Captain Kirk

Antivirusbedrijf Kaspersky Lab heeft een ernstig beveiligingslek in de antivirussoftware verholpen waardoor een aanvaller op afstand systemen van gebruikers volledig had kunnen overnemen. Het probleem in de virusscanner kon zich voordoen bij het scannen van JavaScript-bestanden. Hierdoor kon er een heap-based buffer overflow ontstaan, waarna het mogelijk was om willekeurige code met systeemrechten uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8 beoordeeld. Vorige maand bracht Kaspersky Lab een update uit, zo heeft bedrijf gisterenavond in het eerste beveiligingsbulletin van 2019 bekendgemaakt. Kwetsbaarheden in antivirussoftware zijn vaak zonder interactie van gebruikers te misbruiken en kunnen aanvallers vergaande toegang geven. De software draait vaak met hogere rechten en scant in de achtergrond continu allerlei bestanden en websites. Door het versturen van een e-mail met een kwaadaardige bijlage, ook als de gebruiker die zelf nog niet heeft geopend, of bij het bezoeken van een kwaadaardige website zou een aanvaller de virusscanner een kwaadaardig bestand kunnen laten scannen. Vervolgens zou er via een dergelijk bestand misbruik van de kwetsbaarheid kunnen worden gemaakt. bron: security.nl

Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners. Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven. Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld. "De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op. De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt. bron: security.nl

Accounts van systeembeheerders zijn een geliefd doelwit van aanvallers, maar organisaties kunnen verschillende maatregelen nemen om de kans te verkleinen dat aanvallers hier toegang toe krijgen, zo stelt Microsoft. De softwaregigant heeft een blog gepubliceerd waarin het beschrijft hoe het zelf met identiteitsmanagement omgaat en het beveiligen van beheerdersaccounts is daar een onderdeel van. "Om de bescherming van onze organisatie te verbeteren is het belangrijk om het aantal mensen te beperken dat geprivilegieerde toegang heeft en controles te implementeren voor wanneer, hoe en waar beheerdersaccounts gebruikt kunnen worden", laat Microsoft weten. Als het gaat om het beveiligen van adminaccounts worden drie aanbevelingen gedaan. Als eerste wordt voor het uitvoeren van systeembeheer een aparte computer aangeraden die volledig up-to-date is. Tevens moeten de beveiligingsinstellingen van deze machine worden verhoogd en moet worden voorkomen dat systeembeheer op afstand is uit te voeren. Het tweede advies betreft het toepassen van een "geïsoleerde identiteit". Zo moet er een aparte naamgeving voor het account worden gebruikt en mag die geen toegang tot internet hebben. Tevens moet de identiteit verschillen van de werkidentiteit van de gebruiker. In het geval van Microsoft zijn beheerdersaccounts alleen toegankelijk via een smartcard. Afsluitend adviseert Microsoft het toepassen van "non-persistent access". Zo moeten beheerdersaccounts standaard geen rechten hebben. Beheerders moeten just-in-time (JIT) privileges aanvragen die ze toegang voor een beperkte tijd geeft en dit moet in een systeem worden bijgehouden. Microsoft erkent dat het beschikbare budget kan beperken wat organisaties kunnen doen. Toch raadt de softwaregigant aan om alle drie de zaken uit te voeren op een niveau dat voor de organisatie zinvol is. bron: security.nl

Het integreren van Tor in Firefox zou tal van privacyvoordelen voor gebruikers hebben, maar hierbij komen ook allerlei vragen kijken, aldus Mozilla. De browserontwikkelaar heeft daarom verschillende beurzen beschikbaar gesteld voor onderzoekers die deze vragen willen beantwoorden. Tor Browser is een op Firefox gebaseerde browser waarmee toegang tot het Tor-netwerk wordt verkregen. Het beschikt over allerlei aanvullende beveiligingsmaatregelen om gebruikers tegen tracking te beschermen. Verschillende van deze maatregelen zijn door Mozilla in het verleden al aan Firefox toegevoegd, maar de browserontwikkelaar wil nu laten onderzoeken of een verdere integratie mogelijk is. "Mozilla heeft een interesse om mogelijk meer van Tor in Firefox te integreren, om gebruikers zo een Super Private Browsing (SPB) mode te bieden. Tor biedt privacy en anonimiteit op het web, features die hard nodig zijn in het moderne tijdperk van massasurveillance, tracking en fingerprinting", aldus Mozilla. Op dit moment maken elke dag zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk. Om een groot aantal extra gebruikers te kunnen faciliteren zouden eerste allerlei vraagstukken moeten worden opgelost over de prestaties, protocollen en opzet van het Tor-netwerk. "Tor is nog nooit op een dergelijke schaal uitgerold en er spelen allerlei overwegingen die moeten worden onderzocht voordat Mozilla hiermee aan de slag gaat", stelt Gabriela Rodríguez van het Tor Project. Onderzoekers die zich geroepen voelen kunnen zich aanmelden voor een beurs van Mozilla. bron: security.nl

Onderzoekers hebben een nieuwe versie van de Dharma-ransomware ontdekt die een legitieme antivirustool gebruikt om slachtoffers af te leiden, terwijl in de achtergrond allerlei bestanden worden versleuteld. De aanval begint met een e-mail die zogenaamd van Microsoft afkomstig is. Volgens het bericht loopt de computer van de ontvanger risico en moet de geïnstalleerde antivirussoftware worden geüpdatet en geverifieerd. Hiervoor moeten gebruikers een aangeboden bestand downloaden. Dit bestand bevat de ransomware en ESET AV Remover, een legitieme tool van antivirusbedrijf ESET om geïnstalleerde virusscanners van een computer te verwijderen. Ongeacht of gebruikers de installatie van AV Remover afronden versleutelt de ransomware in de achtergrond allerlei bestanden. Gebruikers moeten vervolgens voor het ontsleutelen van de bestanden betalen. "Cybercriminelen hebben een verleden van het misbruiken van authentieke tools. En deze recente tactiek om een installatieprogramma als afleiding te gebruiken is weer een methode waarmee ze experimenteren", zegt onderzoeker Raphael Centeno van antivirusbedrijf Trend Micro. bron: security.nl

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Confluence om ongepatchte servers met ransomware en een combinatie van een rootkit en cryptominer te infecteren. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Op 20 maart verscheen er een beveiligingsupdate die twee kwetsbaarheden verhielp. Via één van deze beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige code op Confluence-servers uitvoeren. Drie weken later op 11 april verscheen er een proof-of-concept-exploit om van de kwetsbaarheid misbruik te maken. Een dag later werden de eerste aanvallen waargenomen. Bij deze aanvallen werd de Gandcrab-ransomware geïnstalleerd, zo meldde securitybedrijf Alert Logic eerder al. Volgens onderzoekers van het bedrijf zullen Confluence-applicaties vaak waardevolle bedrijfsgegevens bevatten en mogelijk niet goed zijn geback-upt. Het losgeld dat de ransomware oplevert zal dan waarschijnlijk ook veel hoger zijn dan het installeren van een cryptominer, die de rekenkracht van de server gebruikt om cryptovaluta te delven. Antivirusbedrijf Trend Micro meldt dat aanvallers inmiddels ook begonnen zijn om via het beveiligingslek een combinatie van een rootkit en cryptominer op kwetsbare servers te installeren. De rootkit wordt gebruikt om de cryptominer te verbergen. Daarnaast kan de rootkit het cpu-gebuik van de server vervalsen. Daardoor lijkt het voor beheerders dat de processor niet wordt belast, terwijl dat in werkelijkheid wel het geval is. Organisaties krijgen dan ook het advies om de beschikbare update te installeren. bron: security.nl

Softwarebedrijf Canonical is vorige week gestopt met de ondersteuning van Ubuntu 14.04 Trusty Tahr. Nieuw gevonden kwetsbaarheden worden niet meer gepatcht. Organisaties kunnen echter nog wel tegen betaling beveiligingsupdates ontvangen. Hiervoor biedt Canonical Extended Security Maintenance (ESM). Ubuntu long term support (LTS) releases worden vijf lang met beveiligingsupdates ondersteund. Zodra de Standard Security Maintenance-periode is verlopen ontvangen LTS-versies via Extended Security Maintenance drie tot vijf jaar aanvullende ondersteuning, afhankelijk van de betreffende versie. Hierdoor kunnen organisaties die nog niet zijn geüpgraded naar een nieuwere versie voldoen aan compliancestandaarden. "Kwetsbaarheden die niet worden gepatcht openen je systemen voor hackers en de mogelijkheid van grote datalekken. Verder zijn beveiligingsupdates vaak noodzakelijk om aan regelgeving te voldoen die in de financiële, gezondheids-, e-commerce- en telecomsector gelden", aldus Canonical. Het softwarebedrijf stelt dat sinds de lancering van Ubuntu 14.04 vijf jaar geleden meer dan 1300 Ubuntu Security Notices (USNs) voor het besturingssysteem zijn verschenen, waarbij één USN meerdere kwetsbaarheden kan verhelpen. bron: security.nl

Cisco heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer ernstige kwetsbaarheid in Elastic Services Controller (ESC). Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek is het met een 10 beoordeeld. Elastic Services Controller is een oplossing voor het beheren van virtuele netwerkfuncties, waaronder het monitoren van virtual machines, automatische recovery en dynamisch opschalen. Een kwetsbaarheid in de programmeerinterface van de controller zorgt ervoor dat een ongeauthenticeerde aanvaller door alleen het versturen van een verzoek naar de interface willekeurige acties op het systeem kan uitvoeren met beheerdersrechten. De kwetsbaarheid is aanwezig in versie 4.1, 4.2, 4.3 en 4.4 van de software. Beheerders krijgen dan ook het advies om te updaten naar versie 4.5. Cisco merkt op dat de programmeerinterface niet standaard staat ingeschakeld. De netwerkgigant meldt verder dat er op dit moment nog geen meldingen van misbruik zijn waargenomen. bron: security.nl

Google heeft maatregelen aangekondigd die gebruikers van Chrome tegen fingerprinting moeten beschermen en meer controle over cookies moeten geven. Dit moet gebruikers meer privacy geven. Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld. Het gaat dan bijvoorbeeld om scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. Aan de hand hiervan wordt een digitale vingerafdruk gemaakt waarmee gebruikers vervolgens over het web te volgen zijn. "Omdat fingerprinting niet transparant is en gebruikers er geen controle over hebben, zorgt het voor tracking dat de keuze van gebruikers niet respecteert", zegt Justin Schuh van Google in een blogpost. Daarom zal Google agressiever tegen fingerprinting op het web gaan optreden. Zo zal Google de manieren gaan beperken waarop op Chromium gebaseerde browsers passief zijn te fingerprinten, zodat actief fingerprinten kan worden gedetecteerd zodra het plaatsvindt. Tevens zal Google veranderingen doorvoeren in de manier waarop Chrome met cookies omgaat. Webontwikkelaars moeten straks specifiek aangeven welke cookies zijn toegestaan om op meerdere websites te worden gebruikt en zijn te gebruiken om gebruikers te volgen. Hierdoor wordt het mogelijk voor gebruikers om deze cross-site trackingcookies te verwijderen, terwijl andere cookies waarmee de gebruiker op een site is ingelogd bewaard blijven. Ook zorgt deze maatregel ervoor dat Chrome en andere op Chromium gebaseerde browsers informatie kunnen bieden over welke websites deze trackingcookies plaatsen. Volgens Schuh heeft de maatregel ook grote veiligheidsvoordelen voor gebruikers, omdat het cookies standaard tegen cross-site injection en informatielekken zoals Spectre en cross-site request forgery (CSRF) beschermt. Uiteindelijk is Google ook van plan om cross-site cookies voor https-verbindingen te beperken, wat gebruikers extra privacybescherming geeft. bron: security.nl

Onderzoekers hebben malware voor Microsoft Exchange-servers ontdekt die speciaal ontwikkeld is om e-mails te lezen, aan te passen of te blokkeren en tevens als een backdoor dient. Daarnaast is de malware zeer lastig te verwijderen. Dat meldt antivirusbedrijf ESET in een vandaag verschenen rapport. Volgens de virusbestrijder maken de aanvallers gebruik van een techniek die nog nooit eerder is gezien, namelijk een Transport Agent. Microsoft Exchange biedt via het gebruik van Transport Agents extra functionaliteit, zoals het filteren van spam en besmette e-mails en het toevoegen van een onderschrift aan elke verstuurde e-mail. Transport Agents kunnen worden gemaakt door Microsoft, externe leveranciers of de organisatie die de Exchange-server beheert. De LightNeuron-malware voegt een Transport Agent toe waarmee het berichten kan onderscheppen, lezen en blokkeren, alsmede nieuwe e-mails versturen. Het lijkt erop dat de aanvallers de getroffen organisaties eerst compromitteren en dan de Exchange Server-infecteren. Zo ontdekte ESET op het netwerk van getroffen organisaties ook andere malware van de aanvallers. De eerste versie van de LightNeuron-malware zou al in 2014 zijn ontwikkeld. De meest recente versie is in 2016 gemaakt. Onder andere diplomatieke organisaties en ministeries van Buitenlandse Zaken in Oost-Europa en het Midden-Oosten waren doelwit van de aanvallers. Deze aanvallen vonden in 2017 en 2018 plaats. "In een aantal gevallen draaide LightNeuron met systeemrechten. Het is vaak lastig om dergelijke rechten op een Exchange-server te krijgen, aangezien het één van de belangrijkste middelen van een organisatie is. Eenmaal gecompromitteerd is het waarschijnlijk dat de malware maanden of jaren onopgemerkt blijft", aldus de onderzoekers. Het verwijderen van de malware is geen eenvoudige opgave, zo laten de onderzoekers in het onderzoeksrapport verder weten (pdf). Door de twee kwaadaardige bestanden van de malware te verwijderen stopt de Microsoft Exchange-server namelijk met werken en kan niemand in de organisatie nog e-mails versturen of ontvangen. Antivirusbedrijven wordt dan ook aangeraden om deze twee bestanden niet zomaar te verwijderen, maar van een goede schoonmaakroutine gebruik te maken. Het is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen. Volgens ESET wordt de LightNeuron-malware door een groep genaamd Turla gebruikt, die ook als Snake en Uroburos bekendstaat. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zerodaylekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen. bron: security.nl

Versleutelde e-maildienst ProtonMail stopt met het ondersteunen van Internet Explorer 11, zo heeft het bedrijf vandaag bekendgemaakt. Volgens ProtonMail moeten gebruikers naar een veiligere, modernere browser upgraden om van de e-maildienst gebruik te blijven maken. Internet Explorer 11 wordt nog wel gewoon door Microsoft met beveiligingsupdates ondersteund. De softwaregigant zal dit blijven doen zolang het Windows 10 ondersteunt. Toch is ProtonMail van mening dat IE11 geen veilige browser is. "Microsoft verplaatst de aandacht naar Edge en minder ontwikkelaars testen ermee. Daardoor zijn meer bugs en kwetsbaarheden onvermijdelijk", aldus Ben Wolford van ProtonMail. Verder stelt Wolford dat maar weinig ProtonMail-gebruikers van IE11 gebruikmaken. Ongeveer één procent van al het verkeer is afkomstig van IE11. De versleutelde e-maildienst wil daarnaast allerlei nieuwe features ontwikkelen, in plaats van een verouderde browser te ondersteunen die allerlei functionaliteit mist. IE11 heeft volgens marktvorser Net Applications op de desktop nog een marktaandeel van 7,7 procent. bron: security.nl

Systemen met de Windows 10 May 2019 Update (versie 1903) zijn nu gecertificeerd voor wachtwoordloze authenticatie. Dat heeft de FIDO Alliance bekendgemaakt. De Fast IDentity Online (FIDO) Alliance, die uit allerlei techbedrijven bestaat, heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Via Windows Hello kunnen Windows 10-gebruikers door hun biometrische kenmerken of een pincode op het systeem en apps inloggen. Naast de FIDO2-certificering laat de nieuwste Windows 10-update Firefoxgebruikers via Windows Hello of FIDO-beveiligingssleutels op hun Microsoft-account inloggen of andere websites die de FIDO-standaard ondersteunen. Chromium-gebaseerde browsers, zoals Chrome en Edge on Chromium, zullen deze feature binnenkort ondersteunen. Microsoft, dat een deelnemer van de FIDO Alliance is, roept bedrijven en softwareontwikkelaars op om aan een wachtwoordloze toekomst te werken door wachtwoordalternatieven zoals Windows Hello te ondersteunen. bron: security.nl

Verschillende tools die bij de Amerikaanse geheime dienst NSA werden gestolen en eind 2016 en in 2017 online verschenen zijn al begin 2016 door een andere partij voor cyberspionage toegepast. Het gaat onder andere om een zerodaylek in Windows dat Microsoft in maart van dit jaar patchte. Dat meldt Symantec in een blogpost. In augustus 2016 en begin 2017 publiceerde een groep die zich Shadow Brokers noemt verschillende tools en exploits van de NSA. Deze exploits werden onder andere voor de verspreiding van de WannaCry-ransomware gebruikt. Symantec heeft aanwijzingen gevonden dat de gelekte NSA-tools al een jaar voor het online verschijnen door een groep aanvallers genaamd APT3 (ook bekend als Buckeye en Gothic Panda) werd gebruikt. Het gaat hierbij om varianten van de tools die door Shadow Brokers werden vrijgegeven, wat een andere herkomst suggereert. Zo gebruikte APT3 de DoublePulsar-backdoor van de NSA al in maart 2016. Deze backdoor werd pas in april 2017 door Shadow Brokers openbaar gemaakt. Om de backdoor bij slachtoffers te installeren maakten de aanvallers gebruik van twee kwetsbaarheden in Windows. Het eerste beveiligingslek werd in maart 2017 door Microsoft gepatcht. De tweede kwetsbaarheid werd in september 2018 door Symantec aan Microsoft gemeld, waarna er in maart van dit jaar een update voor verscheen. Hoe APT3 de NSA-tools wist te verkrijgen voordat die door Shadow Brokers openbaar werden gemaakt is nog onbekend, aldus Symantec. De tools werden onder andere tegen doelwitten in België en Luxemburg gebruikt. APT3 zou in 2017 zijn gestopt met het uitvoeren van aanvallen, maar de tools die het gebruikte werden nog tot eind 2018 bij aanvallen waargenomen. Door wie is echter onbekend. bron: security.nl

Microsoft heeft tijdens de ontwikkelaarsconferentie Microsoft Build 2019 nieuwe privacytools gedemonstreerd die aan Edge zullen worden toegevoegd en waarmee gebruikers online tracking kunnen tegengaan. Volgens de softwaregigant hebben gebruikers laten weten dat ze niet begrijpen hoe websites hun data gebruiken. Ook hebben gebruikers het gevoel dat ze tijdens het browsen geen controle over hun eigen data hebben. Om hier tegemoet aan te komen heeft Microsoft nu een privacydashboard voor Edge gedemonstreerd. Hiermee kunnen gebruikers van de browser straks uit verschillende niveaus kiezen om hun gegevens te delen en beschermen. Afhankelijk van het gekozen niveau zal de browser gebruikers beschermen tegen third party tracking. De browser zal drie beschermingsniveaus bieden: unrestricted, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Wanneer de opties precies aan Edge worden toegevoegd is nog niet bekend. bron: security.nl

Criminelen hebben de afgelopen dagen verschillende Git-repositories gegijzeld voor losgeld. Iets wat mogelijk was door onveilig wachtwoord gedrag, zo heeft GitLab laten weten. Git is een versiebeheersysteem dat ontwikkelaars gebruiken voor het beheren van broncode. Bij verschillende ontwikkelaars was er ingebroken op het Git-account en aanwezige code verwijderd. De criminelen hadden een bericht achtergelaten dat er een back-up was gemaakt en er moest worden betaald voor het terugkrijgen van de verwijderde code. Onder andere gebruikers van GitLab, een bekende Git-respository, werden slachtoffer. Volgens het platform heeft de aanvaller tenminste 131 gebruikersaccounts en 163 repositories benaderd. Uit voorzorg zijn alle getroffen accounts tijdelijk uitgeschakeld en de eigenaren geïnformeerd. GitLab stelt in een reactie dat de aanvaller kennis had van het wachtwoord van zijn slachtoffers. Uit onderzoek blijkt dat de gecompromitteerde accounts wachtwoorden in plaintext hadden opgeslagen op een uitrol of gerelateerde repository. "We moedigen het gebruik van wachtwoordmanagers aan om wachtwoorden op een veiligere manier op te slaan, en het inschakelen van tweefactorauthenticatie waar mogelijk. Beide hadden dit probleem kunnen voorkomen", aldus Kathy Wang van GitLab. bron: security.nl

Facebook laat al jaren een externe partij handmatig berichten van gebruikers labelen en het is de vraag of dit wel onder de Europese privacywetgeving is toegestaan. Een team van 260 ingehuurde krachten van het Indiase outsourcingsbedrijf Wipro is al sinds 2014 bezig met het labelen van miljoenen foto's, statusupdates en andere content, zo meldt persbureau Reuters. Berichten worden in vijf categorieën onderverdeeld, onder andere gebaseerd op onderwerp, gebeurtenis en bedoeling. Volgens Facebook wil het zo trends in kaart brengen. Verschillende Wipro-medewerkers stellen dat ze zo een blik in het privéleven van gebruikers krijgen. Gebruikers die hier geen expliciete toestemming voor hebben gegeven, zo stelt een voormalige privacymanager van Facebook die niet bij naam genoemd wil worden. Ook door Wipro-medewerkers doen op basis van anonimiteit hun verhaal, maar Facebook heeft het labelen van berichten wel bevestigd. De AVG verplicht dat bedrijven aangeven hoe persoonlijke gegevens worden verzameld en gebruikt en in veel gevallen moeten gebruikers hier expliciete toestemming voor geven. In het geval Facebook de dienstverlening wil verbeteren door berichten van gebruikers te laten bekijken, dan moet dit expliciet worden vermeld, aldus een advocaat tegenover Reuters. Ook het gebruik van een externe partij zou toestemming kunnen vereisen. Facebook laat in een reactie weten dat het databeleid duidelijk maakt dat de informatie die gebruikers met Facebook delen wordt gebruikt om hun ervaring te verbeteren en dat hierbij externe partijen kunnen zijn betrokken. bron: security.nl

Mozilla heeft een update uitgerold om het probleem te verhelpen waardoor bij Firefoxgebruikers alle extensies werden uitgeschakeld. Een verlopen certificaat zorgde er dit weekend voor dat de browser bij honderden miljoenen gebruikers de extensies uitschakelde. Ook was het niet meer mogelijk om extensies te installeren. Mozilla gebruikte het certificaat dat was verlopen voor het signeren van Firefox-extensies. Doordat het certificaat was verlopen was de digitale handtekening van de certificaten niet meer geldig en besloot Firefox die uit te schakelen. Voor dezelfde reden werd ook de installatie van extensies geblokkeerd. Mozilla kwam dit weekend al met een tussentijdse oplossing om het probleem te verhelpen. Nu is er via de automatische updatefunctie van Firefox een fix uitgerold. Deze update repareert de certificaatketen, zodat uitgeschakelde webextensies, themes, zoekmachines en taalpakketten weer werken. Mozilla merkt op dat er nog resterende problemen zijn waaraan wordt gewerkt, maar dat er besloten is om de update voor maandag uit te rollen om de impact van uitgeschakelde extensies voor het begin van de nieuwe week te beperken. Voor gebruikers van Firefox Desktop en Android is versie 66.0.4 beschikbaar. Gebruikers van Firefox ESR kunnen updaten naar versie 60.6.2. Op de meeste systemen zal de nieuwe versie automatisch worden geïnstalleerd. Anders is de nieuwste Firefox-versie via Mozilla.org te downloaden. bron: security.nl

Mozilla werkt nog altijd aan een update om het probleem te verhelpen waardoor alle extensies bij Firefoxgebruikers zijn uitgeschakeld. Ook gebruikers van Tor Browser zijn door het probleem getroffen. Voor gebruikers die niet op de update willen wachten zijn er tussentijdse oplossingen. Een certificaat dat Mozilla gebruikt voor het signeren van Firefox-extensies is gisteren verlopen. Daardoor is de digitale handtekening van extensies niet meer geldig en besluit Firefox alle extensies uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe. Hierdoor zijn bij honderden miljoenen Firefoxgebruikers de extensies uitgeschakeld. "Dit heeft ons hard geraakt", zo laten de ontwikkelaars van de populair adblocker Adblock Plus weten. Ook zo'n 2 miljoen gebruikers van Tor Browser zijn hierdoor getroffen. Om extra bescherming te bieden wordt Tor Browser, dat op Firefox is gebaseerd, standaard geleverd met de extensie NoScript, die het laden van scripts en andere zaken uitschakelt. Doordat de extensie ook in Tor Browser is uitgeschakeld kan de browser geen hogere beveiligingsniveaus aan gebruikers aanbieden. Mozilla is bezig met een oplossing. Het is echter nog onbekend wanneer die zal verschijnen. In de tussentijd kunnen gebruikers ervoor kiezen om een noodupdate te laten installeren. Dit kan door 'studies' in te schakelen (Firefox Options/Preferences -> Privacy & Security -> Allow Firefox to install and run studies). Nadat de extensies weer werken kan deze optie worden uitgeschakeld. Voor gebruikers van Tor Browser is het Tor Project ook met een tussentijdse oplossing gekomen. Hierbij kunnen gebruikers kiezen om de controle op digitale handtekeningen uit te schakelen. Het Tor Project waarschuwt gebruikers dat dit alleen als tijdelijke oplossing moet worden gebruikt, aangezien er op deze manier een belangrijke beveiligingsmaatregel wordt uitgeschakeld.

Een verlopen certificaat van Mozilla zorgt ervoor dat extensies van Firefox-gebruikers worden uitgeschakeld en het niet mogelijk is om nieuwe extensies te installeren. Het gaat om een certificaat dat wordt gebruikt voor het signeren van extensies, zo blijkt uit een melding op Bugzilla. Dit is het systeem dat Mozilla gebruikt voor het bijhouden van bugs en kwetsbaarheden. Doordat het certificaat is verlopen is de digitale handtekening niet meer geldig en besluit Firefox de extensie uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe. Aangezien miljoenen Firefoxgebruikers extensies hebben geïnstalleerd zorgt dit voor tal van reacties op Hacker News en Reddit. Op de eigen website laat Mozilla weten dat er op dit moment een oplossing voor het probleem wordt getest. In de tussentijd is het signeren van nieuwe extensies uitgeschakeld. bron: security.nl

Honderden draadloze presentatiesystemen die door bedrijven, scholen en universiteiten worden gebruikt zijn toegankelijk vanaf internet en kunnen door het ontbreken van beveiligingsupdates op afstand worden overgenomen. Het gaat om presentatiesystemen van onder andere Barco en Crestron. Via de apparatuur is het mogelijk om data draadloos naar het presentatiescherm door te sturen. Onderzoeker Jacob Baines van securitybedrijf Tenable ontdekte onlangs vijftien kwetsbaarheden in de AM-100- en AM-101-presentatiesystemen van Crestron. Verder onderzoek wees uit dat de WePresent van fabrikant Barco nagenoeg hetzelfde apparaat is. Zowel de software van Barco als Crestron is ontwikkeld door Awind, een dochteronderneming van Barco. Baines ontdekte dat nog meer partijen de WePresent onder een eigen naam aanbieden. Al deze verschillende apparaten zijn via één exploit te compromitteren, aldus de onderzoeker. Nu zijn er wel firmware-updates beschikbaar die de kwetsbaarheid verhelpen, maar in het geval van Crestron zijn die niet door eindgebruikers te downloaden. Bij andere fabrikanten moeten gebruikers eerst een serienummer opgeven. Via de zoekmachine Shodan ontdekte Baines zo'n 1600 draadloze presentatiesystemen. Het grootste deel daarvan draaide niet de laatste versie. In het geval van Crestron, dat de populairste aanbieder is, was 80 procent niet up-to-date. De apparaten bleken onder andere door meer dan honderd universiteiten in Noord-Amerika gebruikt te worden. "Dus wat hebben we hier? Een doorverkocht platform dat tussen verschillende leveranciers verschillende patchniveaus heeft. Gebruikers die traag patches installeren. Lastig te verkrijgen firmware. Installaties die apparaten blootstellen aan het internet en als laatste slechte softwareontwikkelingsmethoden die alle apparaten kwetsbaar maken voor het op afstand uitvoeren van code", aldus de onderzoeker. Gebruikers wordt aangeraden om alleen producten te kopen van leveranciers die standaard 'security practices' volgen en IoT-apparaten niet aan het internet te hangen. bron: security.nl

Er zijn wereldwijd tienduizenden bedrijven met onveilige SAP-configuraties waardoor aanvallers de systemen op afstand kunnen compromitteren. Exploits om deze aanvallen uit te voeren zijn online verschenen. SAP is software voor bedrijfsprocessen en is vooral binnen grote ondernemingen populair. Vorige maand demonstreerde beveiligingsonderzoeker Mathieu Geli tijdens een securityconferentie hoe verkeerd geconfigureerde SAP-installaties zijn te compromitteren. Het probleem wordt veroorzaakt door een verkeerd geconfigureerde Access Control List in SAP Gateway of Message Server. Message Server en Gateway zijn in alle SAP-omgevingen aanwezig. Daardoor kunnen alle SAP NetWeaver Application Servers (AS) en S/4HANA-systemen risico lopen. Door de misconfiguratie kan een aanvaller een applicatie laten denken dat hij een ander SAP-product is en zo zonder inloggegevens volledige toegang tot het systeem krijgen. De enige vereiste is toegang tot het SAP-systeem. Vervolgens is het mogelijk om informatie in het systeem te benaderen of aan te passen. Ook kan de SAP-installatie worden uitgeschakeld. Het gaat hier echter om bekende problemen waar SAP in het verleden al voor heeft gewaarschuwd. Veel bedrijven blijken de bekende configuratiefouten niet te hebben hersteld, zo claimt securitybedrijf Onapsis. Het bedrijf analyseerde honderden SAP-installaties bij klanten en schat dat zo'n 90 procent van de SAP-systemen verkeerd is geconfigureerd. Het probleem wordt vergroot doordat Geli de exploits beschikbaar heeft gemaakt waarmee de aanvallen zijn uit te voeren. De onderzoeker wil hiermee het risico van kwetsbaarheden aantonen en experts helpen bij het testen van SAP-systemen. "We wijzen alleen op iets dat al verholpen is, maar klanten kunnen wat traag zijn. We proberen daar verandering in te brengen door te laten zien dat het belangrijk is en ze het moeten oplossen", aldus Geli. Volgens persbureau Reuters lopen tot 50.000 ondernemingen risico. Bedrijven krijgen dan ook het advies om de aanbevelingen uit de betreffende SAP Security Notes op te volgen (1, 2 en 3). bron: security.nl

Een beveiligingslek in de DCS-2132L-cloudcamera van fabrikant D-Link maakt het mogelijk voor aanvallers om met beelden van gebruikers mee te kijken. Tevens blijkt dat de camera zonder toestemming van gebruikers de http-interface toegankelijk voor het internet maakt. Dat meldt antivirusbedrijf ESET. Beelden van de camera worden naar de cloud gestuurd, waar ze vervolgens via een app zijn te bekijken. Zowel de audio- en videostreams die tussen de camera en de cloud worden verstuurd als de streams van de cloud naar de app zijn onversleuteld. Een aanvaller die zich tussen de gebruiker of camera en het internet bevindt kan zo het dataverkeer onderscheppen en bekijken. Verder ontdekten de onderzoekers dat kwetsbaarheden in het D-Link tunnelingprotocol het mogelijk maken voor een aanvaller om malafide firmware te installeren. De authenticiteit van de aangeboden firmware wordt namelijk niet tijdens het updateproces gecontroleerd. UPnP Een ander probleem met de camera is dat die via UPnP de http-interface op poort 80 voor heel het internet toegankelijk maakt. Dit kan zonder toestemming van de gebruiker gebeuren en zelfs wanneer de opties "Enable UPnP presentation" of "Enable UPnP port forwarding" staan uitgeschakeld. "Waarom de camera een dergelijke gevaarlijke instelling gebruikt is onduidelijk", aldus de onderzoekers. Via de Shodan-zoekmachine werden zo'n 1600 DCS-2132L-camera's gevonden waarvan de http-interface via internet toegankelijk is. Gebruikers van een dergelijke router krijgen het advies om UPnP op de router uit te schakelen. ESET waarschuwde D-Link op 22 augustus vorig jaar, maar de hierboven beschreven problemen zijn nog altijd aanwezig. De DCS-2132L werd ook door allerlei winkels in Nederland verkocht. bron: security.nl

Cisco waarschuwt systeem- en netwerkbeheerders voor een kwetsbaarheid in Nexus 9000-switches waardoor een aanvaller op afstand roottoegang kan krijgen. Het probleem wordt veroorzaakt door de aanwezigheid van een standaard SSH-sleutel waardoor het mogelijk is om als rootgebruiker in te loggen. Deze standaard SSH-sleutel is in alle 9000-switches aanwezig. Een aanvaller kan misbruik van deze kwetsbaarheid maken door via IPv6 een SSH-verbinding naar een aangevallen apparaat te openen, aldus Cisco. Vervolgens kan de aanvaller met de rechten van de rootgebruiker toegang tot het systeem krijgen. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst van het lek met een 9,8 is beoordeeld, is alleen te misbruiken via IPv6. IPv4 is niet kwetsbaar. Cisco heeft een update uitgebracht om het beveiligingslek te verhelpen. Er zijn geen workarounds beschikbaar. bron: security.nl

Een programma dat op veel Dell-computers standaard staat geïnstalleerd bevat twee beveiligingslekken waardoor aanvallers in bepaalde gevallen kwetsbare systemen kunnen overnemen. Dell heeft inmiddels een beveiligingsupdate uitgebracht en adviseert gebruikers om zo snel als mogelijk te updaten. Het gaat om Dell Support Assist, dat proactief de status van de hardware en software op het systeem controleert. Het kan onder andere automatisch beschikbare drivers installeren. Beveiligingsonderzoeker Bill Demirkapi ontdekte dat het in bepaalde gevallen mogelijk is om via Support Assist automatisch kwaadaardige software op het systeem van het slachtoffer te installeren. Voorwaarde is wel dat een aanvaller op hetzelfde netwerk als het slachtoffer zit of op afstand het dns-verkeer van het slachtoffer kan omleiden, bijvoorbeeld door de router te compromitteren. Daarnaast moet het slachtoffer een website van de aanvaller bezoeken. Vervolgens zal Support Assist de kwaadaardige code van de aanvaller op het systeem uitvoeren. De tweede kwetsbaarheid werd door onderzoeker John C. Hennessy-ReCar ontdekt. Via het lek kan een aanvaller op afstand cross-site request forgery (CSRF) aanvallen tegen de gebruiker uitvoeren. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om de aanval uit te voeren moet een slachtoffer wel eerst een malafide link of website openen. Dell heeft Support Assist 3.2.0.90 uitgebracht om de kwetsbaarheden te verhelpen. In onderstaande video demonstreert Demirkapi de aanval. bron: security.nl

Google biedt gebruikers voortaan de mogelijkheid om verzamelde locatie- en activiteitsgegevens, zoals zoekopdrachten, automatisch na een bepaalde tijd te verwijderen. Gebruikers konden via hun Google-account al locatiegegevens en web- en app-activiteiten deels of geheel handmatig verwijderen. Via de nieuwe auto-delete-functie kan dit voortaan automatisch worden gedaan. Gebruikers kunnen aangeven of ze hun gegevens 3 of 18 maanden willen bewaren. Alle gegevens die ouder zijn worden automatisch van het account verwijderd. Google meldt in een blogpost dat de optie eerst naar locatiegeschiedenis en web- en app-activiteiten komt en de komende weken wordt uitgerold. bron: security.nl