Captain Kirk

Cybercriminelen proberen internetgebruikers op allerlei manieren op advertenties, pop-ups en links te laten klikken. Onderzoekers hebben echter een manier gevonden waarbij dit op een zeer geraffineerde wijze gebeurt. De scam begint met gecompromitteerde sites die bezoekers naar malafide sites doorsturen. Het gaat bijvoorbeeld om WordPress-sites die via kwetsbare plug-ins zijn gekaapt. Vervolgens wordt er kwaadaardige code aan de website toegevoegd die ervoor zorgt dat bezoekers automatisch naar een andere website worden doorgestuurd. Het kan dan gaan om websites met malvertising, advertentiefraude en helpdeskfraude. Het doorgestuurde verkeer kan fraudeurs duizenden dollars aan advertentie-inkomsten per maand opleveren, aldus antimalwarebedrijf Malwarebytes. Om ervoor te zorgen dat doorgestuurde gebruikers ook op de advertenties klikken maken de fraudeurs gebruik van een sluwe truc. Zodra gebruikers worden doorgestuurd naar een malafide website verschijnt er een pop-up. Wanneer de gebruiker deze pop-up via de X-knop wil sluiten zorgt CSS-code ervoor dat de pop-up wordt verplaatst en de gebruiker onbedoeld op de advertentie klikt. "De oplichters maken gebruik van CSS-code die de muiscursor monitort en reageert wanneer die over de X wordt bewogen. De timing is belangrijk om de click een paar milliseconden later op te vangen wanneer de advertentie in focus komt. Deze trucs worden geïmplementeerd om advertentie-inkomsten te maximaliseren, aangezien de inkomsten van advertentieclicks veel hoger is", aldus onderzoeker Jerome Segura. Volgens Segura laten dergelijke aanvallen zien dat webmasters kwetsbaarheden in hun website en gebruikte plug-ins snel moeten patchen. In het geval van ernstige kwetsbaarheden kunnen die na het bekend worden al binnen enkele uren worden aangevallen. De overgenomen websites zijn vervolgens op allerlei manieren door criminelen te verzilveren. bron: security.nl

De aanvallers achter de aanval met besmette ASUS-updates hebben het MAC-adres van hun doelwitten mogelijk via wifi-netwerken verzameld. Dat stelt het Finse anti-virusbedrijf F-Secure in een analyse. Veel details over de aanval zijn nog altijd onbekend en ook ASUS heeft nauwelijks informatie gegeven. Wel is nu duidelijk dat een zeer kleine groep slachtoffers het doelwit van de allereerste aanval was. Bij de aanval hadden aanvallers controle over de updateservers van ASUS en de certificaten die de Taiwanese computerfabrikant gebruikt voor het signeren van de eigen software. De aanvallers gebruikten de certificaten voor het signeren van besmette updates die via de officiële ASUS-updateservers en Live Update-tool werden verspreid onder gebruikers. De update bevatte een backdoor die geprogrammeerd was om aanvullende malware te downloaden. Deze malware werd alleen gedownload op computers met een specifiek MAC-adres, het adres dat fabrikanten aan netwerkadapters toekennen. Wanneer de systemen van ASUS werden overgenomen is nog onduidelijk. Wel stellen onderzoekers dat de besmette updates vanaf juni tot en met november vorig jaar via de Live Update-tool zijn verspreid. Bij de eerste aanval in juni hadden de aanvallers het op slechts achttien apparaten voorzien, aldus F-Secure. In totaal werden meer dan tweehonderd besmette updates onder ASUS-gebruikers uitgerold en bij elke update nam het aantal apparaten toe waar de aanvallers het op hadden voorzien. Zo was de lijst van MAC-adressen die met aanvullende malware werd geïnfecteerd eind juli al de tweehonderd gepasseerd. Dit groeide naar bijna 300 in augustus. In totaal werden er iets meer dan 600 verschillende MAC-adressen op de lijst geplaatst waar de backdoor gebruik van maakte. Dit geeft aan dat de aanvallers de MAC-adressen van hun slachtoffers kenden. Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen. Dat zou goed mogelijk zijn, want volgens ASUS hebben alleen laptops de besmette updates ontvangen. Daarnaast zou een "zeer kleine en specifieke gebruikersgroep" het uiteindelijke doelwit zijn geweest, aldus de fabrikant. Mogelijk zijn wereldwijd tussen de 500.000 en 1 miljoen apparaten via de kwaadaardige updates besmet geraakt. Daarvan hebben 600 MAC-adressen de aanvullende malware gedownload, maar wat deze malware precies is en doet is nog altijd onbekend. De lijst van aangevallen MAC-adressen is inmiddels openbaar. bron: security.nl

Eerder deze week werd bekend dat aanvallers vorig jaar bij de Taiwanese computerfabrikant ASUS hebben ingebroken om via de officiële ASUS-updatetool en ASUS-servers besmette updates onder tienduizenden, mogelijk zelfs honderdduizenden, klanten te verspreiden. De besmette updates installeerden een backdoor, die in een beperkt aantal gevallen aanvullende malware installeerde. Deze tweede fase van de aanval werd alleen bij zo'n 600 specifieke MAC-adressen uitgevoerd. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. De aanvallers maakten gebruik van een hardcoded lijst met MAC-adressen, wat inhoudt dat ze de MAC-adressen van hun doelwitten kenden. In totaal identificeerde antivirusbedrijf Kaspersky Lab iets meer dan 600 unieke MAC-adressen waar de aanvallers het op hadden voorzien. De virusbestrijder ontwikkelde een tool die ASUS-gebruikers op hun systeem kunnen draaien. De tool kijkt naar het MAC-adres van de gebruiker en vergelijkt dat met de lijst van 600 aangevallen MAC-adressen. De lijst zelf is niet openbaar gemaakt. Onderzoekers van securitybedrijf Skylight besloten de tool van Kaspersky Lab te reverse engineeren. Daaruit bleek dat de tool van gesalte hashes gebruikmaakte. Nadat de onderzoekers het exacte hashingalgoritme hadden ontdekt besloten ze via brute force de lijst met gehashte MAC-adressen te achterhalen. Hiervoor werd er uiteindelijk een beroep gedaan op de rekenkracht van Amazon. Het gebruikte Amazon-cloudsysteem beschikte over acht Nvidia V100 Tesla-videokaarten met 16GB geheugen. De onderzoekers besloten niet alle mogelijke MAC-adressen te proberen, maar gebruikten een verzameling met 1300 prefixes. De prefixes zijn gebaseerd op de fabrikanten wiens MAC-adressen het doelwit waren. Binnen een uur hadden de onderzoekers 583 van de 619 MAC-adressen achterhaald. Waarschijnlijk zijn de niet achterhaalde MAC-adressen van andere netwerkfabrikanten. De volledige lijst met MAC-adressen is via deze pagina te downloaden. ASUS Een dag na het nieuws over de aanval kwam ASUS met een reactie. De computerfabrikant liet weten dat het een update voor de ASUS Live Update-tool had uitgebracht die verschillende beveiligingsverbeteringen bevatte. Verdere details werden niet gegeven. Daardoor is het totale aantal systemen dat de besmette updates ontving nog altijd onbekend. Ook is onduidelijk hoe de aanvallers bij ASUS binnen wisten te dringen en hoe lang ze controle over de systemen van de computerfabrikant hadden. bron: security.nl

Een ontwikkelaar van Google heeft een ongepatcht beveiligingslek in de SR20 "smart home" router van fabrikant TP-Link onthuld omdat de fabrikant niet binnen 90 dagen met een patch kwam. Matthew Garrett is security-developer bij Google, maar heeft details over de kwetsbaarheid op eigen titel gepubliceerd. De SR20 is een Zigbee/Z-Wave hub en router, met een touchscreen voor configuratie en bediening. De router moet de rol van Internet of Things-hub vervullen, waarbij het allerlei smart home-oplossingen verbindt. Garrett gebruikte Ghidra, de gratis reverse engineering tool van de NSA, om het TP-Link device debugprotocol te analyseren. Dit debugprotocol draait op de meeste TP-Link-apparaten. Versie 2 van het protocol werkt alleen met het beheerderswachtwoord van de router. Versie 1 van het protocol vereist echter geen authenticatie. In het geval van de SR20 blijken bepaalde commando's van versie 1 nog steeds toegankelijk te zijn. Een aanvaller op het lokale netwerk kan hier gebruik van maken om op de router code met rootrechten uit te voeren. Garrett waarschuwde TP-Link in december via een speciaal webformulier. Na de bugmelding te hebben verzonden verscheen er een melding dat er binnen drie werkdagen contact op zou worden genomen. Enkele weken later had de Google-ontwikkelaar nog steeds geen reactie gekregen, waarop hij een tweet naar TP-Link verstuurde, maar ook deze vraag bleef onbeantwoord. Daarop heeft Garrett nu de details van de kwetsbaarheid openbaar gemaakt. De ontwikkelaar adviseert TP-Link om het "security feedback" formulier te lezen en geen debugprotocollen in productiefirmware te draaien. bron: security.nl

VMware heeft meerdere kwetsbaarheden verholpen waardoor een gebruiker in een virtueel gastsysteem het hostsysteem kon overnemen. Twee van de beveiligingslekken waren aanwezig in de virtuale usb-controller en werden vorige week tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers Amat Cama en Richard Zhu demonstreerden een aanval tegen VMware Workstation waarbij ze vanuit een gastsysteem code op het hostsysteem konden uitvoeren. De kwetsbaarheden waren niet alleen aanwezig in VMware Workstation Pro en Player, maar ook in VMware vSphere ESXi en VMware Fusion Pro en Fusion. De beveiligingsupdate die VMware uitbracht verhelpt niet alleen de kwetsbaarheden van Cama en Zhu, maar ook van andere onderzoekers waardoor het mogelijk was om vanuit het gastsysteem code op het hostsysteem uit te voeren. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren. Naast een aanval op de virtualisatiesoftware van VMware werd er tijdens Pwn2Own ook een soortgelijke aanval tegen Oracle VirtualBox gedemonstreerd. Ook hierbij wisten Cama en Zhu het onderliggende systeem over te nemen. Voor deze aanval is nog geen beveiligingsupdate verschenen. Oracle hanteert een patchcyclus waarbij updates elk kwartaal verschijnen. De volgende patchronde staat gepland voor 16 april 2019. bron: security.nl

IoT-zoekmachine Shodan heeft een nieuwe dienst gelanceerd waarbij organisaties de apparaten en systemen die ze aan het internet hebben blootgesteld kunnen monitoren en worden gewaarschuwd als er iets onverwachts opduikt. Shodan-oprichter John Matherly vergelijkt het met het instellen van een Google Alert voor een bepaald woord of woorden, alleen dan voor apparaten op het internet. Via Shodan Monitor kunnen bedrijven zowel hun ip-adressen en ip-reeksen laten monitoren, als opgegeven apparaten en andere systemen. Zodra de monitoringsdienst iets onverwachts vindt krijgt de organisatie meteen een waarschuwing. De afgelopen jaren hebben onderzoekers via Shodan tal van databases, installaties en systemen gevonden die onbedoeld voor heel het internet toegankelijk waren. De "network alerts" van Shodan Monitor moeten dit voorkomen. De monitoringsdienst is gratis te gebruiken voor betalende gebruikers van de zoekmachine. bron: security.nl

Beveiligingsupdates die Cisco eind januari voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers uitbracht zijn onvolledig, waardoor duizenden routers nog steeds kwetsbaar voor aanvallen zijn, zo heeft de netwerkgigant bevestigd. Nieuwe updates zijn nog niet beschikbaar. De updates van Cisco moesten verschillende beveiligingslekken verhelpen. Via één van de kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando's met rootrechten uit te voeren. Een aantal dagen na het uitkomen van de updates zochten aanvallers actief naar kwetsbare routers. De beveiligingsupdates zijn echter "onvolledig", aldus Cisco. De oorspronkelijke kwetsbaarheden werden gevonden door onderzoekers van RedTeam Pentesting. Nadat Cisco de oorspronkelijke beveiligingsupdates had uitgebracht ontdekten de onderzoekers dat het probleem onvoldoende door het bedrijf was verholpen. De oplossing die Cisco had toegepast was het blacklisten van de "curl" user agent in de firmware. Curl is een commandlinetool die door online scanners wordt gebruikt. Mogelijk dacht Cisco op deze manier dat kwetsbare routers niet gevonden zouden worden. RedTeam Pentesting waarschuwde Cisco op 8 februari dat de patches onvolledig waren, gevolgd door een volledig beschrijving van het probleem op 15 februari. De onderzoekers lieten weten dat ze de nieuwe informatie over de lekken op 27 maart openbaar zouden maken. Op 25 maart werd Cisco gevraagd wanneer de nieuwe beveiligingsupdates zouden verschijnen. De netwerkgigant vroeg de onderzoekers echter om het openbaar maken van de kwetsbaarheden uit te stellen. Dit weigerden de onderzoekers, waarop gisteren de informatie online verscheen. Cisco heeft de oorspronkelijke beveiligingsbulletins nu bijgewerkt en bevestigt dat de eerste updates onvolledig waren. Wanneer er nieuwe updates zullen verschijnen wordt niet vermeld. Onderzoeker Troy Mursch van Bad Packets Report laat via Twitter weten dat nog bijna 9.000 Cisco RV-routers op internet hun configuratiebestand lekken, waaronder de wachtwoordhashes. bron: security.nl

Het Tor Project heeft een nieuwe website gelanceerd gericht op nieuwe gebruikers. De organisatie is verantwoordelijk voor het Tor-netwerk en Tor Browser, de software die dagelijks door miljoenen mensen wordt gebruikt om hun privacy en identiteit te beschermen. Twee jaar geleden kwam het Tor Project met een eigen stijlgids om alle onderdelen van het Tor-ecosysteem dezelfde visuele uitstraling te geven. Dit moet helpen bij het versterken van het gebruikersvertrouwen en de identiteit van de community. De meeste mensen leren via TorProject.org over Tor en kiezen er dan voor om de browser te downloaden. De oude website slaagde hier echter slecht in. "We hadden teveel informatie om te verwerken en niets was vertaald", aldus Isabela Bagueros, directeur van het Tor Project. Daarop werd besloten een nieuwe website te ontwerpen, waarbij de focus op nieuwe gebruikers lag. Tevens werd besloten om de site mobielvriendelijk te maken. Ook wordt de website nu in zeven verschillende talen aangeboden. Tor Browser zelf is in 24 talen beschikbaar. "Onze nieuwe website is een onderdeel van ons doel om ervoor te zorgen dat iedereen op de planeet Tor kan gebruiken", laat Bagueros weten. Binnenkort zal het Tor Project een communityportal lanceren met informatie over hoe mensen de boodschap over Tor kunnen verspreiden. "We zijn een groep mensen verenigd in het geloof dat iedereen privétoegang tot het open web hoort te hebben en we hopen dat onze nieuwe site het eenvoudiger maakt om dit te bereiken", besluit de Tor Project-directeur. bron: security.nl

Microsoft heeft via een gerechtelijk bevel de controle over 99 domeinen van een groep aanvallers gekregen en het verkeer hiervan naar de eigen servers laten wijzen. Het gaat om een groep die wordt aangeduid als Phosphorus, APT 35 en Charming Kitten. Dat heeft de softwaregigant vandaag bekendgemaakt. De groep, die volgens Microsoft aan Iraanse hackers wordt gelinkt, houdt zich bezig met het stelen van gevoelige gegevens van overheden en bedrijven. Ook zijn activisten en journalisten het doelwit, en dan met name die over zaken in het Midden-Oosten berichten. Om toegang tot de systemen van slachtoffers te krijgen maakt de groep gebruik van kwaadaardige links die via social media worden verstuurd en naar malware wijzen. Daarnaast verstuurt de groep phishingmails die van bekende bedrijven afkomstig lijken, zoals Microsoft, en stellen dat er een beveiligingsprobleem met het e-mailaccount is. Vervolgens wordt gebruikers gevraagd om hun wachtwoord in een webformulier in te vullen. De ingevulde inloggegevens worden dan naar de aanvallers gestuurd. De groep registreert voor deze phishingaanvallen domeinen die op domeinen van de geïmiteerde techbedrijven lijken. Om de operaties van de groep te verstoren stapte Microsoft naar de rechter, die de softwaregigant via een gerechtelijk bevel de controle over 99 domeinen gaf. Vervolgens liet Microsoft het verkeer van de domeinen naar de eigen servers wijzen. De informatie die dit oplevert zal binnen de beveiligingsproducten en -diensten van Microsoft worden gebruikt. bron: security.nl

Europol, banken, securitybedrijven en telecomproviders hebben de afgelopen dagen informatie gedeeld over de impact van phishing en hoe deze vorm van criminaliteit samen met opsporingsdiensten kan worden aangepakt. Experts uit de verschillende bedrijfstakken kwamen gisteren en vandaag bij elkaar om inzichten uit te wisselen. Phishing is nog altijd de motor van veel verschillende vormen van cybercrime, aldus Steven Wilson, hoofd van het Europese Cybercrime Centre dat onderdeel van Europol is. De bijeenkomst leidde tot verschillende conclusies en aanbevelingen. Zo moet de informatie-uitwisseling tussen bedrijven, opsporingsdiensten en de publieke sector worden verbeterd. Tevens moeten basale maatregelen worden getroffen, zoals het blacklisten van domeinen, veilige authenticatie en het blokkeren van veelgebruikte exploits. De experts pleitten ook voor het gebruik van machine learning om phishingmails te detecteren. Naast technische maatregelen is het ook belangrijk dat gebruikers op een permanente basis worden getraind en onderwezen, in plaats van een eenmalige actie, zo concludeerden de experts. Vandaag maakte Betaalvereniging Nederland nog bekend dat phishing het afgelopen jaar voor een miljoenenschade bij internetbankieren heeft gezorgd en ook in België wisten criminelen via phishing miljoenen euro's te stelen. Aan de hand van deze conclusies zullen er later dit jaar adviezen en aanbevelingen worden gepubliceerd, waarbij het probleem van phishing en mogelijke oplossingen vanuit een opsporingsperspectief worden besproken. "Phishing is de motor en facilitator van vele cybermisdrijven, en kan grote schade aan Europese burgers en hun organisaties aanrichten. Alleen door met verschillende industrieën en experts samen te werken kunnen we deze dreiging tegengaan en de EU veilig houden", zegt Wilson. bron: security.nl

Facebook en de Belgische Gegevensbeschermingsautoriteit staan vandaag en morgen in een Brusselse rechtbank tegen over elkaar. Aanleiding is de beslissing van een Belgische rechter vorig jaar dat de sociale netwerksite moet stoppen met het volgen van mensen die vanuit België internetten. De zaak tegen Facebook was door de Gegevensbeschermingsautoriteit aangespannen. Het draaide om de technieken die Facebook gebruikt om mensen zowel met als zonder profiel op websites te volgen. De rechtbank van Brussel oordeelde dat Facebook de Belgische privacywet overtreedt. Zo worden internetgebruikers niet geïnformeerd over het feit dat Facebook informatie over hen verzamelt, om wat voor informatie het gaat, wat er met die informatie wordt gedaan en hoe lang die informatie wordt bewaard. "Aangezien Facebooks social plug-ins en pixels op miljoenen websites aanwezig zijn, kan Facebook een groot onderdeel van eenieders surfgedrag in kaart brengen. Daarbij kan het ook gaan over websites van heel gevoelige aard, zoals over gezondheidsproblemen, seksuele geaardheid en politieke voorkeuren. Vervolgens gebruikt Facebook die informatie om je surfgedrag te profileren en gebruikt zij die profilering om je gerichte reclame te tonen, zoals reclame over producten en diensten van commerciële bedrijven, boodschappen van politieke partijen, enz.", aldus de Gegevensbeschermingsautoriteit. Facebook tekende beroep aan tegen het vonnis. Tevens voerde Facebook in aanloop naar de Algemene verordening gegevensbescherming (AVG) verschillende aanpassingen door. Volgens de de privacytoezichthouder respecteert Facebook nog steeds de Belgische en Europese privacywetgeving niet en schendt het de fundamentele rechten van miljoenen Belgen. De Gegevensbeschermingsautoriteit merkt op dat de verplichtingen die vroeger in de Belgische Privacywet stonden door de AVG nog strenger zijn geworden. De Autoriteit zal het Hof van Beroep te Brussel dan ook vragen om het gerechtelijke vonnis van vorig jaar te bevestigen, ook naar de toekomst toe. Facebook laat in een reactie tegenover Bloomberg weten dat het gebruikers via de in ontwikkeling zijnde Clear History-tool meer informatie en controle zal geven over de informatie die Facebook via ander websites over hen verzamelt. Via de tool moet het mogelijk worden om informatie van websites los te koppelen van het account. "We hebben ook verschillende veranderingen doorgevoerd om mensen te laten begrijpen hoe onze tools werken en de keuzes uit te leggen die ze hebben, onder andere via onze privacy-updates", aldus de sociale netwerksite. bron: security.nl

Google-onderzoekers Tavis Ormandy heeft een ernstig beveiligingslek in GnuTLS gevonden, een vrije software-implementatie van de tls-, ssl- en dtls-protocollen. GnuTLS is een softwarebibliotheek waarmee andere programma's beveiligde verbindingen kunnen opzetten. De kwetsbare code zou sinds januari 2017 in de software aanwezig zijn. Destijds was er via een fuzzer een klein geheugenlek in GnuTLS ontdekt. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. De manier waarop het kleine geheugenlek werd opgelost zorgde echter voor een veel groter beveiligingslek waardoor een aanvaller kwetsbare systemen had kunnen overnemen, aldus Ormandy. Zowel clients als servers die GnuTLS gebruiken om X.509-certificaten te controleren zouden via een kwaadaardige server of man-in-the-middle-aanval kunnen worden gecompromitteerd. Ormandy informeerde de ontwikkelaars van GnuTLS op 5 februari. Vandaag is GnuTLS 3.6.7 verschenen waarin het probleem is opgelost. bron: security.nl

Een beveiligingslek in de Social Warfare-plug-in voor WordPress dat sinds vorige week wordt gebruikt om kwetsbare websites aan te vallen blijkt veel erger te zijn dan in eerste instantie werd aangenomen. Het geeft aanvallers namelijk ook de mogelijkheid om websites volledig over te nemen. Social Warfare is een plug-in voor het delen van de content van WordPress-sites op social media. Het is op meer dan 70.000 websites geïnstalleerd. Websites die van de plug-in gebruikmaken werden vorige week het doelwit van een zeroday-aanval via een onbekend beveiligingslek. Aanvallers gebruikten de kwetsbaarheid voor het injecteren van JavaScript-code in de "social share" links op WordPress-sites. Deze code word uitgevoerd in de browser van bezoekers en stuurt ze door naar spamsites. Naar aanleiding van de aanvallen kwamen de ontwikkelaars van de plug-in met een beveiligingsupdate (versie 3.5.3). Nu blijkt dat de verholpen kwetsbaarheid aanvallers ook de mogelijkheid biedt om willekeurige php-code uit te voeren en zo de website over te nemen, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo een backdoor installeren, aanvullende beheerders aanmaken en systeemcommando's uitvoeren. Volgens de onderzoekers van het securitybedrijf zal dit waarschijnlijk voor een nieuwe golf van aanvallen zorgen. Webmasters krijgen dan ook het dringende advies om te updaten naar Social Warfare versie 3.5.3 of nieuwer. bron: security.nl

De volgende versie van Firefox gaat standaard nieuwe extensies in privévensters blokkeren, wat volgens Mozilla de privacy van gebruikers beter moet beschermen. De privénavigatie van Firefox wist automatisch browsegegevens, zoals wachtwoorden, downloads, zoekopdrachten, cookies en geschiedenis zodra de browser wordt gesloten. De feature is vooral bedoeld om geen gegevens voor andere gebruikers op het lokale systeem achter te laten. "Privénavigatie maakt u niet anoniem op het internet. Uw internetserviceprovider, werkgever, of de websites zelf kunnen nog steeds bijhouden welke pagina's u bezoekt", aldus Mozilla. Op dit moment worden Firefox-extensies zowel in normale vensters als privévensters uitgevoerd, wat volgens Mozilla niet in lijn is met het "privacy commitment" van de browserontwikkelaar. Vanaf Firefox 67 krijgen gebruikers en ontwikkelaars daarom mogelijkheden om aan te geven welke extensies in privévensters mogen draaien. Standaard zal Firefox straks alle nieuw geïnstalleerde extensies in privévensters blokkeren. Zodra gebruikers een extensie installeren krijgen ze een melding te zien of ze de extensie ook in privévensters willen toestaan. Om de workflow van gebruikers niet te onderbreken is besloten dat al geïnstalleerde extensies bij een upgrade naar Firefox 67 automatisch toestemming krijgen om in privévensters te draaien. Alleen nieuw geïnstalleerde extensies zullen standaard worden geblokkeerd, zo laat Mozilla weten. Firefox 67 staat gepland voor 14 mei van dit jaar. bron: security.nl

WinRAR-gebruikers zijn de afgelopen weken het doelwit van verschillende groepen aanvallers geweest en beveiligingsbedrijf FireEye verwacht dat de aanvallen alleen maar zullen toenemen. De aanvallers maken gebruik van een lek in WinRAR waardoor er malware op het systeem kan worden geïnstalleerd. Zodra een gebruiker met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand met een RAR-extensie opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met malware. Het kwaadaardige ACE-bestand maakt misbruik van een kwetsbaarheid in de populaire archiveringssoftware die in versies voor WinRAR 5.70 aanwezig is. Het betreft een lek in de library die voor het uitpakken van ACE-bestanden wordt gebruikt. FireEye meldt nu dat het aanvallen heeft gezien die tegen de Israëlische militaire industrie waren gericht. Ook doen de aanvallers zich voor als het Council on Social Work Education en de voormalige Oekraïense president Viktor Yanukovych. Bij een andere aanval werd een kwaadaardig ACE-bestand gebruikt dat zogenaamd gestolen inloggegevens en creditcarddata zou bevatten. Via de malafide archiefbestanden proberen de aanvallers backdoors, remote administration tools (RATs) en wachtwoordstelers te installeren. "Vanwege het grote aantal WinRAR-gebruikers, het ontbreken van een automatische updatefunctie en het gemak waarmee deze kwetsbaarheid is te misbruiken, verwachten we dat meer aanvallers de komende dagen hier misbruik van zullen maken", aldus Dileep Kumar Jallepalli van FireEye. Gebruikers krijgen het advies om naar WinRAR versie 5.70 te updaten. bron: security.nl

Misschien leuk om te delen: in de weinige vrije uurtjes die ik heb zoek ik mijn ontspanning in het zoeken met de metaal detector. Sinds kort heb ik hierover mijn eigen vlogkanaal: Digging for history Gewoon wat korte filmpjes over wat voor leuks en moois ik zo nu en dan uit de grond naar boven mag toveren. Mocht je het leuk vinden, kun je abonnee worden. Hoe meer abonnees, hoe leuker ik dat natuurlijk vind. Laat ik wel zo eerlijk zijn

ASUS heeft klanten gewaarschuwd die het doelwit van de gisteren onthulde aanval via de Live Update-tool waren. Ook heeft de updatesoftware zelf een update ontvangen om toekomstige aanvallen te voorkomen. De Taiwanese computerfabrikant bevestigt in een vandaag verschenen reactie dat aanvallers vorig jaar toegang tot de Live Update-servers hebben gekregen en zo besmette updates onder gebruikers konden verspreiden. Live Update is een programma dat op de meeste ASUS-computers geïnstalleerd staat. Het helpt gebruikers om hun drivers, firmware en ASUS-software up-to-date te houden. Aanvallers wisten toegang tot de certificaten van ASUS te krijgen en gebruikten die om kwaadaardige updates te signeren. Deze updates werden vervolgens via de servers van de computerfabrikant onder gebruikers verspreid. Een zogeheten "supply chain" aanval. Volgens ASUS is "een klein aantal" computers via de aanval besmet geraakt, maar een exact aantal wordt niet genoemd. Symantec liet gisteren weten dat zeker 13.000 klanten de besmette ASUS-update hadden ontvangen. Bij Kaspersky Lab ging het om 57.000 bevestigde gebruikers. De virusbestrijder vermoedt dat wereldwijd mogelijk 1 miljoen ASUS-systemen besmet zijn geraakt, maar het exacte aantal is nog altijd onduidelijk. Zodra een systeem via de kwaadaardige update besmet was geraakt keken de aanvallers naar het MAC-adres van de netwerkkaart. Ze hadden het voorzien op 600 specifieke MAC-adressen. Zodra de geïnstalleerde backdoor één van deze MAC-adressen tegenkwam werd er aanvullende malware gedownload. Het is nog altijd onbekend wat deze malware precies deed. Eén van de MAC-adressen waar de aanvallers het op hadden voorzien was van een Huawei E3772 USB 4G-dongel. Volgens onderzoeker Vitaly Kamluk van Kaspersky Lab lijkt het MAC-adres voor alle eigenaren van een dergelijke dongel hetzelfde te zijn. De aanvallers bleken in sommige gevallen twee MAC-adressen te gebruiken om een slachtoffer te identificeren. Kaspersky Lab heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Ook ASUS heeft een diagnostische tool online gezet. Tevens heeft de computerfabrikant maatregelen genomen om herhaling te voorkomen. Live Update versie 3.6.8 introduceert verschillende beveiligingsmaatregelen om aanvallen via kwaadaardige updates te detecteren en is er end-to-end-encryptie toegevoegd. Tevens is de "server-to-end-user" softwarearchitectuur versterkt. ASUS-klanten van wie het systeem geinfecteerd is krijgen het advies om hun systeem opnieuw te installeren. ASUS lijkt in de vandaag gepubliceerde reactie onderscheid te maken tussen gebruikers die de besmette updates ontvingen en de 600 MAC-adressen die het daadwerkelijke doel waren. Volgens Kaspersky Lab en Symantec hebben in totaal 70.000 van hun klanten de besmette update geïnstalleerd. Andere antivirusbedrijven hebben nog geen cijfers naar buiten gebracht, maar onderzoekers schatten dat het om 500.000 tot 1 miljoen machines gaat. Onderzoeker Kamluk liet gisteren weten dat de aanvallers in november hun aanval via de ASUS-updatesoftware stopten en vervolgens naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om computers met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken. Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen. Wat de virusbestrijder wel zeker weet is dat de besmette updates van ASUS Live Update door 57.000 gebruikers van de eigen antivirussoftware zijn geïnstalleerd. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Antivirusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt. De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er van een domein dat op een officiële ASUS-site leek aanvullende malware gedownload. Om wat voor malware het gaat is onbekend. Deze werkwijze laat zien dat de aanvallers de MAC-adressen van hun beoogde slachtoffers al kenden. De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens onderzoeker Vitaly Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken. ASUS is op 31 januari over de aanval ingelicht. Kamluk vertelt aan Vice Magazine dat een medewerker van het Kaspersky Lab op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. Het anti-virusbedrijf heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Volgende maand zal Kaspersky Lab meer details over de aanval geven. Update Onderzoeker Kamluk laat via Twitter weten dat de huidige updates van ASUS niet besmet zijn. De aanvallers zouden in november 2018 met hun activiteiten zijn gestopt en naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Twee ernstige beveiligingslekken in Firefox, waardoor aanvallers in combinatie met een Windows-lek volledige controle over het onderliggende systeem konden krijgen, zijn door Mozilla binnen 24 uur gepacht nadat het informatie over de kwetsbaarheden had ontvangen. De beveiligingslekken werden tijdens de Pwn2Own-hackwedstrijd in het Canadese Vancouver gedemonstreerd door onderzoekers Richard Zhu, Amat Cama en Niklas Baumstark. De wedstrijd is een initiatief van het Zero Day Initiative (ZDI), dat onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden. Informatie over de beveiligingslekken wordt vervolgens met de betreffende leveranciers gedeeld zodat die updates voor hun gebruikers kunnen ontwikkelen. Cama en Zhu maakten gebruik van een JIT-bug in Firefox en combineerden die met een kwetsbaarheid in de Windows-kernel om uit de sandbox van de browser te breken en het onderliggende systeem volledig over te nemen. Baumstark demonstreerde ook een JIT-bug, in combinatie met een "logic bug" om uit de sandbox te ontsnappen en zo het systeem over te nemen. In beide gevallen was alleen het bezoeken van een kwaadaardige website voldoende om een aanvaller toegang tot het systeem van het slachtoffer te geven. Er was geen verdere interactie vereist. Voor de demonstratie ontvingen Zhu en Cama 50.000 dollar, de kwetsbaarheden van Baumstark werden met 40.000 dollar beloond. Details over de kwetsbaarheden werden vervolgens met Mozilla gedeeld, dat binnen 24 uur een nieuwe Firefox-versie uitrolde. De update naar Firefox 66.0.1 zal op de meeste systemen automatisch plaatsvinden. Naast kwetsbaarheden in Mozillas browser werden er ook beveiligingslekken in Apple Safari en Mozilla Edge gedemonstreerd. Wanneer ervoor deze browsers beveiligingsupdates verschijnen is nog niet bekend. bron: security.nl

De volgende versie van Google Chrome krijgt een maatregel die gebruikers tegen automatische downloads in iframes moet beschermen. Het gaat in dit geval om "drive-by downloads" die zonder interactie van de gebruiker plaatsvinden. Dit moet volgens Google kwaadaardige of verkeerde downloads voorkomen. "Downloads kunnen kwetsbaarheden binnen een systeem introduceren. Hoewel er binnen Chrome en het besturingssysteem beveiligingscontroles plaatsvinden, vinden we dat het blokkeren van downloads in gesandboxte iframes ook binnen de algemene gedachte van de sandbox past", aldus Google. Naast het veiligheidsaspect zorgt het volgens de internetgigant ook voor een betere gebruikerservaring om via een muisklik de download te starten. De automatische downloads in iframes worden in Google Chrome 74 geblokkeerd, maar de beperking kan nog door contentproviders worden omzeild. Vanaf Chrome 76 zal de ondersteuning van dergelijke downloads volledig worden verwijderd. De maatregel is nu te testen in de bètaversie van Chrome 74. bron: security.nl

Een ernstig beveiligingslek in het populaire gameplatform Steam maakte het mogelijk voor aanvallers om op afstand malware te installeren en accounts over te nemen. Alleen het bezoeken van een kwaadaardige website was voldoende geweest. Er was geen verdere interactie van gebruikers nodig. De kwetsbaarheid was aanwezig in de Steam-client. De software beschikt over een serverbrowser waarmee gameservers kunnen worden gevonden. Voor het ophalen van informatie over deze servers communiceert de browser via een specifiek UDP-protocol. Onderzoekers Vinnie Vanhoecke en André Baptista ontdekten dat het mogelijk was om via de serverbrowser een buffer overflow te veroorzaken als die informatie over een kwaadaardige server ophaalde. "Een aanvaller kan willekeurige code op de computer van elke Steamgebruiker uitvoeren die de serverinformatie over onze kwaadaardige server bekijkt", aldus de onderzoekers. Zo zou het bijvoorbeeld mogelijk zijn geweest om malware te installeren, bestanden te stelen of accounts over te nemen. Wat de aanval interessant maakt is dat er nauwelijks interactie van de gebruiker was vereist. Gebruikers konden op verschillende manieren worden aangevallen. Bijvoorbeeld als de serverbrowser van Steam werd gebruikt om serverinformatie op te vragen, maar ook wanneer de gebruiker een kwaadaardige website bezocht die van het Steam-browserprotocol gebruikmaakte. De onderzoekers maakten een video waarbij de exploit op Windows 10 wordt gedemonstreerd. De gebruiker bezoekt een kwaadaardige website die een verborgen iframe bevat en de exploit vervolgens uitvoert. Het is hierbij niet nodig dat Steam op het moment van de aanval al actief is. De aanval werkte ook als Steam al draaide. De onderzoekers waarschuwden Steam-ontwikkelaar Valve op 21 december vorig jaar, waarna er op 19 februari een beveiligingsupdate voor de Steam-client verscheen. Voor hun bugmelding ontvingen de onderzoekers een beloning van 15.000 dollar, aangevuld met een bonus van 3.000 dollar vanwege de kwaliteit van de bugmelding. bron: security.nl

WordPress-sites zijn gisteren aangevallen via een zerodaylek in Social Warfare, een plug-in voor het delen van content op social media. Inmiddels is er een beveiligingsupdate beschikbaar en webmasters en beheerders krijgen het dringende advies om die meteen te installeren. Gisteren maakte een beveiligingsonderzoeker een ongepatchte kwetsbaarheid in Social Warfare bekend. Via het lek kan een aanvaller kwaadaardige JavaScript-code in de "social share" links op de WordPress-site injecteren. Aangezien er op dat moment geen beveiligingsupdate aanwezig was besloot WordPress om de plug-in uit de WordPress.org plug-in repository te verwijderen. Kort na het uitkomen van de informatie over het beveiligingslek werden de eerste websites al aangevallen, zo meldt securitybedrijf Wordfence. Inmiddels is er een patch beschikbaar en webmasters en beheerders krijgen het advies om zo snel als mogelijk te updaten naar Social Warfare 3.5.3. Wanneer dit niet mogelijk is raden de ontwikkelaars aan om de plug-in uit te schakelen totdat de update kan worden doorgevoerd. De plug-in, die meer dan 70.000 actieve installaties heeft, is door WordPress weer in de repository teruggeplaatst. Gisteren werd bekend dat WordPress-sites ook werden aangevallen via een kwetsbaarheid in de Easy WP SMTP-plug-in. bron: security.nl

De zakelijke beveiligingssoftware van Microsoft wordt ook beschikbaar voor Mac-gebruikers, zo heeft de softwaregigant vandaag aangekondigd. Het gaat om het Windows Defender Advanced Threat Protection (ATP) platform dat nu macOS ondersteunt en tevens is hernoemd naar Microsoft Defender ATP. Volgens Microsoft moet het platform "next-gen" antivirusbescherming voor macOS gaan bieden. De softwaregigant maakte twee jaar geleden al bekend dat Windows Defender ATP ook antivirussoftware van derde partijen ging integreren om zo malware op Android-, Linux-, macOS- en iOS-apparaten te kunnen detecteren. "We gaan nu een stap verder door onze eigen oplossing als optie toe te voegen", zegt Microsofts Eric Avena. Via de software kunnen eindgebruikers zelf scans van hun systeem uitvoeren en eventuele dreigingen verwijderen, in quarantaine plaatsen of toestaan. Gebruikers kunnen ook geavanceerde instellingen instellen, zoals het in- of uitschakelen van real-time bescherming, automatische updates, cloudbescherming en het automatisch versturen van bestanden. Beheerders hebben bij sommige van deze opties de mogelijkheid om te voorkomen dat ze door gebruikers worden uitgeschakeld. Eventuele dreigingen of detecties worden voor beheerders zichtbaar via het Microsoft Defender ATP-portal. Microsoft ATP ondersteunt macOS Mojave, High Sierra en Sierra. Op dit moment is het platform alleen als testversie voor Mac-gebruikers beschikbaar. bron: security.nl

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben beveiligingsonderzoekers verschillende zero-days in Apple Safari, VMware Workstation en Oracle VirtualBox gedemonstreerd waarmee het onderliggende besturingssysteem kan worden overgenomen. Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers betaalt voor het demonstreren van onbekende kwetsbaarheden in browsers, virtualisatiesoftware en kantoorsoftware. Tijdens deze editie krijgen onderzoekers voor het eerst de gelegenheid om een auto te hacken. Voor het hacken van een Tesla Model 3 zijn er beloningen van tussen de 35.000 en 300.000 dollar, afhankelijk van verschillende factoren, waaronder de gebruikte exploit. De eerste onderzoeker die de Tesla succesvol weet te hacken krijgt ook een nieuwe Model 3 als beloning. Op de eerste dag hadden onderzoekers het alleen voorzien op Apple Safari en de virtualisatiesoftware van Oracle en VMware. Onderzoekers wisten Safari twee keer succesvol te hacken. Vervolgens werden er twee succesvolle aanvallen tegen Oracle VirtualBox gedemonstreerd en moest VMware Workstation er één keer aan geloven. Via de kwetsbaarheden in de virtualisatiesoftware konden de onderzoekers uit het gevirtualiseerde systeem breken en het onderliggen besturingssysteem overnemen. In totaal ontvingen de onderzoekers 240.000 dollar voor hun kwetsbaarheden. De beveiligingslekken worden nu met de betreffende softwareleveranciers gedeeld, zodat die een beveiligingsupdate kunnen ontwikkelen. Pas na het verschijnen van deze patches zullen de details worden geopenbaar. Voor de tweede dag staan er demonstraties tegen Microsoft Edge en Mozilla Firefox gepland. Op dag drie zullen twee onderzoeksteams proberen om een Tesla Model 3 te hacken. bron: security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben gebruikers gewaarschuwd die van de ingebouwde cryptowallet Electrum gebruik willen maken. Vier jaar geleden voegde Tails de bitcoinportemonnee aan het besturingssysteem toe, maar die zal nu mogelijk verdwijnen. De Electrum-versie die door Tails wordt gebruikt is namelijk kwetsbaar voor phishingaanvallen. Gebruikers kunnen, wanneer ze verbinding met een kwaadaardige server in de Electrum-pool maken, een melding ontvangen waarin een kwaadaardige versie van Electrum wordt aangeboden. Eind december waarschuwden de Electrum-ontwikkelaars dat gebruikers van de wallet op deze manier werden aangevallen. Om de phishingaanval te voorkomen laten betrouwbare Electrum-servers oudere Electrum-versies geen verbinding meer maken. Nieuwere Electrum-versies zijn echter niet beschikbaar voor Debian, de Linux-distributie waarop Tails is gebaseerd. "Gegeven het gebrek aan beheer van Electrum in Debian zijn we nog aan het kijken wat verstandig is om te doen in Tails", aldus de ontwikkelaars, die niet uitsluiten dat Electrum uit het besturingssysteem zal worden verwijderd. bron: security.nl