dit zijn frameworks waarmee een browser-engine aan een applicatie kan worden toegevoegd. Een bekend voorbeeld is het Steam-gamingplatform, dat een aangepaste versie van het Chromium Embedded Framework (CEF) gebruikt. Op deze manier biedt Steam aan gebruikers de mogelijkheid om vanuit de applicatie te browsen. Als gebruikers via dergelijke browsers op hun Google-account inloggen is het volgens de internetgigant lastig om man-in-the-middle-aanvallen te detecteren. "Omdat we op deze platformen een legitieme inlogpoging niet van een man-in-the-middle-aanval kunnen onderscheiden, zullen we vanaf juni logins van embedded browser frameworks blokkeren", zegt Jonathan Skelker van Google. Applicaties die van dergelijke frameworks gebruikmaken wordt aangeraden om browsergebaseerde OAuth-authenticatie toe te passen. Zo kunnen gebruikers de volledige url zien van de pagina waar ze inloggen. bron: security.nl

Onderzoekers hebben malware ontdekt die Google Chrome bij slachtoffers installeert, mochten ze de browser nog niet gebruiken, om zo allerlei manipulatieve acties op YouTube uit te voeren. De malware wordt Scranos genoemd en wordt verspreidt via illegale software of besmette legitieme programma's. Eenmaal actief op een systeem kan Scranos allerlei activiteiten uitvoeren, waaronder het stelen van wachtwoorden, cookies en surfgeschiedenis uit browsers, het versturen van phishingberichten naar Facebookvrienden van het slachtoffer, het installeren van Chrome-/Opera-extensies voor het injecteren van JavaScript-adware en het plegen van verschillende frauduleuze handelingen op YouTube. Scranos kan bijvoorbeeld een adwarebestand installeren dat YouTube-pagina's manipuleert, aldus onderzoekers van antivirusbedrijf Bitdefender. Hiervoor maakt de malware gebruik van de debugging-mode van Google Chrome. Wanneer het slachtoffer niet over Chrome beschikt wordt de browser eerst geïnstalleerd. Vervolgens verbergt de malware het Chrome-venster en laadt bijvoorbeeld YouTube-pagina's, abonneert slachtoffers op een YouTube-videokanaal en klikt op YouTube-advertenties. Eén YouTube-kanaal wist op deze manier 3100 nieuwe abonnees op één dag te krijgen. De meeste infecties zijn in India, Roemenië, Brazilië, Frankrijk, Italië en Indonesië waargenomen. "Ondanks de geraffineerdheid lijkt dat deze aanval nog in ontwikkeling is, waarbij veel onderdelen zich nog aan het begin van de ontwikkeling bevinden", zo laten de onderzoekers weten (pdf). Zo testen de aanvallers onder bestaande slachtoffers nieuwe onderdelen en voeren verbeteringen aan oude onderdelen door. bron: security.nl

Antivirusbedrijf Avast heeft een nieuwe versie van de eigen browser uitgebracht die onder andere over webcambeveiliging, anti-fingerprinting en een "Hack Check" beschikt. De Avast Secure Browser is een op Chromium-gebaseerde browser die zich richt op security en privacy. Zo wordt standaard de adblocker Adblock meegeleverd en zijn andere privacymaatregelen aanwezig. Ook beschikt de browser over een "Bank Mode" die moet voorkomen dat de invoer van gebruikers, zoals wachtwoorden of creditcardnummers, door cybercriminelen kunnen worden gezien. De nieuwste versie van de browser heeft de naam "Aspen" gekregen en bevat drie nieuwe features. De eerste feature zorgt voor een generieke browser-fingerprint. Browsers versturen bij het bezoeken van een website allerlei informatie, zoals scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. Bij veel internetgebruikers is deze informatie uniek, waardoor ze overal op het web te volgen zijn. De Avast-browser genereert nu generieke browser-informatie, wat het lastiger voor bedrijven moet maken om gebruikers aan de hand van hun fingerprint te volgen. De Webcam Guard-optie laat gebruikers instellen welke websites toegang tot de webcam krijgen en voor hoelang. Via de "Hack Check" worden gebruikers gewaarschuwd als hun gegevens in bekende datalekken voorkomen, vergelijkbaar met de zoekmachine Have I Been Pwned. Gebruikers van de browser worden automatisch naar de nieuwste versie geüpdatet. bron: security.nl

Securitybedrijf FireEye heeft een opensourcetool gelanceerd waarmee verdachte Flash-bestanden zijn te analyseren. Hoewel Adobe volgend jaar de ondersteuning van Flash stopzet maken aanvallers er nog steeds gebruik van. Daarnaast is het waarschijnlijk dat de technologie ook na het stopzetten van de support nog lange tijd binnen organisaties aanwezig zal zijn. Sinds 2005 zijn er meer dan duizend beveiligingslekken in Adobe Flash Player ontdekt die via kwaadaardige Flash-bestanden zijn te misbruiken. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid zijn bijna 900 van de beveiligingslekken in Flash Player met een 9 of hoger beoordeeld. Hierdoor kunnen aanvallers in het ergste geval volledige controle over systemen krijgen. "Een algemene misvatting is dat Flash al iets van het verleden is. Het verleden leert ons dat legacy technologieën lange tijd blijven rondhangen. Als organisaties Flash niet op tijd uitfaseren kan de beveiligingsdreiging door een gebrek aan beveiligingsupdates na de einddatum van Flash toenemen", aldus Carlos Garcia Prado van FireEye. Om verdachte Flash-bestanden op efficiënte wijze te analyseren ontwikkelde het securitybedrijf Flashmingo, een framework dat de analyse van SWF-bestanden automatiseert. Het is binnen verschillende analyseworkflows als losse applicatie te integreren of als library te gebruiken. Prado merkt op dat Flash waarschijnlijk nog lange tijd als infectievector zal worden gebruikt. Via Flashmingo kunnen onderzoekers snel verdachte Flash-bestanden doorlichten, zonder veel tijd aan omgevingen en bestandsformaten kwijt te zijn. Flashmingo is te vinden op GitHub. bron: security.nl

Meerdere adblockers maken gebruik van filterlijsten voor het blokkeren van advertenties, maar auteurs van deze lijsten kunnen door een kwetsbaarheid in bepaalde gevallen kwaadaardige code uitvoeren op de websites die gebruikers bezoeken. Daarvoor waarschuwt beveiligingsonderzoeker Armin Sebastian. Het probleem wordt veroorzaakt door de rewrite-filteroptie. Sommige adblockers maken hiervan gebruik om trackingdata te verwijderen en advertenties te blokkeren. In bepaalde gevallen is het mogelijk voor filterlijsten die de rewrite-optie toepassen om kwaadaardige scripts op bezochte websites uit te voeren. Adblock Plus, AdBlock en uBlock zijn kwetsbaar, aldus Sebastian. De ontwikkelaars van Adblock Plus achten het onwaarschijnlijk dat filterlijstauteurs misbruik van de kwetsbaarheid zullen maken. Alle auteurs worden namelijk gecontroleerd, alsmede de filterlijsten zelf, zo stelt Laura Dornheim van Eyeo, het bedrijf achter de adblocker. Tevens zouden er nog geen aanwijzingen zijn dat er misbruik van de mogelijkheid is gemaakt. "Toch zijn er nog steeds websites waar deze optie is te gebruiken om kwaadaardige software uit te voeren en we weten dat het onze verantwoordelijkheid is om onze gebruikers tegen dergelijke aanvallen te beschermen. We werken aan een oplossing voor het probleem", merkt Dornheim op. De kwetsbare adblockers hebben bij elkaar meer dan 100 miljoen gebruikers. Die kunnen wachten op een update, of overstappen op de adblocker uBlock Origin, die niet kwetsbaar is, aldus Sebastian. bron: security.nl

Het videoplatform ViewLift, waar verschillende sportnetwerken en andere uitgevers gebruik van maken, heeft eind vorig jaar miljoenen records van gebruikers gelekt. De gegevens waren via een onbeveiligde Elasticsearch-database zonder wachtwoord voor iedereen op internet toegankelijk. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. De onbeveiligde database was in november en december afgelopen jaar online te vinden. ViewLift is een videoplatform voor uitgevers waarmee ze hun content kunnen verspreiden en verzilveren. Hiervoor ontwikkelt ViewLift applicaties die de vormgeving van de betreffende uitgever krijgen. Gebruikers kunnen de apps installeren en zo de content van de betreffende uitgever bekijken. Arena Football, Lacrosse Sports Network, Snagfilms en Monumental Sports Network zijn enkele van de klanten van ViewLift. Beveiligingsonderzoeker Bob Diachenko ontdekte de database van Viewlift, die meer dan 5 miljoen records bevatte. De meeste records bestonden uit registratiegegevens van gebruikers, waaronder land, e-mailadres, naam, links naar socialmediaprofielfoto's en ip-adressen. Diachenko waarschuwde Viewlift, maar ondanks herhaaldelijke pogingen kwam er geen reactie van het bedrijf, aldus de onderzoeker. Een aantal weken later was de database echter offline gehaald. bron: security.nl

Honderden WordPress-sites zijn kwetsbaar door een lek in een plug-in genaamd CodeArt - Google MP3 Player, waardoor aanvallers informatie kunnen achterhalen om sites volledig mee over te nemen. CodeArt is een plug-in om muziek aan een blog toe te voegen en wordt al jaren niet meer ondersteund. Via het beveiligingslek is het mogelijk om het bestand wp-config.php uit te lezen, dat gevoelige informatie bevat zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "secret keys" waarmee het mogelijk is om authenticatiecookies te vervalsen. Alleen al toegang tot de WordPress-database is voldoende om de website over te nemen. Wanneer het wachtwoord van de database hetzelfde is als dat van de beheerder, kan de site ook via de front-end worden gecompromitteerd, zegt onderzoeker Troy Mursch van Bad Packets Report. Al 4 jaar geleden stelden gebruikers dat de plug-in een kwetsbaarheid bevat die aanvallers gebruikten om configuratiebestanden uit te lezen. Daarop stelde de ontwikkelaar mogelijk het beveiligingslek te zullen dichten. Volgens de WordPress repository verscheen de laatste update voor CodeArt echter zes jaar geleden. De plug-in is inmiddels ook niet meer via de WordPress-site te downloaden. Mursch ontdekte dat nog bijna duizend WordPress-sites de plug-in gebruiken. Zo'n 400 zijn daarvan kwetsbaar voor aanvallen. De onderzoeker merkt op dat aanvallers actief naar kwetsbare websites zoeken. Webmasters en beheerders krijgen dan ook het advies de plug-in direct te verwijderen. bron: security.nl

De Taiwanese computerfabrikant Asus gaat verschillende certificaten waarmee het software signeert intrekken wat gevolgen voor gebruikers kan hebben. Een aanleiding voor de maatregel wordt niet gegeven, maar het lijkt verband te houden met de inbraak bij Asus waar aanvallers toegang kregen tot updateservers en certificaten van het bedrijf, en vervolgens malafide gesigneerde updates naar gebruikers verstuurden. Asus laat weten dat het een nieuwe gelaagde certificaatstructuur gaat invoeren, die de beveiligingsinfrastructuur van het bestaande software-ecosysteem upgradet. Vanwege de upgrade zullen verschillende certificaten waarmee Asus op dit moment software signeert, zodat gebruikers kunnen zien dat die niet is aangepast en van de computerfabrikant afkomstig is, worden ingetrokken. Deze intrekking kan bij meerdere Asus-tools voor een Windows-dialoogvenster zorgen of voorkomen dat de software normaal werkt als gebruikers die willen installeren of starten. De computerfabrikant beschrijft vier scenario's waar gebruikers mee te maken kunnen krijgen. Verschillende Asus-programma's, waaronder Aura, AI Suite III en GPU Tweak II, kunnen stoppen met werken als de certificaten zijn ingetrokken. Gebruikers moeten in dit geval een nieuwe versie installeren. Een ander probleem doet zich voor als gebruikers via een Asus-cd die met systemen en moederborden wordt meegeleverd drivers en andere software willen installeren. Gebruikers kunnen een waarschuwing te zien krijgen waardoor ze de installatie niet kunnen uitvoeren. Verder kunnen gebruikers met bepaalde Asus-moederborden bij de eerste keer dat ze hun systeem starten tegen problemen aanlopen. Het gaat dan om moederborden met de Armoury Crate of Q-installer. Na de eerste keer booten kunnen deze gebruikers een waarschuwing te zien krijgen waardoor ze Asus Armoury Crate niet kunnen installeren en starten. Via deze software kunnen gebruikers de hardware van hun systeem configureren, zoals de snelheid van de fans, processor en geheugen. Deze groep gebruikers moet de BIOS van hun systeem updaten. bron: security.nl