Captain Kirk

Lakse webmasters die geen beveiligingsupdates installeren, configuratiefouten maken, gebrekkige securitykennis hebben en een potje van het beheer maken zijn de voornaamste reden dat sites worden gehackt. Dat stelt securitybedrijf Sucuri op basis van meer dan 25.000 onderzochte gehackte websites. Van de meer dan 25.000 opgeschoonde websites draaide 90 procent op WordPress. Dat zegt volgens de beveiliger niet dat dit contentplatform onveiliger is dan andere platformen. Sucuri wijst juist naar de webmasters die voor een website verantwoordelijk zijn als voornaamste oorzaak dat websites worden overgenomen. Zo draaide 44 procent van de gehackte websites een verouderde versie van het platform. Bij WordPress ging het om bijna 37 procent van de getroffen websites. Verder blijkt dat websites worden gekaapt via verkeerd geconfigureerde plug-ins, modules en extensies, is er sprake van "misbruik van wachtwoorden", verkeerd geconfigureerde applicaties en servers en een gebrek aan kennis over security best practices. "Deze zaken blijven de voornaamste oorzaak dat websites tegenwoordig worden gehackt", aldus Sucuri. bron: security.nl

Onderzoekers hebben weer malware ontdekt die Java downloadt om een computer verder te infecteren. Standaard gaan de aanvallers ervan uit dat Java al op het systeem aanwezig is. De aanval waar anti-virusbedrijf McAfee over bericht begint met een e-mail die als bijlage een Java-bestand (.jar) heeft. Jar-bestanden kunnen alleen worden geopend wanneer Java op het systeem staat. Het meegestuurde Jar-bestand bevat weer een visual basic script (VBS) dat een remote administration tool (RAT) installeert waarmee aanvallers het systeem op afstand kunnen besturen. In het geval Java niet geïnstalleerd is zal de aanval mislukken. Het kan echter voorkomen dat het visual basic script los op een systeem wordt uitgevoerd, zo laat McAfee aan Security.NL weten. In dit geval downloadt en installeert het script eerst Java en voert daarna het Jar-bestand uit. Deze werkwijze heeft overeenkomsten met een aanval die afgelopen oktober werd waargenomen. Bij deze aanval ontvingen slachtoffers een ZIP-bestand met daarin een Jar- en een VBS-bestand. Het VBS-bestand downloadde Java als het nog niet op het systeem geïnstalleerd stond. Vervolgens werd er een RAT geïnstalleerd. bron: security.nl

Het telefoonnummer dat Facebookgebruikers opgeven om hun account met tweefactorauthenticatie (2FA) te beveiligen wordt ook door de sociale netwerksite gebruikt om gebruikers vindbaar voor anderen te maken en gebruikers kunnen zich hier niet voor afmelden. Tweefactorauthenticatie is een belangrijke beveiligingsmaatregel om accounts te beschermen. Vorig jaar kwam Facebook al onder vuur te liggen omdat het 2FA-telefoonnummer van gebruikers ook voor advertentiedoeleinden wordt gebruikt. Nu blijkt dat de standaardinstellingen van Facebook het voor iedereen mogelijk maken, zowel met als zonder account, om gebruikers via het 2FA-telefoonnummer op te zoeken. Gebruikers kunnen dit wel aanpassen naar vrienden en vrienden van vrienden, maar geheel uitschakelen is geen optie. Twitteraar Jeremy Burge haalde in een tweet uit naar Facebook omdat het 2FA-telefoonnummers gebruikt om gebruikers vindbaar te maken en dat gebruikers hier niets aan kunnen doen. Burge kreeg bijval van Alex Stamos, de voormalige chief security officer van Facebook, die stelde dat de sociale netwerksite 2FA-telefoonnummers moet loskoppelen van de zoekfunctie en advertenties. Facebook laat in een reactie tegenover TechCrunch weten dat de instelling niet nieuw is en dat het geldt voor alle telefoonnummers die gebruikers aan hun account toevoegen. Op de vraag waarom gebruikers standaard via het telefoonnummer voor iedereen vindbaar zijn, merkt de sociale netwerksite op dat het dit doet om gebruikers eenvoudiger vindbaar te maken. bron: security.nl

Zo'n 12.000 Cisco RV-routers zijn kwetsbaar voor aanvallen omdat ze via internet toegankelijk zijn en een ernstig beveiligingslek bevatten en het lijkt erop dat aanvallers inmiddels actief naar kwetsbare apparaten aan het zoeken zijn. Cisco kwam vorige week met een beveiligingsupdate voor de RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router en RV215W Wireless-N VPN Router. Een beveiligingslek in de firmware maakt het mogelijk om de router over te nemen door een speciaal geprepareerd http-verzoek naar de webinterface te versturen. De webinterface is standaard niet via internet toegankelijk, maar wel wanneer remote beheer is ingeschakeld. Dat blijkt bij zo'n 12.000 apparaten het geval te zijn. "Al deze routers zijn kwetsbaar voor aanvallen totdat ze de patch toepassen", zo laat securitybedrijf Rapid7 weten. Beveiligingsonderzoeker Troy Mursch merkt op dat er een toename van scans zichtbaar is waarbij aanvallers naar kwetsbare Cisco RV-routers lijken te zoeken. Beheerders krijgen dan ook het advies de beschikbare update te installeren. bron: security.nl

Adobe heeft een noodpatch uitgebracht voor een beveiligingslek in ColdFusion dat actief is gebruikt om systemen aan te vallen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Via de kwetsbaarheid kan een aanvaller willekeurige code in de context van de ColdFusion-service uitvoeren. Het is op deze manier mogelijk om toegang tot websites en webservers te krijgen. Om de aanval uit te kunnen voeren moet het mogelijk zijn om uitvoerbare code naar een webtoegankelijke directory te uploaden en die code via een http-verzoek uit te voeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. Zo wisten aanvallers via ColdFusion-lekken in te breken bij de Franse autofabrikant Citroën, PR Newswire en een Amerikaanse rechtbank. De kwetsbaarheid is verholpen in ColdFusion 2018 Update 3, ColdFusion 2016 Update 10 en ColdFusion 11 Update 18. Beheerders krijgen het advies om de beveiligingsupdate zo snel als mogelijk te installeren, waarbij Adobe een tijdsvenster van binnen 72 uur als voorbeeld geeft. Aanvallen kunnen ook worden voorkomen door toegang te beperken tot directories waar geüploade bestanden worden opgeslagen. bron: security.nl

Cisco heeft een zeer ernstig beveiligingslek in verschillende draadloze RV-routers gedicht waardoor een aanvaller op afstand het apparaat had kunnen overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Door het versturen van een kwaadaardig http-verzoek naar de webinterface kan een aanvaller als "high-privilege" gebruiker willekeurige code op het onderliggende besturingssysteem uitvoeren. Het beveiligingslek is aanwezig in de RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router en RV215W Wireless-N VPN Router. Cisco stelt dat de webinterface via een lokale LAN-verbinding of remote beheer toegankelijk is. Remote beheer staat standaard voor deze routers uitgeschakeld. Eigenaren krijgen het advies om de beschikbare update te installeren. Ook het Computer emergency response team (CERT) van de Belgische overheid heeft inmiddels opgeroepen om te updaten. De kwetsbare routers worden ook in Nederland verkocht. bron: security.nl

Een nieuwe versie van de Qakbot-bankmalware heeft wereldwijd duizenden computers besmet, waaronder die van cybersecuritybedrijven. Dat meldt securitybedrijf Varonis. De eerste versie van Qakbot dateert van 2009. Sindsdien zijn er allerlei nieuwe varianten van de malware verschenen. De malware is ontwikkeld om gegevens voor internetbankieren te stelen en toetsaanslagen op te slaan. De nu ontdekte versie wordt verspreidt via e-mailbijlagen. Het gaat om zip-bestanden met daarin het bestand "REQ_02132019b.doc.vbs". Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat. Zodra de gebruiker het .vbs-bestand opent wordt er informatie over het besturingssysteem en aanwezige beveiligingssoftware opgevraagd. Uiteindelijk wordt Qakbot geïnstalleerd. Varonis vond op een server van de aanvallers een logbestand met activiteiten van de malware en ip-adressen van slachtoffers. Het ging om meer dan 2700 ip-adressen, waarvan ruim 1700 in de Verenigde Staten. Het werkelijke aantal besmette systemen is waarschijnlijk hoger aangezien veel organisaties port address translation gebruiken, wat het interne ip-adres maskeert, aldus het securitybedrijf. "Van wat we kunnen zien zitten middelgrote ondernemingen en Fortune 500-bedrijven tussen de getroffen bedrijven, alsmede hun serviceproviders. Wat ook een interessant feit is, is dat we grote cybersecurityleveranciers in het overzicht van slachtoffers vonden", zegt Snir Ben Shimol van Varonis tegenover Verdict. Het is onbekend of de infecties bij deze leveranciers onderdeel van onderzoek waren of dat daadwerkelijke productiesystemen zijn getroffen. Varonis heeft de namen van deze bedrijven niet bekendgemaakt. bron: security.nl

Er is een nieuwe versie van de zeer populaire netwerksniffer Wireshark verschenen. Wireshark wordt gebruikt voor het analyseren van netwerkverkeer. Versie 3.0.0 bevat een verbeterde gebruikersinterface en ondersteunt een groot aantal nieuwe protocollen voor netwerkanalyse. De Windowsversie van Wireshark werd altijd geleverd met de WinPcap-driver voor het opslaan en versturen van netwerkpakketten. De driver wordt al lange tijd niet meer ondersteund. Daarom is in Wireshark 3.0.0 besloten om de Npcap-driver te gebruiken. Deze driver wordt actief door het Nmap-project ondersteund en is gebaseerd op de WinPcap-driver. Door het toevoegen van Npcap is er nu ondersteuning voor "loopback capture" en 802.11 WiFi monitor mode capture, als de netwerkkaart dit ondersteunt. Verder is in de nieuwe versie support voor verschillende legacy features en libraries verwijderd. Een overzicht van alle nieuwe features, aanpassingen en bugfixes is in de release notes te vinden. Wireshark 3.0.0 is te downloaden via Wireshark.org. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe campagne waarbij gehackte websites worden gebruikt om zogenaamde browserupdates te verspreiden die malware bevatten. De aanvallers voegen code aan de gecompromitteerde site toe die bezoekers een melding laat zien dat ze hun browser moeten updaten. De aangeboden "update" is in werkelijkheid malware. Volgens onderzoeker Denis Sinegubko van securitybedrijf Sucuri gaat het zowel om ransomware als bankmalware die gegevens voor internetbankieren steelt. De meeste van de besmette websites draaien op WordPress, maar het gaat ook om sites met een ander cms-platform zoals Data Life Engine en websites die niet van een contentmanagementsysteem (cms) gebruikmaken. In het geval van WordPress wordt de kwaadaardige code onderaan de footer.php-bestanden toegevoegd. Hoe de websites zijn gecompromitteerd laat Sinegubko niet weten, maar bij soortgelijke campagnes in het verleden maakten aanvallers gebruik van kwetsbaarheden in bijvoorbeeld WordPressplug-ins en zwakke wachtwoorden. bron: security.nl

Phishing blijft een probleem voor de nabije toekomst omdat menselijke beslissingen hier zo'n belangrijke rol bij spelen, zo stelt Microsoft in het vandaag verschenen Security Intelligence Report. De hoeveelheid phishingmails steeg vorig jaar, terwijl het aantal Windowscomputers dat ransomware tegenkwam afnam. Het rapport is gebaseerd op informatie die Microsoft via eigen producten zoals Security Essentials en Windows Defender verzamelt. Volgens de softwaregigant is phishing nog altijd een zeer populaire manier voor cybercriminelen om internetgebruikers aan te vallen. Het aantal phishingmails steeg tussen januari en december vorig jaar met 250 procent, aldus Microsoft. Ook het aantal "phishingclicks" neemt volgens de softwaregigant toe. "Phishing blijft een probleem voor de nabije toekomst, omdat het menselijke beslissingen en beoordelingsvermogen betreft, tegenover continue pogingen van cybercriminelen om hun slachtoffers in hun lokaas te laten trappen", zo laat Microsoft weten bron: security.nl

Gebruikers van de populaire archiveringssoftware WinRAR zijn het doelwit van verschillende aanvallen met kwaadaardige RAR-bestanden, waarbij onder andere afbeeldingen van schaars geklede dames worden gebruikt. De aanvallers maken misbruik van een kwetsbaarheid in het programma waardoor ze kwaadaardige code in de Startup-map van Windows kunnen plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd. Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen. Ondanks de beschikbaarheid van een beveiligingsupdate maken aanvallers inmiddels gebruik van de kwetsbaarheid. Zo heeft securitybedrijf 360 verschillende aanvallen gezien waarbij gebruikers worden verleid om een kwaadaardig RAR-bestand te openen. Het gaat onder andere om archiefbestanden met afbeeldingen van schaars geklede dames, vacatures en pdf-documenten over wetgeving. De aanvallen zijn onder andere gericht tegen gebruikers in Oekraïne en het Midden-Oosten. Zodra gebruikers het RAR-bestand uitpakken wordt de kwaadaardige code in de Startup-map geplaatst, die vervolgens aanvullende malware downloadt waarmee aanvallers volledige controle over het systeem krijgen. WinRAR-gebruikers krijgen het advies om te updaten naar versie 5.70. Wanneer dit niet mogelijk is wordt aangeraden om het bestand UNACEV2.DLL van het systeem te verwijderen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. bron: security.nl

Aanvallers maken misbruik van een ongepatcht beveiligingslek in de pdf-lezer van Google Chrome om gegevens over aangevallen systemen te verzamelen. Het gaat dan om ip-adres, gebruikt besturingssysteem, Chrome-versie en het volledige pad van het pdf-bestand op de computer. Dat meldt securitybedrijf EdgeSpot. Malafide pdf-bestanden die misbruik van de kwetsbaarheid maken zijn sinds december gesignaleerd. Zodra Chrome-gebruikers de pdf-bestanden met de browser openen wordt er informatie over het systeem naar een server verstuurd. Via de kwetsbaarheid is het niet mogelijk om NTLM-wachtwoordhashes te stelen, zoals onlangs nog het geval was in Adobe Reader. EdgeSpot waarschuwde Google eind december. In februari liet de internetgigant weten dat het eind april met een beveiligingsupdate voor de browser komt. Vanwege het potentiële risico voor Chrome-gebruikers heeft het securitybedrijf besloten om details nu al bekend te maken. Chrome-gebruikers krijgen het advies om een alternatieve pdf-lezer te gebruiken of de computer van internet los te koppelen als er pdf-documenten worden geopend. bron: security.nl

Met de lancering van Firefox 66 wordt het voor gebruikers mogelijk om via Windows Hello op websites en webapplicaties in te loggen. Windows Hello is de biometrische inlogfunctie van Windows 10 waarmee gebruikers zich via een scan van hun vinger, iris of gezicht of een securitykey kunnen authenticeren. Firefox ondersteunt op dit moment al Web Authentication, een open authenticatiestandaard die manieren biedt om zonder wachtwoord op websites in te loggen, bijvoorbeeld via biometrische kenmerken, tokens of andere hardware. Firefoxgebruikers kunnen op dit moment alleen via een fysieke securitykey inloggen. Met de support van Windows Hello wordt ook biometrische authenticatie mogelijk. Windows Hello wordt al door Microsoft Edge ondersteund en laat gebruikers inloggen op diensten als Outlook.com, Office 365 en OneDrive. Firefox 66 staat gepland voor 19 maart van dit jaar. bron: security.nl

Softwarebedrijf Adobe heeft het einde aangekondigd van Shockwave en Shockwave Player, een multimediaplatform dat in de browser draait en wordt gebruikt voor interactieve applicaties en spelletjes. Volgens Adobe is Shockwave Player op meer dan 450 miljoen desktops wereldwijd geïnstalleerd. Op 9 april dit jaar stopt Adobe met Shockwave en zal de Shockwave Player voor Windows niet meer worden aangeboden en ondersteund. Bedrijven met zakelijke licenties voor Adobe Shockwave zullen tot het einde van hun huidige contract ondersteuning blijven ontvangen, zo laat het softwarebedrijf op de eigen website en via e-mail weten. Aanleiding om met Shockwave te stoppen is het teruglopende gebruik en de beschikbaarheid van nieuwe technologieën zoals HTML5. Onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers laat zien dat Adobe Shockwave Player op 96 procent van de computers niet up-to-date is. Dit wordt mede veroorzaakt door het feit dat gebruikers de software handmatig moeten updaten. bron: security.nl

Onderzoekers hebben een nieuwe aanval genaamd "Thunderclap" gedemonstreerd waarbij ze computers binnen enkele seconden via Thunderbolt kunnen overnemen. Het probleem speelt bij alle computers die over een Thunderbolt-poort beschikken en op Windows, macOS, Linux en FreeBSD draaien. Met name Apple-laptops en -desktops die sinds 2011 geproduceerd zijn lopen risico, met uitzondering van de 12-inch MacBook. Veel laptops en sommige desktops die op Linux en Windows draaien en sinds 2016 geproduceerd zijn, zijn ook kwetsbaar. Door het aansluiten van een kwaadaardig Thunderbolt-apparaat is het mogelijk om willekeurige met de hoogste rechten uit te voeren en toegang tot wachtwoorden, inloggegevens voor internetbankieren, encryptiesleutels, privébestanden en andere data te krijgen, aldus de onderzoekers. Ze merken op dat de aanval ook is uit te voeren via onschuldig lijkende randapparatuur, zoals opladers en projectors die het apparaat gewoon opladen of beeld laten zien, maar gelijktijdig de aangesloten computer compromitteren. De Thunderclap-kwetsbaarheden zijn ook te misbruiken via gecompromitteerde PCI Express-randapparatuur. Oorzaak De Thunderclap-kwetsbaarheden worden veroorzaakt door het feit dat randapparatuur zoals netwerkkaarten en videokaarten vertrouwde onderdelen van een computer zijn. Ze hebben direct memory access (DMA), waarmee ze het systeemgeheugen kunnen lezen en schrijven, zonder toezicht van het besturingssysteem. DMA laat randapparatuur het securitybeleid van het besturingssysteem omzeilen. Volgens de onderzoekers zijn eerder ontwikkelde DMA-aanvallen door hackers en inlichtingendiensten gebruikt om systemen over te nemen en gevoelige data te stelen. Om eerdere DMA-aanvallen tegen te gaan kunnen besturingssystemen via de input-output memory management unit (IOMMU) geheugentoegang door randapparatuur beperken. De meeste systemen hebben IOMMU echter niet ingeschakeld of ondersteunen het niet. Zo wordt het niet ondersteund door Windows 7, Windows 8 en Windows 10 Home en Pro. Alleen macOS heeft het standaard ingeschakeld. De Thunderclap-aanval maakt gebruik van kwetsbaarheden in de manier waarop besturingssystemen IOMMU gebruiken. Zo was de beveiligingsmaatregel op Linux, wanneer ingeschakeld, eenvoudig te omzeilen. Daardoor konden de onderzoekers aangevallen systemen via DMA compromitteren. Hiervoor maakten ze gebruik van een apparaat dat zich voordeed als echte netwerkkaart, zo meldt onderzoeker Theo Markettos. Beveiligingsmaatregelen De onderzoekers stellen dat hardwarefabrikanten en ontwikkelaars van besturingssystemen oplossingen hebben uitgebracht om gebruikers te beschermen. Die krijgen dan ook het advies om beschikbare beveiligingsupdates voor hun besturingssysteem te installeren. De updates verhelpen echter niet alle mogelijkheden tot misbruik via specifieke aanvallen. De beste manier om volledig beschermd te zijn is om de Thunderbolt-poorten uit te schakelen. Door de noodzaak om legitieme randapparatuur aan te sluiten en op te laden is dit volgens de onderzoekers onhaalbaar. Een andere maatregel die gebruikers kunnen nemen is om hun computer niet onbeheerd in publiek achter te laten en geen publieke USB-C-oplaadstations te gebruiken. Ook moeten gebruikers alert zijn op het aansluiten van onbekende apparaten op de Thunderbolt-poort van de machine. Het gaat dan ook om onschuldig lijkende opladers en projectors. In het geval van Windows kan er een melding verschijnen als er een nieuw Thunderbolt-apparaat wordt aangesloten. Gebruikers moeten alleen vertrouwde apparaten goedkeuren en alleen hiervoor de Thunderbolt-features inschakelen, zo gaan de onderzoekers verder. In het geval er een onverwachte waarschuwing verschijnt moeten gebruikers die niet goedkeuren en het aangesloten apparaat weer loskoppelen. Eén grote laptopfabrikant liet de onderzoekers weten dat ze de kwetsbaarheden eerst beter willen begrijpen voordat ze Thunderbolt aan nieuwe laptopmodellen toevoegen. bron: security.nl

Mozilla heeft grote zorgen over de Australische wetgeving die techbedrijven verplicht om de autoriteiten te helpen bij het verkrijgen van toegang tot versleutelde data. Dat blijkt uit een brief die de browserontwikkelaar naar een commissie van het Australische parlement heeft gestuurd (pdf). Volgens Mozilla is de wetgeving uitermate zorgwekkend voor de veiligheid van internetgebruikers en internetinfrastructuur in Australië en daarbuiten, en stelt het geen beperkingen aan surveillance door de overheid. "Gegeven de ernstige dreiging die deze wet vormt voor de veiligheid en privacy, zijn we blij met de herziening van de wetgeving door de commissie en doen een dringend verzoek om die te verbeteren", zo laat de browserontwikkelaar weten. In de brief schrijft Mozilla dat de wetgeving nooit goedgekeurd had mogen worden en dat de beste oplossing is om de wetgeving in zijn geheel terug te trekken, en opnieuw te beginnen met een openbare raadpleging. Mozilla erkent dat de politieke wil om dit te doen, en zo de veiligheid van alle Australiërs te beschermen, mogelijk niet bestaat. Daarom doet de browserontwikkelaar verschillende aanbevelingen om de gevaarlijkste gevolgen van de wet te beperken. Zo moet de wet duidelijk maken dat de Australische autoriteiten zich niet kunnen richten op medewerkers van een communicatieprovider. Op dit moment zouden autoriteiten medewerkers kunnen dwingen om de veiligheid van systemen te verzwakken. Hierdoor zouden bedrijven alle in Australië gebaseerde medewerkers als potentiële insiderdreiging moeten beschouwen. Verder pleit Mozilla voor het invoeren van maatregelen om misbruik tegen te gaan en dat alle verzoeken geen schade mogen doen aan gebruikers die niet worden verdacht. Tevens moet het beoordelingsmechanisme worden aangepast waarbij naar alle rechten en belangen wordt gekeken. Ook ziet Mozilla graag een transparantierapport over hoe vaak er een beroep op de wet is gedaan. Onlangs maakte vpn-provider VPNSecure bekend dat het Australië wegens de encryptiewetgeving ging verlaten. bron: security.nl

Onderzoekers zijn erin geslaagd de inhoud van digitaal gesigneerde pdf-documenten aan te passen zonder dat de digitale handtekening veranderde. De handtekening geeft juist aan dat de inhoud niet is aangepast. Gesigneerde pdf-documenten worden voor allerlei toepassingen gebruikt. Het gaat bijvoorbeeld om overheidszaken. Zo is in Oostenrijk nieuwe wetgeving pas rechtsgeldig nadat het is aangekondigd in een digitaal gesigneerd pdf-document. In de Verenigde Staten kunnen burgers belastingzaken via gesigneerde pdf-documenten regelen. Het is echter mogelijk om een bestaand gesigneerd pdf-document te nemen en daarvan de inhoud aan te passen, zonder dat de digitale handtekening ongeldig wordt. Voor hun onderzoek keken onderzoekers van Ruhr University Bochum en securitybedrijf Hackmanit naar 22 pdf-lezers voor de desktop en 7 online validatiediensten. 21 van de pdf-lezers en vijf van validatiediensten bleken kwetsbaar te zijn. "We kunnen dus een document gesigneerd door invoicing@amazon.de vervalsen om ons één biljoen dollar terug te geven", aldus de onderzoekers. Ze waarschuwden de verschillende ontwikkelaars van de pdf-lezers, die vervolgens met updates en tegenmaatregelen kwamen. Toch zijn nog niet alle pdf-lezers tegen de aanvallen beschermd, zo blijkt uit het overzicht op pdf-insecurity.org bron: security.nl

Cybercriminelen maken gebruik van een recent onthuld beveiligingslek in het populaire archiveringsprogramma WinRAR om internetgebruikers met een backdoor te infecteren. De aanval begint met een e-mail die als bijlage een kwaadaardig RAR-bestand heeft. Dit RAR-bestand maakt misbruik van een kwetsbaarheid in WinRAR om een exe-bestand in de Startup-map van Windows te plaatsen. Zodra het slachtoffer zijn computer herstart wordt het exe-bestand uitgevoerd en is het systeem besmet met een backdoor. Naast het openen van het RAR-bestand met een kwetsbare WinRAR-versie moet ook User Account Control (UAC) zijn uitgeschakeld om de aanval te laten slagen. Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de Startup-map van Windows te plaatsen. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties is echter verouderd en kwetsbaar voor aanvallers. De aanval met het malafide WinRAR-bestand werd ontdekt door securitybedrijf 360. De onderzoekers stellen dat het mogelijk om de eerste malware gaat die via een WinRAR-lek wordt verspreid. bron: security.nl

Een zeer ernstig beveiligingslek in het contentplatform Drupal dat op 20 februari werd gepatcht wordt al enkele dagen door criminelen gebruikt om nog ongepatchte websites aan te vallen. Via het beveiligingslek kan een aanvaller kwetsbare websites overnemen en van kwaadaardige code voorzien. Volgens securitybedrijf Imperva zoeken aanvallers sinds 23 februari naar kwetsbare websites. In het geval de website kwetsbaar is wordt er een cryptominer aan de website toegevoegd, die in de browser van bezoekers wordt uitgevoerd. Daarbij wordt de rekenkracht van de computer van de bezoekers ingezet om cryptovaluta te delven. Ook installeren de aanvallers een shell uploader waarmee ze willekeurige bestanden kunnen uploaden. Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt. Volgens cijfers van Drupal zijn er 315.000 websites die op Drupal 8 draaien. Zoals gezegd zijn deze websites alleen kwetsbaar als ze van een bepaalde module gebruikmaken en de beschikbare update nog niet hebben geïnstalleerd. In het verleden zijn ernstige Drupal-lekken vaker kort na het uitkomen van een update gebruikt om kwetsbare websites aan te vallen. bron: security.nl

Aanvallen zoals Spectre en Meltdown zijn voorlopig nog niet in processors opgelost, zo stellen verschillende onderzoekers van Google. Spectre en Meltdown zijn zogeheten "side-channel" kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen. Sinds de ontdekking van de twee aanvallen vorig jaar hebben Intel, alsmede andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. "Onze modellen, onze mentale modellen zijn verkeerd. We hebben al die tijd security ingeruild voor prestaties en complexiteit en we hadden geen idee", zeggen Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest van Google. Volgens de onderzoekers is er decennia lang gedacht dat de security van programmeertalen in combinatie met statische en dynamische controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte. Het onderzoek van de Googlers laat zien dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit. De kwetsbaarheden in combinatie met de huidige processors zorgen ervoor dat de vertrouwelijkheid die middels de programmeertaal wordt afgedwongen, "compleet vernietigd" kan worden. Het isoleren van de hardware en besturingssysteemprocessen is dan ook dringend nodig, aldus de onderzoekers. Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven namelijk kwetsbaar voor side-channelaanvallen, zo stellen ze. De onderzoekers spreken zelfs van drie gigantische problemen, namelijk het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan. "Het is een pijnlijke ironie dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. En complexiteit zorgt ervoor dat deze drie problemen nog veel lastiger zijn. Spectre is dan ook toepasselijk zo genoemd, aangezien het ons nog lange tijd zal achtervolgen", concluderen de onderzoekers. bron: security.nl

Cybercriminelen gebruiken het zakelijke sociale netwerk LinkedIn om gebruikers met malware te infecteren, zo waarschuwt securitybedrijf Proofpoint. De aanvallers proberen via nepprofielen contact met het slachtoffer te maken en doen zich voor als een uitzendbureau met een interessante vacature. Zodra er contact is gemaakt sturen de aanvallers een e-mail die een pdf-document of link bevat. Zowel het pdf-document als de link wijzen naar een malafide website die lijkt op de website van een echt uitzendbureau en een malafide vacture aanbiedt. Het betreft een Word-bestand met een kwaadaardige macro. Als gebruikers de macro inschakelen wordt er een backdoor op het systeem geïnstalleerd. Volgens Proofpoint hebben de aanvallers het vooral voorzien op Amerikaanse bedrijven in verschillende industrieën, waaronder retail, entertainment en farmacie. bron: security.nl

Aanvallers hebben in december bij videoberichtenapp Dubsmash de privégegevens van zo'n 162 miljoen gebruikers gestolen, waaronder gehashte wachtwoorden, telefoonnummers en e-mailadressen. Dat heeft beveiligingsonderzoeker Troy Hunt bevestigd. De gegevens worden op internet te koop aangeboden. Op 11 februari kwam The Register met het bericht dat verschillende grote websites waren gehackt en dat de gestolen gegevens van 617 miljoen accounts op internet te koop werden aangeboden. Dubsmash waarschuwde gebruikers en publiceerde een FAQ dat het onbekend was welke gegevens precies waren gestolen en hoeveel gebruikers waren getroffen. Hunt laat vandaag weten dat het gaat om e-mailadressen, geografische locaties, namen, met PBKDF2 gehashte wachtwoorden, telefoonnummers, gesproken talen en gebruikersnamen van bijna 162 miljoen gebruikers. De onderzoeker is ook de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 6,7 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de bijna 162 miljoen gestolen e-mailadressen van Dubsmash was 25 procent al via een ander datalek bij Have I Been Pwned bekend. Vanwege het datalek heeft Dubsmash gebruikers geadviseerd om hun wachtwoord te wijzigen. In het geval gebruikers ook hun telefoonnummer hadden opgegeven wordt aangeraden om extra beveiligingsmaatregelen bij de telecomprovider te laten treffen, om zo te voorkomen dat iemand via sim-swapping het nummer steelt. Hoe de database van Dubsmash kon worden gestolen is niet bekendgemaakt. bron: security.nl

Verschillende eigenaren van een D-Link DNS-320 NAS zijn getroffen door ransomware die allerlei bestanden op het apparaat versleutelt. Hoe de NAS-systemen besmet konden raken is op dit moment nog onbekend, maar vermoedelijk maken de aanvallers gebruik van kwetsbaarheden in de firmware. Sommige gebruikers die door de "Cr1ptT0r-ransomware" werden getroffen bevestigden dat ze verouderde firmware gebruikten en het apparaat op internet was aangesloten. In 2012 werd er een kwetsbaarheid in de DNS-320 gevonden waardoor een aanvaller op afstand code op de NAS-systemen kan uitvoeren. De DNS-320 NAS wordt inmiddels niet meer door D-Link aangeboden en de laatste firmware-update dateert van 2016. Vorig jaar werd bekend dat er in oudere firmwareversies van de DNS-320L ShareCenter een hardcoded backdoor aanwezig is waardoor een aanvaller beheerderstoegang kan krijgen. Voor het ontsleutelen van alle bestanden moeten slachtoffers zo'n 1200 dollar betalen. Het is ook mogelijk om een enkel bestand te ontsleutelen, waarvoor 20 dollar moet worden betaald. Gebruikers moeten in dit geval het versleutelde bestand naar de aanvallers sturen, waarna het ontsleutelde bestand wordt teruggestuurd, zo meldt Bleeping Computer. bron: security.nl

Firefox gaat deze zomer standaard third-party trackers blokkeren, zodat gebruikers niet meer over meerdere websites kunnen worden gevolgd. Een maatregel die zowel voor adverteerders, websites als rapportages over het marktaandeel van Firefox gevolgen zal hebben. Dat heeft Mozillas Jen Simmons bekendgemaakt. De browserontwikkelaar wil dit jaar actiever de privacy van Firefoxgebruikers gaan beschermen. De afgelopen maanden zijn er al verschillende opties aan de browser toegevoegd om first- en third-party trackers en cookies te blokkeren. Gebruikers moeten deze privacymaatregelen op dit moment nog zelf inschakelen. Mozilla heeft echter aangekondigd dat het cross-site trackingcookies standaard gaat blokkeren. Bij cross-site tracking worden internetgebruikers over meerdere websites gevolgd. Het gaat dan onder andere om advertentietrackers die voor gerichte advertenties worden gebruikt. De maatregel zal dan ook worden gevoeld door advertentiebedrijven, maar zou uitgevers en websites op de lange termijn helpen, aldus Mozilla. De browserontwikkelaar stelt dat het blokkeren van deze trackers ervoor kan zorgen dat websites niet goed meer werken. Met name bij websites die third-party content integreren. Daarom is Mozilla begonnen met het testen van de maatregel onder een selecte groep gebruikers. Het was nog onduidelijk wanneer de maatregel zou worden ingeschakeld, maar Simmons meldt dat het deze zomer zal gebeuren. Het blokkeren van trackers heeft ook gevolgen voor Firefox zelf. Het zorgt er namelijk voor dat het marktaandeel van Firefox in overzichten kleiner wordt weergegeven dan het in werkelijkheid is. Mozilla zegt het beschermen van gebruikers belangrijker te vinden dan metingen over het marktaandeel. Het verkeerd weergeven van het marktaandeel kan er ook voor zorgen dat webontwikkelaars geen rekening met Firefox houden, omdat ze denken dat minder mensen de browser gebruiken dan daadwerkelijk het geval is. bron: security.nl

Twee van de grootste datalekken van vorig jaar, waarbij gegevens van 235 miljoen mensen werden gestolen, zijn aan de zoekmachine Have I Been Pwned toegevoegd. Het gaat om de inbraken bij MyFitnessPal, een app van sportkledingfabrikant Under Armour, en dna-testdienst MyHeritage. Bij MyFitnessPal wisten criminelen 144 miljoen unieke e-mailadressen en gebruikersnamen te stelen, alsmede ip-adressen en met sha-1 en bcrypt gehashte wachtwoorden. De data van MyFitnessPal-gebruikers werd begin dit jaar op internet te koop aangeboden, zo meldt onderzoeker Troy Hunt, beheerder van Have I Been Pwned. Via de zoekmachine kunnen gebruikers in meer dan 6,7 miljard gestolen records zoeken of hun data ooit bij een website is gestolen. Van de ruim 144 miljoen gestolen e-mailadressen van MyFitnessPal-gebruikers was 59 procent al via een ander datalek bij Have I Been Pwned bekend. Dna-testdienst MyHeritage meldde vorig jaar juni dat het in 2017 getroffen was door een datalek waarbij gegevens van 92 miljoen gebruikers waren buitgemaakt. Het ging om meer dan 92 e-mailadressen en gesalte sha-1 wachtwoordhashes. Ook gegevens van dit datalek werden begin dit jaar op internet te koop aangeboden, aldus Hunt. Van de ruim 92 miljoen gestolen e-mailadressen was 61 procent al via een ander datalek bij Have I Been Pwned bekend. In de praktijk blijkt dat aanvallers de wachtwoordhashes proberen te kraken, om zo het wachtwoord te achterhalen en voor credential stuffing te gebruiken. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. bron: security.nl