Captain Kirk

Aanvallers hebben maandenlang toegang tot de e-mails van niet-zakelijke Outlook.com-, Hotmail- en MSN-gebruikers gekregen, waaronder de inhoud van berichten. Dit weekend stuurde Microsoft een e-mail naar een onbekend aantal gebruikers dat de inloggegevens van een Microsoft-supportmedewerker waren gecompromitteerd, waardoor aanvallers toegang tot informatie van het e-mailaccount hadden gekregen. Het ging onder andere om e-mailadres, foldernamen, onderwerpen van e-mails en de namen van andere e-mailadressen waarmee werd gecommuniceerd. Microsoft meldde in eerste instantie dat er geen toegang was verkregen tot de inhoud van e-mails of bijlagen. Verder stelde de softwaregigant dat de aanvallers de accounts tussen 1 januari en 28 maart van dit jaar hebben benaderd. Een bron laat aan Vice Magazine weten dat de aanvallers wel degelijk toegang tot de inhoud van e-mailberichten hebben gekregen, wat nu ook door Microsoft is bevestigd. Het gecompromitteerde account was van een supportmedewerker met hogere rechten, waardoor die toegang tot meer materiaal had dan normale medewerkers, aldus de bron. Zakelijke accounts konden echter niet via het account worden benaderd. Microsoft verklaart dat bij 6 procent van de getroffen gebruikers ook e-mailcontent is ingezien. Het is echter onbekend hoeveel Outlook.com-gebruikers slachtoffer zijn geworden. Na ontdekking van de aanval werden de gecompromitteerde inloggegevens uitgeschakeld. Hoe de aanvallers toegang tot deze gegevens konden krijgen laat Microsoft niet weten. Aanvallers zouden de toegang tot de e-mailaccounts onder andere hebben gebruikt om het activeringsslot van gestolen iPhones te verwijderen. Via het activeringsslot moet worden voorkomen dat dieven een gestolen iPhone kunnen resetten en doorverkopen, aldus de bron. Tevens stelde de bron dat de aanvallers tenminste zes maanden toegang tot Outlook.com-accounts hadden, maar Microsoft ontkent dit. bron: security.nl

Wanneer je wilt dat er weer verbinding is met het hoofdpunt, help het wel eens om de Poweline even uit te zetten en dan je modem te resetten. Hierna met de apparaten verbinding maken en wanneer deze hersteld is, de Powerline weer aansluiten.

Antivirusbedrijf Avast heeft besloten de ondersteuning van Windows XP-gebruikers verder af te bouwen. Sinds begin dit jaar ontvangen gebruikers van de antivirussoftware op Windows XP en Vista geen nieuwe beveiligingsfeatures. Wel ontvangen deze gebruikers nog gewoon virusdefinities. Nu maakt de virusbestrijder bekend dat XP-gebruikers van de betaalde opschoontool Cleanup Premium vanaf vandaag geen updates meer ontvangen. Het programma, dat 50 euro per jaar kost, helpt gebruikers bij het opschonen van het register en verwijderen van achtergebleven bestanden. Ook bevat de software een automatische updatetool waarmee andere programma's op het systeem worden geüpdatet. Volgens Avast is het aantal Windows XP-gebruikers sterk afgenomen. Zo wordt het nog door 1,6 procent van de Avast-klanten gebruikt. Het antivirusbedrijf claimt 435 miljoen gebruikers, wat inhoudt dat zo'n 7 miljoen klanten met XP werken. "We richten ons op het ontwikkelen van nieuwe en coole features in plaats van het ondersteunen van een stervend platform", zegt Sandro Villinger van Avast. Cleanup Premium blijft wel gewoon bij klanten werken, maar die wordt dringend aangeraden om naar Windows 7 of 10 te upgraden. Windows XP wordt sinds 2014 niet meer door Microsoft ondersteund. bron: security.nl

De afgelopen weken zijn bij verschillende aanvallen ACE-bestanden verstuurd die misbruik maken van een kwetsbaarheid in een oude library voor het ACE-compressieformaat, maar de huidige exploit werkt op het moment alleen tegen kwetsbare versies van WinRAR. Andere programma's die dezelfde library gebruiken zijn ook kwetsbaar voor aanvallen, maar de exploit die bij de recente aanvallen is gebruikt moet per programma worden aangepast om te kunnen werken. Dat laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. Eind februari onthulden onderzoekers van Check Point dat ze een beveiligingslek in WinRAR hadden ontdekt. De kwetsbaarheid bevond zich in de DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden. Wanneer er met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand wordt geopend is het voor een aanvaller mogelijk om code in de Startup-map van Windows te plaatsen. Deze code wordt vervolgens bij een herstart van het systeem uitgevoerd en kan bijvoorbeeld aanvullende malware installeren. De library die WinRAR gebruikte, UNACEV2.DLL, wordt ook door andere programma's gebruikt, zoals Total Commander. Hoewel deze programma's dezelfde kwetsbare library gebruiken, werken de nu rondgaande exploits alleen tegen WinRAR, aldus Beek. Gisteren waarschuwde Microsoft nog dat het vorige maand gerichte aanvallen tegen organisaties in de satelliet- en communicatie-industrie heeft waargenomen waarbij het WinRAR-lek werd gebruikt. Gebruikers werden verleid om een ACE-bestand te openen dat zogenaamd afbeeldingen leek te bevatten. In werkelijkheid wordt er een bestand genaamd "dropbox.exe" in de Startup-map geplaatst. Microsoft merkt op dat de huidige aanvallen alleen code in de Startup-map plaatsen, maar het ook mogelijk is om het bestand in een bekende SMB-map achter te laten. Wat verder opvalt aan de aanval die Microsoft beschrijft is dat die wordt gecombineerd met verschillende Word-documenten, die onder andere een melding tonen dat de gebruiker zijn systeem moet herstarten. Op deze manier wordt de code in de Startup-map uitgevoerd. Sinds het beveiligingslek werd geopenbaard heeft McAfee naar eigen zeggen meer dan 100 unieke exploits ontdekt die van de kwetsbaarheid misbruik maken. WinRAR behoort tot de populairste software voor de desktop, maar kent geen automatische updatefunctie. Gebruikers moeten de nieuwste versies waarin de kwetsbare ACE-library is verwijderd dan ook zelf downloaden en installeren. Uit onderzoek dat in januari verscheen bleek dat 71 procent van de WinRAR-installaties op het moment van het onderzoek niet up-to-date was. bron: security.nl

WordPress-sites worden op dit moment actief aangevallen via een zerodaylek in de Yuzo Related Posts-plug-in waardoor aanvallers in het ergste geval de website volledig kunnen overnemen. Via de plug-in kunnen WordPress-sites onder artikelen gerelateerde artikelen tonen. Volgens de ontwikkelaar van de plug-in kunnen websites op deze manier hun bezoekers langer vasthouden. Meer dan 60.000 WordPress-sites hebben de plug-in geïnstalleerd. Onlangs maakte een beveiligingsonderzoeker een kwetsbaarheid in de plug-in bekend, zonder dat de ontwikkelaar was gewaarschuwd en er een beveiligingsupdate beschikbaar was. Inmiddels wordt het beveiligingslek actief door criminelen aangevallen. Via de stored cross-site scripting (XSS) kwetsbaarheid kan een ongeauthenticeerde aanvaller kwaadaardige content, zoals een JavaScript-payload, in de plug-in-instellingen injecteren. Deze payload wordt vervolgens aan de HTML-templates toegevoegd en uitgevoerd in de browser van bezoekers. Via de kwetsbaarheid is het mogelijk om de website te defacen, bezoekers naar andere websites door te sturen of het WordPress-beheerdersaccount over te nemen, aldus securitybedrijven Wordfence en Sucuri. Bij de nu waargenomen aanvallen worden bezoekers doorgestuurd naar scamsites die claimen dat er malware op de computer is gedetecteerd en het opgegeven telefoonnummer moet worden gebeld om het probleem te verhelpen. "Net zoals een paar weken geleden hebben de onverantwoorde acties van een beveiligingsonderzoeker ervoor gezorgd dat een zerodaylek in een plug-in actief wordt aangevallen", aldus onderzoeker Dan Moen van Wordfence. Op het WordPress-forum klagen verschillende mensen dat hun website via de plug-in is gehackt en de ontwikkelaar adviseert alle webmasters om Yuzo direct van hun website te verwijderen. Binnenkort zou er een gepatchte versie moeten verschijnen. WordPress heeft de plug-in inmiddels uit de WordPress-repository verwijderd. bron: security.nl

Gmail is de eerste grote e-mailprovider die de SMTP MTA Strict Transport Security (MTA-STS) standaard ondersteunt, zo heeft Google bekendgemaakt. Dit moet gebruikers tegen man-in-the-middle-aanvallen beschermen, aldus de internetgigant. Voor het versturen en ontvangen van e-mail maakt Gmail gebruik van het Simple Mail Transfer Protocol (SMTP). Het protocol biedt volgens Google alleen "opportunistische encryptie" en veel SMTP-servers doen niets tegen aanvallen waarbij e-mail onderweg wordt onderschept. "SMTP is daarom kwetsbaar voor man-in-the-middle-aanvallen", zegt Nicolas Kardas van Google Cloud. MTA-STS maakt gebruik van encryptie en authenticatie om dergelijke aanvallen te voorkomen. Via een MTA-STS-beleid voor een domein kan externe mailservers die e-mails naar het domein willen sturen worden verzocht om alleen berichten te versturen wanneer de SMTP-verbinding is geauthenticeerd met een geldig publiek certificaat en versleuteld met TLS 1.2 of hoger. Dit kan worden gecombineerd met TLS reporting, waarbij het domein rapportages van externe mailservers kan opvragen met informatie over het succes of mislukkingen van e-mails die volgens het MTA-STS-beleid naar het domein zijn gestuurd. Gmail ondersteunt MTA-STS en TLS reporting voor domeinen die dergelijk beleid hebben ingesteld. Google hoopt dat andere mailproviders zullen volgen, om zo e-mailcommunicatie veiliger te maken. Het instellen van MTA-STS en TLS reporting voor inkomende e-mail moet worden gedaan via DNS-records en serverinstellingen, zoals Google op deze pagina uitlegt. bron: security.nl

Om gebruikers tegen onveilige downloads te beschermen is Google van plan om bepaalde downloads op https-sites die via http plaatsvinden te blokkeren. Het gaat dan specifiek om downloads van uitvoerbare bestanden eindigend op .exe, .dmg en .crx en archiefbestanden zoals .zip, .gzip, .rar, .tar en .bzip. Dat heeft Google-engineer Emily Stark op de webappsec-mailinglist aangekondigd. Volgens Stark wil Google het aantal onveilige downloads terugdringen, met name die risicovol zijn zoals uitvoerbare bestanden. "We willen de juiste balans vinden tussen compatibiliteit/gebruikersverstoring en veiligheidsverbeteringen", merkt Stark op. Daarom richt Google zich eerst op risicovolle downloads die vanuit een https-context worden gestart. In dit geval gaat het om http-downloads die vanaf een https-site worden gestart. Stark wil dergelijke downloads als mixed content beschouwen en binnen de browser blokkeren. Google zal later cijfers over de mogelijke impact van de maatregel delen, maar stelt nu al dat het haalbaar is om bepaalde risicovolle bestandstypes gebaseerd op de content-type header of mime-type te blokkeren. De focus ligt daarbij op desktopgebruikers, aangezien Androidgebruikers al via Safe Browsing zijn beschermd. Wanneer de maatregel aan Chrome wordt toegevoegd is nog niet bekend. bron: security.nl

De oude browserplug-in Shockwave Player is nog op honderden miljoenen computers geïnstalleerd, maar nieuwe beveiligingslekken zullen niet meer worden verholpen. Adobe is namelijk de ondersteuning gestopt. Gisteren verscheen de laatste patch die in totaal zeven kwetsbaarheden verhelpt. Alle zeven kwetsbaarheden zijn als ernstig beoordeeld, wat inhoudt dat alleen het bezoeken van een kwaadaardige website met een kwetsbare versie voldoende is om aanvallers volledige controle over het systeem te geven. Shockwave is een multimediaplatform dat in de browser draait en wordt gebruikt voor interactieve applicaties en spelletjes. Volgens Adobe is Shockwave Player op meer dan 450 miljoen desktops wereldwijd geïnstalleerd. Vanaf 9 april wordt de software niet meer ondersteund en ook niet meer via de website van Adobe aangeboden. Aanleiding om met Shockwave te stoppen is het teruglopende gebruik en de beschikbaarheid van nieuwe technologieën zoals HTML5 en Web GL. Bedrijven met zakelijke licenties voor Adobe Shockwave zullen tot het einde van hun huidige contract ondersteuning blijven ontvangen. Onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers laat zien dat Adobe Shockwave Player op 96 procent van de computers niet up-to-date is. Dit wordt mede veroorzaakt door het feit dat gebruikers de software handmatig moeten updaten. bron: security.nl

Onderzoekers hebben een tweede slachtoffer van Triton ontdekt, malware die industriële systemen in de vitale sector infecteert. Het eerste slachtoffer van Triton was een petrochemische fabriek in Saudi-Arabië. Via de malware wisten aanvallers bij deze fabriek toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten vorig jaar weten. Nu meldt securitybedrijf FireEye dat het een tweede infectie door de Triton-malware binnen de vitale infrastructuur heeft ontdekt. Om wat voor installatie het gaat en in welk land is niet bekendgemaakt. Ook is onduidelijk hoe de aanvallers toegang tot de systemen van de installatie hebben gekregen en of de aanval succesvol was. Wel waren de aanvallers bijna een jaar in het netwerk van de installatie actief voordat er toegang tot het SIS-werkstation werd verkregen. De aanvallers gebruikten verschillende technieken om hun sporen te verbergen, waaronder het hernoemen van bestanden naar Microsoft-updatebestanden, het gebruik van standaardtools zoals RDP en het verwijderen van aanvalstools, logs en bestanden. Nadat de aanvallers toegang tot het SIS-werkstation hadden verkregen probeerden ze de Triton-malware te installeren. Om detectie te voorkomen waren ze vooral buiten de werktijden actief, wanneer er minder personeel op de locatie aanwezig was om op eventuele aanpassingen van de controller te reageren. FireEye geeft organisaties verschillende beveiligingstips om verdachte activiteiten op het netwerk te detecteren, zoals het monitoren op registersleutels die naar exe-bestanden wijzen, bepaalde dns-lookups, uitgaande verbindingen waarbij het protocol en de poort niet overeenkomen, inkomende RDP-verbindingen, verdachte bestanden in bepaalde directories en afwijkingen in vpn-logins. Tevens heeft FireEye verschillende indicators of compromise gepubliceerd waarmee organisaties de tools van de aanvallers kunnen detecteren. bron: security.nl

Onderzoekers hebben nieuwe spionagemalware ontdekt die in staat is om documenten die worden geprint te stelen, alsmede cd-images en data van usb-sticks. Ook maakt de malware opnamen van voip-gesprekken, verzamelt back-uplijsten van Apple-apparaten en steelt cookies van IE, Netscape Navigator, FireFox en RealNetworks, aldus antivirusbedrijf Kaspersky Lab. Tevens worden er toetsaanslagen opgeslagen. De malware, waarvan de eerste versie van augustus 2013 dateert en de laatste van april 2018, kan bovendien eerder bekeken bestanden van een usb-stick stelen zodra de stick opnieuw wordt aangesloten. Opmerkelijk is dat de malware bij slechts één slachtoffer is aangetroffen, een diplomatieke entiteit in Centraal-Azië. De onderzoekers vermoeden dan ook dat er meer nog onontdekte slachtoffers zijn. Hoe de malware precies wordt verspreid is nog onbekend, zo meldt Threatpost. bron: security.nl

Tijdens de patchdinsdag van april heeft Microsoft 74 beveiligingslekken in de eigen software gepatcht, waaronder twee kwetsbaarheden in de Windows-kernel die werden aangevallen voordat er een beveiligingsupdate beschikbaar was. Via de beveiligingslekken kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en volledige controle over het systeem krijgen. Een aanvaller die malware op een systeem kan uitvoeren zou de kwetsbaarheden kunnen gebruiken om code met hogere rechten uit te voeren. De aangevallen beveiligingslekken werden ontdekt door het Alibaba Cloud Intelligence Security Team en Kaspersky Lab. Aangezien het via de kwetsbaarheden niet mogelijk is om een systeem direct te compromitteren hebben ze het stempel "Belangrijk" gekregen. Van de 74 kwetsbaarheden zijn er 13 door Microsoft als ernstig beoordeeld. Via dergelijke lekken kan een aanvaller het systeem wel direct overnemen. Het gaat onder andere om een kwetsbaarheid in de Windows Graphics Device Interface (GDI). Door Windows een kwaadaardig EMF-bestand te laten verwerken kan een aanvaller willekeurige code uitvoeren. Onder andere Windows zelf en Microsoft Office maken gebruik van het GDI-onderdeel. Tevens zijn meerdere ernstige lekken in Microsoft Edge verholpen waardoor een aanvaller het systeem had kunnen overnemen. Overige beveiligingsupdates zijn verschenen voor Internet Explorer, Microsoft Office, ChakraCore, ASP.NET Microsoft Exchange Server, Team Foundation Server, Azure DevOps Server, Open Enclave SDK en Windows Admin Center. Op de meeste systemen zullen de patches automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft aan twee testversies van Firefox de optie toegevoegd waarmee gebruikers cryptominers en fingerprinters kunnen blokkeren. Fingerprinters zijn scripts die op veel pagina's actief zijn en informatie over de systeemconfiguratie van bezoekers verzamelen. Aan de hand hiervan wordt een digitale vingerafdruk gemaakt waarmee gebruikers vervolgens over het web te volgen zijn. "Ook als je je cookies verwijdert", aldus Mozilla. De browserontwikkelaar merkt op dat fingerprinters in strijd met het antitrackingbeleid van Firefox zijn. Cryptominers gebruiken de rekenkracht van de systemen van bezoekers om cryptovaluta te delven. "Deze scripts vertragen je computer, belasten de accu en zorgen voor een hogere energierekening", zegt Mozillas Arthur Edelstein. In Firefox Nightly 68 en Firefox Beta 67, twee testversies van de browser, kunnen gebruikers er nu voor kiezen om cryptominers en fingerprinters te blokkeren. Firefox maakt hiervoor gebruik van een lijst met domeinen waarvan bekend is dat ze dergelijke scripts aanbieden. De lijst is mede opgesteld in samenwerking met Disconnect, dat een gelijknamige antitrackingplug-in biedt. Gebruikers moeten de optie wel zelf inschakelen. bron: security.nl

Onderzoekers van securitybedrijf Chronicle Security, onderdeel van Alphabet, hebben een nieuwe versie van de berucht Flame-malware ontdekt, zo hebben ze in een blogposting laten weten. Flame is modulaire malware die in 2012 werd ontdekt en was gebruikt voor cyberspionage in het Midden-Oosten. Het werd "de meeste complexe malware ooit gevonden" genoemd. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld. Flame viel onder andere op omdat het Windows Update gebruikte om systemen in een netwerk te infecteren. Eenmaal actief op het netwerk van het slachtoffer nam Flame een man-in-the-middle positie in. Zodra de nog niet besmette computers met Windows Update verbinding probeerden te maken, maakten ze verbinding met de al met Flame besmette machine. Die stuurde vervolgens malafide Windows-updates naar de computers. Het ging hier in werkelijkheid om malware die van een legitiem Microsoft-certificaat was voorzien. Daardoor dacht Windows dat het om legitieme updates van Microsoft zelf ging en installeerde de malware via Windows Update. Rond 2012 ontdekten onderzoekers tal van malware-exemplaren, zoals Stuxnet, Gauss, Duqu en Regin waarmee landen andere landen bespioneerden. De tooling die de onderzoekers destijds gebruikten was zeer beperkt. Tegenwoordig maken antivirusbedrijven gebruik van Yara-rules, de "retrohunt" optie van VirusTotal en andere tooling waardoor verbanden tussen exemplaren en andere malware veel sneller duidelijk worden. Onderzoekers van Chronicle Security besloten daarom aan de hand van gelekte slides van de Canadese geheime dienst te kijken wat onderzoekers destijds over het hoofd hebben gezien. Op deze slides werd onder andere de term "GOSSIPGIRL" gebruikt. Volgens de onderzoekers van Chronicle Security gaat het hier om een "Supra Threat Actor", een samenwerkingsverband tussen verschillende spionagegroepen die voor meerdere zeer geavanceerde spionagemalware verantwoordelijk zijn. De gelekte slides van de Canadese geheime dienst en moderne tooling wezen de onderzoekers naar een verband tussen GOSSIPGIRL en de Flame-malware, alsmede Stuxnet en Duqu. De grootste ontdekking had betrekking op Duqu. In mei 2012 verstuurden de makers van Flame een "SUICIDE" module naar besmette systemen om zo alle actieve infecties op te schonen en de resterende command & control-infrastructuur te vernietigen. Daardoor werd gedacht dat dit het einde van Flame was, maar volgens Chronicle Security heeft Flame zijn eigen einde in scene gezet en gingen de ontwikkelaars met een nieuwe versie aan de slag. Zo maakt Flame 2.0 gebruik van AES-256 om de eigen secondaire scripts en payloads te versleutelen (pdf). Die worden na de initiële infectie op het systeem geplaatst. Onderzoekers zijn er nog niet in geslaagd deze encryptie te kraken, waardoor de inhoud van de scripts en payloads onbekend is. Wel denken de onderzoekers dat Flame 2.0 van 2014 tot 2016 is ingezet. Hoe de nieuwe Flame-versie werd verspreid is onbekend. De analyse laat zien dat de makers maatregelen hadden genomen om analyse door onderzoekers te bemoeilijken. Met de publicatie van de voorlopige onderzoeksresultaten hoopt Chronicle Security dat meer onderzoekers aan het onderzoek mee zullen doen. bron: security.nl

De Europese databeschermingsautoriteit (EDPS) is een onderzoek gestart naar het gebruik van Microsoft-software door EU-instellingen en of dit aan de databeschermingswetgeving voldoet. De EDPS wijst daarbij naar een eerder onderzoek dat de Haagse Privacy Company in opdracht van het ministerie van Justitie en Veiligheid uitvoerde. Het onderzoek richtte zich op gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan. Uit het onderzoek bleek dat diagnostische gegevens van en over de gebruiker worden verzameld en opgeslagen in een database in de Verenigde Staten, op een manier die hoge risico's meebrengt voor de privacy van de gebruiker. "De EU-instellingen rekenen op Microsoft-diensten en -producten om hun dagelijkse activiteiten uit te voeren. Het gaat dan ook om het verwerken van grote hoeveelheden persoonlijke data", aldus de EDPS. Gezien de aard, omvang, context en doel van deze verwerking is het volgens de toezichthouder belangrijk dat er waarborgen en maatregelen zijn getroffen om aan de databeschermingsregels te voldoen. De EDPS onderzoekt daarom of Microsoft-producten en -diensten die door EU-instellingen worden gebruikt, en of de contractovereenkomsten tussen Microsoft en EU-instellingen, volledig conform de databeschermingsregels zijn. De nieuwe databeschermingsregels voor EU-instellingen werden op 11 december vorig jaar van kracht en introduceren nieuwe regels voor outsourcing. Zo stellen de regels dat opdrachtnemers nu direct verantwoordelijk zijn om compliant te zijn. Als er echter van derde partijen gebruik wordt gemaakt voor het leveren van diensten, blijven de EU-instellingen aansprakelijk voor de dataverwerking die in hun naam plaatsvindt. De instellingen zijn echter ook verplicht dat gesloten contracten met deze opdrachtaannemers aan de nieuwe databeschermingsregels voldoen en risico's vermijden. "Met dit in het achterhoofd onderzoekt de EDPS nu de contractuele overeenkomsten tussen de EU-instellingen en Microsoft", zegt vice-EDPS Wojciech Wiewiorowski. bron: security.nl

Mozilla lanceert deze zomer een verzameling van aanbevolen Firefox-extensies waarvan de veiligheid door de browserontwikkelaar is gecontroleerd. Op deze manier wil Mozilla gebruikers tegen malafide extensies beschermen. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. Het "Recommended Extensions" programma moet gebruikers de zekerheid geven dat ze een veilige, goedwerkende extensie installeren. Ook moet het om een extensie gaan die een groot publiek aanspreekt. De code van Firefox-extensies wordt al gecontroleerd voordat Mozilla ze op addons.mozilla.org toestaat. Extensies die straks het label "Recommended" krijgen, wat via een speciale badge zichtbaar zal zijn, worden eerst door het Mozilla-personeel gecontroleerd. Ook nieuwe versies van de extensie ondergaan eerst een "security review" voordat ze gepubliceerd mogen worden. Op deze manier moeten gebruikers de zekerheid krijgen dat de extensie gedurende de gehele levensduur te vertrouwen is. Naast de vier selectiecriteria: werking, gebruikerservaring, publiek en veiligheid, stelt Mozilla ook eisen aan de ontwikkelaars. Die moeten de extensie actief onderhouden en bereid zijn om verbeteringen door te voeren. De aanbevolen extensies zullen later deze zomer beschikbaar zijn en onder andere worden aangeraden in de "Get Add-ons" pagina van de Firefox Add-ons Manager en op addons.mozilla.org. bron: security.nl

In februari waren gebruikers van Internet Explorer en Edge elke dag het doelwit van gemiddeld 300.000 phishingaanvallen en dat aantal zal met het aangebroken belastingseizoen alleen maar toenemen, zo stelt Microsoft. De phishingaanvallen zijn niet alleen gericht tegen Amerikaanse gebruikers, ook in Brazilië, Canada en India zijn soortgelijke aanvallen waargenomen. De aanvallers proberen gegevens van gebruikers te stelen waarmee onder andere belastingfraude kan worden gepleegd. Aanleiding voor Microsoft om verschillende beveiligingstips te geven. Gebruikers wordt aangeraden om alert te zijn op verdachte e-mails, linkjes te controleren en niet zomaar meegestuurde bijlagen te openen. Verder adviseert Microsoft om niet alleen op wachtwoorden te vertrouwen, maar multifactorauthenticatie toe te passen en software up-to-date te houden. "We verwachten dat belastingscams de komende maanden zullen toenemen nu wereldwijd de deadlines voor belastingaangifte naderen", zegt Microsofts Holly Stewart. Zo zag de softwaregigant de afgelopen weken al meerdere kwaadaardige documenten voorbij komen die van de Amerikaanse belastingdienst IRS afkomstig leken en gebruikers vroegen om macro's in te schakelen. Zodra gebruikers de macro's inschakelen wordt het systeem met malware besmet. bron: security.nl

Wereldwijd zijn 2 miljoen webservers kwetsbaar door een nieuw Apache-lek dat een lokale gebruiker de mogelijkheid biedt om root te worden. Het probleem speelt met name bij shared webhostingomgevingen waar meerdere websites op dezelfde Apache-webserver draaien. Ook als Apache-servers niet door meerdere gebruikers worden gedeeld kan de kwetsbaarheid in combinatie met andere beveiligingslekken door een aanvaller worden gebruikt om code met rootrechten uit te voeren. Op 1 april verscheen er een beveiligingsupdate van de Apache Foundation om de kwetsbaarheid te verhelpen. Securitybedrijf Rapid7 besloot een online scan uit te voeren en ontdekte zo'n 2 miljoen verschillende Apache-webservers die kwetsbaar zijn. Ongeveer de helft hiervan werd bij grote cloudhostingproviders aangetroffen, waaronder Amazon, Digital Ocean en OVH. Het grootste deel van de getroffen systemen, zo'n 770.000 servers, staat in de Verenigde Staten, gevolgd door Duitsland (224.000) en Frankrijk (111.000). Ook in Nederland vond Rapid7 tienduizenden kwetsbare systemen. "Hoewel dit geen kwetsbaarheid is om op afstand code uit te voeren, is het een springplank voor aanvallers om acties uit te voeren die de meeste hostingproviders juist proberen te voorkomen. Organisaties moeten de Apache-update zo snel als mogelijk toepassen", aldus Bob Rudis van Rapid7. Organisaties die van een shared webhostingomgeving gebruikmaken krijgen het advies om hun hostingprovider te vragen om de patch zo snel als mogelijk uit te rollen of naar een andere provider of platform over te stappen. bron: security.nl

Microsoft heeft vorig jaar 2 miljoen dollar uitgekeerd aan beveiligingsonderzoekers voor het inzenden van bugmeldingen. Sinds enige jaren hanteert de softwaregigant verschillende beloningsprogramma's die onderzoekers belonen voor het melden van beveiligingsproblemen. Begin dit jaar besloot Microsoft de beloningen van verschillende programma's te verhogen. Konden onderzoekers via deze "bug bounty" programma's eerst nog maximaal 15.000 dollar verdienen, nu is dat bedrag naar 50.000 dollar verhoogd. Tevens heeft Microsoft nieuw beleid doorgevoerd voor kwetsbaarheden die intern al bekend waren. Onderzoekers die beveiligingslekken in de software en diensten van Microsoft vinden die al bij het bedrijf bekend zijn ontvingen altijd 10 procent van de beloning. Volgens Microsoft is het een "waardevol inzicht" om te kunnen zien welke problemen externe onderzoekers kunnen vinden. Om dergelijke bugmeldingen beter te belonen is nu besloten dat onderzoekers die als eerste een kwetsbaarheid melden waar Microsoft al van weet, de volledige beloning ontvangen. In februari maakte Google bekend dat het vorig jaar 3,4 miljoen dollar aan beloningen heeft uitgekeerd voor het melden van bugs in Android, Chrome en andere producten. Van de 3,4 miljoen dollar die vorig jaar werd uitgekeerd ging 1,7 miljoen dollar naar onderzoekers die beveiligingslekken in Android en Chrome rapporteerden. bron: security.nl

Onderzoekers hebben op een cloudserver van Amazon miljoenen privégegevens van Facebookgebruikers ontdekt die voor iedereen op internet toegankelijk waren. De gegevens waren via twee derde partijen verzameld en in een Amazon S3-bucket opgeslagen. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De buckets van het Mexicaanse Cultura Colectiva, een contentplatform, en de Facebook-app "At the Pool" waren voor iedereen op internet toegankelijk. Alleen het kennen van de url was voldoende. In het geval van Cultura Colectiva ging het om een dataset van 146 gigabyte met 540 miljoen records, waaronder reacties, likes, gebruikersnamen, Facebook-ID's en meer. De back-up van At the Pool bevatte informatie over 22.000 gebruikers, waaronder hun plaintext wachtwoorden voor de app, namen, e-mailadressen, Facebook-ID en andere gegevens. At the Pool stopte in 2014 en het achterliggende bedrijf bestaat niet meer. De back-up met gebruikersgegevens bleek echter nog rond te zwerven. "De datasets verschillen in wanneer ze voor het laatst zijn bijgewerkt, de datapunten die ze bevatten en het aantal unieke individuen. Wat ze verbindt is dat ze beide data over Facebookgebruikers bevatten, hun interesses, relaties en interacties beschrijven, die voor third party-ontwikkelaars toegankelijk waren", aldus securitybedrijf UpGuard dat de datasets ontdekte. Datalek Cultura Collectiva werd op 10 januari via e-mail ingelicht door UpGuard, gevolgd door een tweede e-mail op 14 januari. UpGuard heeft nog altijd geen enkele reactie van het contentplatform ontvangen. Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht. Drie weken later op 21 februari was de data nog steeds niet beveiligd en stapte UpGuard opnieuw naar Amazon, dat liet weten naar de zaak te zullen kijken. Pas nadat Facebook was ingelicht werd de dataset op 3 april beveiligd. De dataset van At the Pool was al tijdens het onderzoek offline gehaald. bron: security.nl

Google-onderzoeker Ian Beer heeft een exploit gepubliceerd voor een beveiligingslek in iOS 12.0 en macOS 10.14.2, alsmede details over de kwetsbaarheid. Het beveiligingslek werd op 22 januari dit jaar door Apple gepatcht via iOS 12.1.3 en macOS Mojave 10.14.3 en updates voor Sierra en High Sierra. De kwetsbaarheid bevindt zich in de XNU-kernel van iOS en macOS en maakt het mogelijk voor een kwaadaardige applicatie om het geheugen dat tussen processen wordt gedeeld aan te passen. Dit kan weer leiden tot een kernel heap overflow waarmee het mogelijk is een "jump-oriented payload" uit te voeren en zo hogere rechten te krijgen. Daarbij slaagde Beer erin om een door Apple geïmplementeerde beveiligingsmaatregel te omzeilen. Het gaat om een hardwarematige beveiligingsmaatregel genaamd Pointer Authentication Codes (PAC) die onverwachte aanpassingen van pointers in het geheugen moet voorkomen. De Google-onderzoeker merkt op dat deze maatregel weinig bescherming biedt tegen een aanvaller die lokaal code kan uitvoeren, zoals met een kwaadaardige app mogelijk zou zijn. De exploit die Beer ontwikkelde is speciaal gemaakt voor een iPhone XS met iOS 12.0. bron: security.nl

De Canadese politie heeft vorige week een inval gedaan bij de ontwikkelaar van de Orcus "remote administration tool" (RAT), hoewel meerdere beveiligingsonderzoekers het als een remote access trojan beschouwen. Bij de inval zijn verschillende harde schijven met informatie over gebruikers in beslag genomen, waaronder gebruikersnamen, echte namen, transactiegegevens en andere data. Dat heeft de ontwikkelaar via een bericht op Pastebin bekendgemaakt en is door it-journalist Brian Krebs bevestigd, die een kopie van het huiszoekingsbevel ontving. Vorige week meldde de Canadese toezichthouder CRTC dat er, als onderdeel van een internationaal onderzoek naar remote access trojans, een huiszoeking in Toronto had plaatsgevonden. Verdere details over de zaak werden in het persbericht niet gegeven. Orcus werd aangeboden als een remote administration tool om systemen op afstand te kunnen beheren. Het biedt echter allerlei features die eerder bij malware worden aangetroffen en niet voor een beheertool nodig zijn. Zo kan Orcus het lampje van de webcam uitschakelen, zodat slachtoffers niet zien dat ze worden bekeken. Verder kan de tool een blue screen of death (BSOD) veroorzaken als wordt geprobeerd het proces uit te schakelen en is het in staat om cookies en wachtwoorden te stelen. Tevens zijn er plug-ins waarmee het mogelijk is om systemen waarop Orcus is geïnstalleerd te gebruiken voor ddos-aanvallen. In het verleden is de tool onder andere gebruikt bij aanvallen tegen bitcoinbezitters. Orcus werd via een publieke website voor enkele tientjes verkocht door een partij die zich "Orcus Technologies" noemde. Begin dit jaar besloot de ontwikkelaar de stekker uit het project te trekken en maakte een licentievrije versie van het programma beschikbaar, alsmede softwareontwikkelingstools en documentatie, zo laat securitybedrijf Morphisec weten. In de aankondiging over de inval meldt de ontwikkelaar dat de licentiedatabase niet in handen van de autoriteiten is gekomen. Wel waarschuwt hij gebruikers dat het programma niet langer als veilig beschouwd moet worden en het gebruik per direct moet worden gestopt. bron: security.nl

Beveiligingsonderzoeker Bob Diachenko heeft een database gevonden die door spammers werd gebruikt voor het versturen van spam, maar door een fout voor iedereen op internet toegankelijk was. Het ging om een 5GB grote Elasticsearch-database met meer dan 11 miljoen records, waaronder gecompromitteerde e-mailaccounts en wachtwoorden die in plaintext waren opgeslagen. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. Volgens Diachenko hadden de spammers het voorzien op Britse internetgebruikers. Ze maakten gebruik van gelekte wachtwoorden om de e-mailaccounts van slachtoffers te benaderen en daarvandaan de spamberichten te versturen. De spammers keken echter naar eerdere berichten die via het gehackte e-mailaccount waren verstuurd om gepersonaliseerde spamberichten op te stellen. Deze e-mails hadden onder andere het onderwerp van de eerder verzonden e-mails, waardoor het leek alsof ze van een echt persoon afkomstig waren. De spamberichten wezen naar nagemaakte BBC- en CNN-sites waarop zogenaamde gezondheidsmiddelen en bitcoinscams werden geadverteerd, zo meldt TechCrunch. De database is inmiddels door de hostingprovider uit de lucht gehaald. Diachenko deelde de e-mailadressen met onderzoeker Troy Hunt, eigenaar van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 3 miljoen e-mailadressen in de database was 45 procent al via een ander datalek bij Have I Been Pwned bekend. bron: security.nl

Elke maand vragen websites miljoenen keren aan Firefoxgebruikers toestemming om push notificaties te versturen, maar minder dan 3 procent van deze verzoeken wordt geaccepteerd. Aanleiding voor Mozilla om maatregelen te testen die gebruikers tegen deze "permissiespam" moeten beschermen. Via push notificaties kan een website berichten naar gebruikers sturen, ook als ze de site hebben verlaten. Websites moeten dan ook toestemming hebben voordat ze hier gebruik van kunnen maken. Gebruikers van een testversie van Firefox kregen van 25 december vorig jaar tot 24 januari 18 miljoen van deze verzoeken te verwerken. Minder dan 3 procent werd echter geaccepteerd. Wanneer een website toegang tot de microfoon of camera vraagt wordt dit door zo'n 85 procent van de gebruikers toegestaan. Experiment Mozilla voegde vorig jaar een instelling aan Firefox toe waarmee gebruikers geen meldingen meer zien van websites die push notificaties willen versturen. Een groot deel van de Firefoxgebruikers blijkt niet met deze instelling bekend te zijn. Via twee experimenten wil Mozilla daarom kijken of "permissiespam" op andere manieren kan worden gestopt. De eerste manier is het vereisen van een extra muisklik voordat het permissieverzoek wordt getoond, die daarna kan worden goedgekeurd of afgekeurd. Daarnaast gaat Mozilla informatie verzamelen om te zien wanneer gebruikers op permissieverzoeken reageren. Dit kan helpen bij het opstellen van een heuristische detectie. Bepaalde permissieverzoeken worden dan automatisch geblokkeerd, gebaseerd op het gedrag van gebruikers. "Webontwikkelaars moeten ervan uitgaan dat Firefox en andere browsers in de toekomst kunnen beslissen om de permissieverzoeken van websites op basis van automatisch bepaalde heuristiek te weigeren", zegt Johann Hofmann van Mozilla. Gebruikers zouden dan wel de gelegenheid krijgen om deze beslissing retroactief terug te draaien. bron: security.nl

Cloudflare heeft vandaag een eigen gratis mobiele vpn-dienst aangekondigd genaamd Warp, die volgens het internetbedrijf niet ten koste van de snelheid gaat. Warp is gebouwd rond een UDP-gebaseerd protocol dat voor mobiel internet is geoptimaliseerd. Hierdoor zou Warp de internetprestaties zelfs verbeteren. De vpn-dienst vormt daarnaast geen belasting op het batterijverbruik. Warp maakt gebruik van het WireGuard-protocol dat volgens Cloudflare veel efficiënter is dan oude legacy vpn-protocollen. Net als andere vpn-diensten biedt Warp een versleutelde verbinding naar de servers van Cloudflare. Ook respecteert de vpn-dienst end-to-end-encryptie en hoeven gebruikers geen rootcertificaat te installeren. Volgens Cloudflare zijn er veel schimmige vpn-providers die stellen dat ze de gegevens van hun gebruikers beschermen, maar in werkelijkheid voor gerichte advertenties doorverkopen. "Dat is niet het businessmodel van Cloudflare en zal het ook nooit worden", aldus het bedrijf. Cloudflare zegt dat het geen loggegevens opslaat die gebruikers kunnen identificeren. Verder worden browsegegevens niet verkocht of gebruikt voor gerichte advertenties. Tevens hoeven gebruikers geen persoonlijke informatie te verstrekken om van de vpn-dienst gebruik te kunnen maken. Cloudflare merkt op dat het "geregeld" externe auditors inhuurt om deze beloftes te laten controleren. Warp is nog niet beschikbaar, maar gebruikers kunnen zich alvast aanmelden via de 1.1.1.1-app die het internetbedrijf vorig jaar lanceerde. Deze gebruikers worden de komende weken uitgenodigd om de vpn-dienst te proberen. Eind juli zou Warp voor iedereen op de wachtlijst beschikbaar moeten zijn. De basisversie van Warp is gratis te gebruiken via de 1.1.1.1-app. Daarnaast is er een betaalde versie in ontwikkeling genaamd Warp+ die nog veel sneller zou moeten zijn. bron: security.nl

Antispamorganisatie Spamhaus heeft 47.000 computers ontdekt die met de Emotet-malware besmet zijn. Emotet bestaat al sinds 2014 en was oorspronkelijk malware voor het stelen van bankgegevens. Inmiddels is het een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren. Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken. Zodra de gebruiker het document opent en macro's inschakelt wordt Emotet geïnstalleerd. Wanneer de malware actief is probeert die ook andere machines in het lokale netwerk te infecteren. Vanwege de wormachtige manier waarop Emotet zich binnen netwerken kan verspreiden, kan het verwijderen van de malware hoge kosten met zich meebrengen. De afgelopen twee maanden hebben onderzoekers van Spamhaus zo'n 47.000 systemen in kaart gebracht die met Emotet besmet zijn geraakt. De infectie vond plaats via links die naar kwaadaardige documenten wezen. Deze documenten worden op gecompromitteerde websites gehost. De onderzoekers telden 6000 verschillende url's die als infectievector dienden. "Dit maakt Emotet de meest actief verspreidde malware van het moment", stelt Spamhaus. Vorige week waarschuwde antivirusbedrijf Trend Micro nog voor een nieuwe campagne waarbij er via Emotet ransomware op computers werd geïnstalleerd. bron: security.nl