Captain Kirk

Ruim 100.000 Chrome-extensies in de Chrome Web Store hebben geen privacybeleid waarin staat vermeld hoe er met gegevens van de gebruiker wordt omgegaan. Verder gebruiken 38.000 extensies third-party libraries met bekende kwetsbaarheden en kunnen meer dan 42.000 extensies alle data op bezochte websites lezen. Dat blijkt uit onderzoek van securitybedrijf Duo. In de Chrome Web Store zijn 180.000 items te vinden, waaronder extensies, themes en Chrome-apps. De onderzoekers vonden en verwerkten meer dan 120.000 Chrome-extensies en -apps. Vervolgens werden de onderzochte extensies en apps op verschillende onderdelen beoordeeld. Bijna 85 procent van de onderzochte extensies heeft geen privacybeleid, wat op meer dan 100.000 extensies neerkomt. Tevens kan 9 procent van de extensies de cookies van de gebruiker lezen. Volgens de onderzoekers moeten organisaties dan ook goed kijken welke Chrome-extensies ze binnen hun omgeving toestaan. bron: security.nl

Adobe heeft voor de tweede keer deze maand een beveiligingsupdate uitgebracht voor een ernstig beveiligingslek in Acrobat Reader waardoor het mogelijk was om NTLMv2-wachtwoordhashes van gebruikers te achterhalen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. Adobe heeft de afgelopen jaren verschillende keren beveiligingslekken gepatcht waardoor het mogelijk was voor een aanvaller om de NTLM-hash te stelen. Onderzoeker Alex Inführ ontdekte onlangs dat dergelijke aanvallen tegen de pdf-lezer nog steeds mogelijk zijn. De onderzoeker maakte details van het beveiligingslek bekend voordat er een update van Adobe beschikbaar was. Op dinsdag 12 februari verscheen er een update van het softwarebedrijf om gebruikers te beschermen. De oplossing van Adobe bleek niet adequaat en kon door een aanvaller worden omzeild, waardoor het nog steeds mogelijk was om via een kwaadaardig pdf-document wachtwoordhashes van slachtoffers te stelen. Daarom heeft Adobe weer een update uitgebracht. Informatielekken worden meestal niet als ernstig bestempeld. Aangezien het in dit geval mogelijk is om wachtwoordhashes te stelen spreekt Adobe nu wel van een ernstige kwetsbaarheid. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20098, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30127, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30482 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

Vorig lanceerde Mozilla de wachtwoordmanager Lockbox voor de iOS-versie van Firefox, maar een versie voor Firefox Desktop is ook in ontwikkeling. Dat heeft de browserontwikkelaar bekendgemaakt. Lockbox is een wachtwoordmanager waarmee gebruikers de wachtwoorden die ze in de desktopversie van Firefox hebben opgeslagen ook op hun smartphone of tablet kunnen gebruiken. Om van Lockbox gebruik te kunnen maken moeten gebruikers wel eerst een Firefox Account aanmaken. Vervolgens moeten gebruikers op hun mobiele toestel op het Firefox Account inloggen en zullen alle wachtwoorden worden gesynchroniseerd. Toegang tot de app kan zowel met Face ID als de vingerafdrukscanner worden beveiligd. Mozilla meldt nu dat er ook een Lockbox voor de desktopversie van Firefox in ontwikkeling is. Deze versie zal als webextensie beschikbaar worden gemaakt. Op dit moment is Lockbox beschikbaar als Engelstalige app voor iOS-gebruikers. Volgens de FAQ is die alleen door gebruikers in bepaalde regio's te gebruiken, waaronder Australië, Nieuw-Zeeland, Verenigd Koninkrijk en Canada. Een Android-versie is ook in ontwikkeling. Wanneer de Android-versie en webextensie verschijnen is nog niet bekend. bron: security.nl

De ontwikkelaars van het contentplatform Drupal hebben beveiligingsupdates uitgebracht voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand PHP-code kan uitvoeren en de website kan overnemen. Het beveiligingslek is door het Drupal-team als zeer ernstige bestempeld. Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt. Beheerders van Drupal-websites krijgen het advies om te upgraden naar Drupal 8.6.10 of Drupal 8.5.11. In het geval van Drupal 7 vereist de Services module geen update op dit moment. Voor verschillende zogeheten "Drupal 7 contributed modules" zijn wel updates uitgekomen. Om de kwetsbaarheid meteen te verhelpen kunnen beheerders alle web services modules uitschakelen of de webserver zo configureren dat PUT/PATCH/POST-verzoeken naar web services niet worden toegestaan. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet. bron: security.nl

Internetgebruikers die anoniem bestanden willen uitwisselen of niet willen dat hun bestanden op de servers van grote techbedrijven belanden kunnen voortaan van OnionShare 2 gebruikmaken. OnionShare is een opensourcetool voor het beveiligd en anoniem uitwisselen van bestanden via het Tor-netwerk. De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken. "In tegenstelling tot diensten zoals e-mail, Google Drive, DropBox, WeTransfer of bijna alle andere manieren waarop mensen bestanden onderling uitwisselen, geef je met OnionShare bedrijven geen toegang tot de bestanden die je deelt. Zolang je het niet te raden Tor-adres op een veilige manier uitwisselt, kan niemand behalve jij en de persoon met wie je deelt je bestanden benaderen", aldus Micah Lee, die bij de ontwikkeling was betrokken. De tool is te downloaden via onionshare.org. bron: security.nl

Mozilla is onder een selecte groep Firefoxgebruikers begonnen met het testen van de verbeterde trackingbescherming die onlangs werd aangekondigd. Om de privacy van Firefoxgebruikers te beschermen wil de browserontwikkelaar cookies en opslagtoegang van third-party trackers standaard gaan blokkeren. Dit kan echter gevolgen hebben voor de werking van websites. Daarom heeft Mozilla besloten om "content blocking" onder een selecte groep Firefoxgebruikers te testen. Mochten deze gebruikers op websites tegen problemen aanlopen, dan kunnen ze dit melden. Daarnaast is het mogelijk om de trackingbescherming op de betreffende website uit te schakelen, zodat die wel werkt. Mozilla zegt de resultaten van het experiment te monitoren, zodat gebruikers straks, als de trackingbescherming standaard wordt ingeschakeld, zo min mogelijk hinder ondervinden. bron: security.nl

Het afgelopen jaar zijn duizenden webwinkels getroffen door formjacking, waarbij criminelen allerlei vertrouwelijke gegevens wisten te stelen van klanten die een online bestelling plaatsen. Dat laat anti-virusbedrijf Symantec in het jaarlijkse dreigingsrapport weten. Bij formjacking wordt er kwaadaardige code aan de betaalpagina van de webwinkel toegevoegd die door de klant ingevoerde gegevens terugstuurt naar de criminelen. Criminelen hebben het met name voorzien op creditcardgegevens, waarmee vervolgens wordt gefraudeerd. Formjacking bij webwinkels komt al jaren voor. Sinds 2016 weten criminelen op deze manier creditcardgegevens en andere data van online consumenten te stelen. Vorig jaar kende deze vorm van cybercrime volgens Symantec een doorbraak. Zo kregen verschillende grote webwinkels en bedrijven met formjacking te maken, waaronder Ticketmaster, British Airways en elektronicawebwinkel Newegg. Om de kwaadaardige code op de betaalpagina van de webwinkel te krijgen maken criminelen onder andere gebruik van third-party code die op een webwinkel draait. Het gaat dan bijvoorbeeld om scripts die webwinkels op hun website plaatsen om met klanten te communiceren, voor het verzamelen van klantbeoordelingen gebruiken of voor gerichte advertenties inzetten. Criminelen weten deze scripts aan te passen en van kwaadaardige code te voorzien die ingevoerde gegevens onderschept. Hierdoor worden alle webwinkels getroffen die van het betreffende script gebruikmaken. In andere gevallen wordt de webwinkel direct gehackt, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware Magento. Het gaat dan om bekende beveiligingslekken waarvoor beveiligingsupdates beschikbaar zijn, maar die niet door de beheerders zijn uitgerold. Symantec stelt dat elke maand 4800 unieke webwinkels het slachtoffer van formjacking worden. Het zijn met name kleine- en middelgrote retailers die volgens Symantec hiermee te maken krijgen. Afgelopen november verscheen er onderzoek van de Nederlandse beveiligingsonderzoeker Willem de Groot waarin werd gesteld dat door formjacking getroffen webwinkels vaak snel opnieuw besmet worden. Zo worden er na de initiële hack overal backdoors en adminaccounts op de server toegevoegd. Ook maken criminelen gebruik van database-triggers en verborgen periodieke taken om de kwaadaardige code weer aan de pagina's toe te voegen. Een andere reden is het gebruik van obfuscatietechnieken waardoor de kwaadaardige code lastig van legitieme code is te onderscheiden. bron: security.nl

Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland. De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk. "Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is. bron: security.nl

De ontwikkelaars van de populaire archiefsoftware WinRAR hebben besloten om de ondersteuning van het ACE-formaat te stoppen wegens een beveiligingslek. ACE is net als ZIP en RAR een archiefformaat. De DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden, zo ontdekten onderzoekers van securitybedrijf Check Point. Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de startup-map van Windows te plaatsen. Dit bestand zou bij een herstart van het systeem worden uitgevoerd en de aanvaller volledige controle over de computer kunnen geven. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft is besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 beta 1 en nieuwer te stoppen. Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. Het is daardoor ook een aantrekkelijk doelwit voor aanvallers. Vorig jaar oktober loofde een bedrijf dat zero-days van onderzoekers inkoopt nog een beloning uit van 100.000 dollar voor zero-days in WinRAR. bron: security.nl

Een beveiligingslek in WordPress maakt het mogelijk voor aanvallers om kwetsbare websites over te nemen en een update die het probleem verhelpt is nog niet beschikbaar. Via de kwetsbaarheid kan een WordPress-gebruiker met de rol van auteur of hoger willekeurige PHP-code op de onderliggende server uitvoeren en zo de website volledig overnemen. De kwetsbaarheid werd door securitybedrijf RIPS Technologies ontdekt en op 16 oktober vorig jaar aan het WordPress-ontwikkelteam gemeld. Op dat moment bleek dat het beveiligingslek al 6 jaar in de code van WordPress aanwezig was. Afgelopen december kwam het WordPress-team met WordPress 5.0.1. Deze update verhelpt niet de kwetsbaarheid, maar zorgt ervoor dat de aanvalsvector niet meer werkt. WordPress-sites lopen echter nog steeds risico. Doordat het onderliggende probleem niet is verholpen kan de aanvalsvector nog steeds aanwezig zijn als er kwetsbare plug-ins zijn geïnstalleerd. Via de plug-ins is het mogelijk om het beveiligingslek aan te vallen. WordPress heeft inmiddels een patch ontwikkeld die het probleem wel verhelpt, maar die patch is nog niet uitgerold. Het is ook nog onbekend wanneer deze update zal verschijnen. RIPS Technologies heeft nu besloten om de details toch openbaar te maken aangezien WordPress vier maanden de tijd heeft gehad om met een werkende update te komen. Daarnaast heeft het bedrijf ook een soortgelijke kwetsbaarheid bij WordPress gemeld die nog niet is gepatcht, maar over dit lek zijn geen details gegeven. Zowel het eerste beveiligingslek, waarvoor een patch is ontwikkeld maar nog niet uitgerold, als de tweede kwetsbaarheid die nog niet is gepatcht, vereisen dat een aanvaller met de rechten van "auteur" content aan een WordPress-site kan toevoegen. WordPress-sites krijgen het advies om in ieder geval de meest recente versie te installeren en te kijken naar plug-ins waar aanvallers misbruik van zouden kunnen maken. bron: security.nl

Een kwetsbaarheid in de populaire IRC-client mIRC laat een aanvaller op afstand code uitvoeren en zo in het ergste geval systemen volledig overnemen. Een beveiligingsupdate is beschikbaar en gebruikers krijgen het advies om zo snel als mogelijk te updaten naar versie 7.55 die op 8 februari uitkwam. MIRC is een Internet Relay Chat (IRC) client voor Windows waarvan de eerste versie in 1995 verscheen. Sindsdien is het programma alleen via Download.com al ruim 42 miljoen keer gedownload. MIRC maakt net zoals allerlei andere programma's gebruik van een eigen URI protocol handler. URI staat voor Uniform Resource Identifier en is een reeks karakters om een naam of bron te identificeren, zoals een URL. De IRC-client registreert zich als standaardprogramma voor een bepaald protocol, zoals "mircurl://" of "irc://". Onderzoekers van ProofOfCalc ontdekten dat de protocol handlers van mIRC bepaalde parameters niet goed escapen. Daardoor kan een aanvaller op afstand een configuratiebestand laden en zo automatisch willekeurige code uitvoeren. De enige vereiste is dat het slachtoffer een malafide link opent, zo laten de onderzoekers in hun demonstratie zien. Aangezien er nu een exploit voor de kwetsbaarheid beschikbaar is doen gebruikers er verstandig aan om de update te installeren. bron: security.nl

Om Firefox-gebruikers tegen malafide extensies te beschermen heeft Mozilla verschillende maatregelen aangekondigd, waaronder het aanbieden van een lijst met handige en waardevolle extensies. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. "Het vinden van de balans tussen openheid en security is een zeer lastig probleem om op te lossen, maar we gaan het aanpakken door dit jaar en volgend jaar een aantal aanpassingen aan het ecosysteem door te voeren", zegt Nick Nguyen van Mozilla. De browserontwikkelaar zal gebruikers een lijst bieden met handige en waardevolle extensies. Daarnaast wil Mozilla gebruikers helpen bij het beter begrijpen van de risico's die extensies kunnen vormen en hen de tools geven om deze risico's te beheren. Tevens wil Mozilla het risico verkleinen van het tonen van potentieel kwaadaardige extensies via de eigen producten en diensten. "Nu we de toekomst van add-ons verkennen blijft de veiligheid en privacy van gebruikers een prioriteit. We zullen verschillende dingen testen en proberen, en met ontwikkelaars samenwerken om een goed uitgangspunt te vinden waar we zeker zijn dat onze gebruikers veilig zijn als ze Firefox gebruiken", besluit Nguyen. bron: security.nl

Bijna 60 domeinen konden bij gebruikers van Microsoft Edge Flash-content uitvoeren zonder dat gebruikers hier toestemming voor moesten geven. Google-onderzoeker Ivan Fratric wist 56 van de 58 gehashte domeinen op de whitelist van Microsoft te kraken en ontdekte dat tal van opmerkelijke domeinen de Flash Click2Play-beveiliging van Edge mochten omzeilen. Het ging onder andere om de website van een Spaanse kapper en een aanbieder van multimedia posters. De Click2Play-beveiliging zorgt ervoor dat gebruikers eerst op een bevestiging moeten klikken voordat de Flash-content wordt uitgevoerd. Volgens Fratric is de whitelist van Microsoft voor verschillende redenen onveilig. Zo is het mogelijk om via cross-site scripting op de gewhiteliste domeinen de Click2Play-beveiliging te omzeilen. Fratric merkt op dat er verschillende bekende en ongepatchte cross-site scripting-kwetsbaarheden op een aantal van de gewhiteliste domeinen aanwezig zijn. De whitelist is daarnaast niet beperkt tot https, waardoor een aanvaller via een man-in-the-middle-aanval Click2Play kan omzeilen. De Google-onderzoeker waarschuwde Microsoft op 26 november vorig jaar. Vorige week werd het probleem door Microsoft verholpen. De whitelist is naar twee domeinen teruggebracht en vereist nu de aanwezigheid van https. bron: security.nl

Het hoofdwachtwoord van wachtwoordmanagers is in bepaalde gevallen uit het geheugen van de pc te halen, zo hebben onderzoekers van Independent Security Evaluators aangetoond. Een aanvaller die hier misbruik van wil maken moet toegang tot de computer hebben, bijvoorbeeld via malware of fysiek. Volgens de onderzoekers en de aanbieders van wachtwoordmanagers vormt het probleem dan ook een klein risico voor gebruikers. Voor het onderzoek werd er gekeken naar de wachtwoordmanagers 1Password 7, 1Password 4, Dashlane, KeePass en LastPass op Windows 10. De onderzoekers wilden weten of er informatie van de wachtwoordmanagers uit het geheugen kan worden gehaald als de wachtwoordmanagers nog niet zijn gestart, zijn gestart en ontgrendeld en zijn gestart, maar de gebruiker vervolgens is uitgelogd. Bij geen van de wachtwoordmanagers is het mogelijk om informatie uit het geheugen te stelen als de programma's nog niet zijn gestart. In de ontgrendelde staat konden de onderzoekers het hoofdwachtwoord en andere geheimen die in de wachtwoordmanagers waren opgeslagen uit het geheugen halen. Iets wat volgens de onderzoekers waarschijnlijk wordt veroorzaakt door geheugenlekken. Tegenover de Washington Post laat LastPass weten dat het deze week met een update komt. Dashlane zou ook aan een oplossing werken. KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico. Ook de onderzoekers stellen dat zelfs wanneer de wachtwoordmanagers alles goed zouden doen, een aanvaller nog steeds via een keylogger of "clipboard sniffing" toegang tot wachtwoorden kan krijgen, aangezien de wachtwoordmanagers hier geen bescherming tegen bieden. bron: security.nl

Slachtoffers van de nieuwste versie van de GandCrab-ransomware kunnen nu gratis hun bestanden ontsleutelen. De Roemeense politie heeft in samenwerking met anti-virusbedrijf Bitdefender en Europol een tool ontwikkeld waarmee slachtoffers hun bestanden kosteloos kunnen terugkrijgen. GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. Eenmaal actief versleutelt de ransomware allerlei bestanden en vraagt honderden euro's voor het ontsleutelen van de bestanden. De eerste versie van de ransomware werd vorig jaar januari opgemerkt. Volgens Europol heeft de ransomware sindsdien meer dan 500.000 slachtoffers gemaakt. Vorig jaar februari verscheen er al een decryptietool voor GandCrab. Deze tool werkte echter alleen bij de eerste versie van de ransomware. Na het verschijnen van de decryptietool ontwikkelden de criminelen achter GandCrab een nieuwe versie waarbij de decryptietool niet meer werkte. In oktober werd er een nieuwe decryptietool ontwikkeld die ook met GandCrab-versies 4 en 5 werkte. Deze twee gratis decryptietools zijn meer dan 400.000 keer gedownload en hebben zo'n 10.000 slachtoffers geholpen met het kosteloos terugkrijgen van hun bestanden. De nieuwste decryptietool die vandaag is gelanceerd werkt zowel met de oudere versies, als met versie 5.0.4 tot en met versie 5.1, de laatste versie van de ransomware. De GandCrab-decryptietool is te downloaden via de website van No More Ransom, een project van de Nederlandse politie, Europol en verschillende antivirus- en securitybedrijven. bron: security.nl

Wie bij Starbucks een kop koffie haalt doet er verstandig aan om niet zijn echte naam te geven, zo stelt beveiligingsexpert Jake Moore van anti-virusbedrijf ESET. Medewerkers van de koffieketen vragen aan klanten hun naam en schrijven die op de koffiebeker. Moore vertelt hoe hij laatst in de trein naar Londen zat achter een man met zijn laptop en gepersonaliseerde koffiebeker. Aan de hand van het bedrijfslogo dat als achtergrond op de laptop was ingesteld en de naam op de beker wist de expert de volledige naam en LinkedIn-profiel van de man te vinden, alsmede zijn persoonlijke e-mailadres, Twitternaam en hobby's. Via de fitness-app Strava lukte het Moore om de hardloop- en fietsroutes van de man te achterhalen. "Op dit moment denken mensen mogelijk "wat maakt het uit?" of "wat kan een hacker echt met mijn informatie doen?" Deze houding zorgt ervoor dat mensen problemen met hun cybersecurity krijgen", stelt Moore. Een aanvaller kan de informatie bijvoorbeeld voor gerichte aanvallen gebruiken. En ook al heeft iemand zijn eigen security op orde, een aanvaller kan met deze gegevens het doelwit aanvallen via bijvoorbeeld een familielid dat de beveiliging niet op orde heeft. Volgens Moore is het daarom beter bij Starbucks en andere plekken die om een naam vragen een pseudoniem op te geven. "Waarom zou een koffieketen je naam moeten weten", merkt de expert op. Hij erkent ook dat dergelijk advies niet altijd wordt opgevolgd. "Mensen veranderen niet eenvoudig en als mensen niet om het probleem geven, is het lastiger om ze te overtuigen om niet in potentiële valkuilen te trappen." bron: security.nl

Een beveiligingslek in Facebook maakte het mogelijk voor aanvallers om willekeurige accounts over te nemen. De kwetsbaarheid zorgde ervoor dat een aanvaller zijn e-mailadres en telefoonnummer aan het account van de gebruiker had kunnen toevoegen. Vervolgens had het wachtwoord via een wachtwoordreset kunnen worden aangepast en had de aanvaller op het account kunnen inloggen. Om de aanval uit te voeren moest een aanvaller het slachtoffer wel eerst op een link laten klikken. Een onderzoeker genaamd Samm0uda ontdekte het probleem en waarschuwde Facebook op 26 januari. Vijf dagen later had het sociale netwerk de kwetsbaarheid verholpen en ontving de onderzoeker voor zijn melding 25.000 dollar. bron: security.nl

Onderzoekers hebben in de Microsoft Store acht malafide apps ontdekt die de rekenkracht van computers gebruikten voor het delven van cryptovaluta. Dat laat anti-virusbedrijf Symantec weten. Het gaat om apps die zich voordeden als vpn, YouTube-downloader, opschoontool en zoek-app. Na de installatie werd er door de apps een JavaScript-library gedownload en uitgevoerd. Het bleek om de Coinhive-library te gaan die computers naar de cryptovaluta Monera laat delven. De apps waren tussen april en december vorig jaar in de Microsoft Store gepubliceerd. "Hoewel de apps een relatief korte periode in de Store stonden, heeft mogelijk een groot aantal gebruikers ze gedownload", aldus de onderzoekers. Na te zijn ingelicht heeft Microsoft de malafide apps uit de Store verwijderd. bron: security.nl

Er is een nieuwe versie van de populaire e-mailclient Thunderbird verschenen waarin vier kwetsbaarheden zijn verholpen, waaronder een beveiligingslek waardoor het spoofen van handtekeningen mogelijk was. Een fout tijdens de verificatie van sommige S/MIME-handtekeningen zorgde ervoor dat Thunderbird liet zien dat e-mails over een geldige digitale handtekening beschikten, ook al was de inhoud van de e-mail niet gedekt door de handtekening. Door deze kwetsbaarheid had een aanvaller een geldige S/MIME-handtekening kunnen hergebruiken om een e-mailbericht met willekeurige content op te stellen, aldus Mozilla. Het beveiligingslek was ontdekt door onderzoeker Damian Poddebniak, die ook betrokken was bij de EFAIL-aanval. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. De overige drie kwetsbaarheden in Thunderbird werden eerder door Mozilla in Firefox gepatcht. Firefox en Thunderbird delen een deel van de code. Via de beveiligingslekken was het in Firefox mogelijk geweest om een potentieel te misbruiken crash te veroorzaken. Gebruikers van Thunderbird zouden geen risico hebben gelopen, omdat deze beveiligingslekken in het algemeen niet via e-mail zijn te misbruiken. Bij het lezen van e-mails in Thunderbird staat scripting namelijk standaard uitgeschakeld. Updaten naar Thunderbird 60.5.1 kan via de automatische updatefunctie. bron: security.nl

Voor gebruikers van Firefox en Tor Browser zijn nieuwe versies verschenen, mede vanwege een beveiligingslek dat door Google werd gevonden. In Firefox 65.0.1 zijn vier kwetsbaarheden verholpen waardoor websites informatie van andere geopende websites hadden kunnen achterhalen, of code in die websites konden injecteren. Daarnaast gaat het om twee kwetsbaarheden die voor een "potentieel te misbruiken crash" konden zorgen. Eén van deze beveiligingslekken werd ontdekt door onderzoeker Ivan Fratric van Google Project Zero. Dit is een speciaal team van Google dat naar kwetsbaarheden in veelgebruikte software zoekt. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Mozilla.org. Vanwege de beveiligingsupdates is ook de op Firefox-gebaseerde Tor Browser bijgewerkt. Dagelijks maken zo'n 2 miljoen mensen gebruik van Tor Browser om hun privacy te beschermen. Deze gebruikers wordt geadviseerd om naar Tor Browser 8.0.6 te updaten, wat kan via de automatische updatefunctie van de browser. bron: security.nl

DataCamp, het Belgische online leerplatform voor statistisch programmeren en data-analyse, is getroffen door een datalek. Aanvallers wisten toegang tot de data van gebruikers te krijgen, zo heeft de spin-off van de KU Leuven in een e-mail aan gebruikers en via de eigen website bekendgemaakt. Volgens het bedrijf zijn namen, e-mailadressen, locatie, bedrijfsnaam, opleiding, foto, met bcrypt gehashte wachtwoorden, registratiedatum, inlogdatum en ip-adressen in handen van aanvallers gekomen. DataCamp laat niet weten hoe de aanvallers toegang wisten te krijgen. Wel meldt het bedrijf dat er al stappen zijn genomen om het incident te beperken. "Onze inzet om onze gebruikers te beschermen en herhaling van een dergelijk incident in de toekomst te voorkomen hebben onze hoogste prioriteit", aldus de melding aan gebruikers. Alle getroffen gebruikers hebben inmiddels een e-mail ontvangen waarin wordt geadviseerd het gebruikte wachtwoord te resetten. Het datalek kwam aan het licht nadat criminelen op internet 617 miljoen gestolen accountgegevens aanboden, afkomstig van zestien gehackte websites. Volgens de aanbieder van de gestolen data gaat het om de gegevens van 700.000 DataCamp-gebruikers. bron: security.nl

Microsoft heeft tijdens de tweede patchdinsdag van dit jaar een actief aangevallen kwetsbaarheid in Internet Explorer gepatcht, alsmede 73 andere kwetsbaarheden. Via het beveiligingslek in IE, dat door Google werd ontdekt, konden aanvallers naar de aanwezigheid van bepaalde bestanden op de computer zoeken. Hiervoor moest het slachtoffer eerst een kwaadaardige website bezoeken. Tegen wie deze kwetsbaarheid is ingezet, hoe die werd ontdekt en naar welke bestanden aanvallers precies zochten laat Microsoft niet weten. Zogeheten "information disclosure" kwetsbaarheden zijn in het verleden gebruikt om informatie over aangevallen systemen te verzamelen. Op deze manier konden aanvallers kijken of er bepaalde beveiligingssoftware aanwezig was of dat het om een virtueel of geautomatiseerd systeem van een onderzoeker of securitybedrijf ging. Volgens Net Applications heeft Internet Explorer nog een marktaandeel van meer dan 10 procent op de desktop/laptop. Verder zijn er deze maand maar liefst vier kwetsbaarheden verholpen waarvan de details al voor het verschijnen van de beveiligingsupdate openbaar waren gemaakt. Volgens Microsoft zijn er echter geen aanvallen waargenomen die van deze beveiligingslekken misbruik maakten. Het gaat als eerste om een informatielek in Windows waardoor een aanvaller de inhoud van bestanden op de computer kon lezen. De tweede kwetsbaarheid bevond zich in Exchange Server en had een aanvaller dezelfde rechten kunnen geven als alle andere gebruikers. Een aanvaller had zo de mailboxen van gebruikers kunnen benaderen en lezen. De overige twee publieke beveiligingslekken waren in Team Foundation Server aanwezig. Via deze kwetsbaarheden had een aanvaller content kunnen lezen waar hij geen rechten voor had, kwaadaardige code kunnen uitvoeren en acties in naam van gebruikers kunnen uitvoeren, zoals het aanpassen en verwijderen van content. De overige kwetsbaarheden die Microsoft deze maand heeft gepatcht bevonden zich in Internet Explorer, Microsoft Edge, Windows, Microsoft Office, ChakraCore .NET Framework, Exchange Server, Visual Studio, Azure IoT SDK, Microsoft Dynamics, Team Foundation Server en Visual Studio Code. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Adobe heeft tijdens de patchdinsdag van februari updates uitgebracht voor Acrobat Reader, Flash Player en ColdFusion die bij elkaar 74 kwetsbaarheden verhelpen. De meeste kwetsbaarheden zijn in Adobe Acrobat Reader verholpen. In totaal gaat het om 71 beveiligingslekken. Via de kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardige pdf-document is in dit geval voldoende. De resterende beveiligingslekken zijn door Adobe als "belangrijk" bestempeld en maakten het mogelijk om informatie te achterhalen. Het gaat onder andere om een kwetsbaarheid waardoor een aanvaller NTLM-wachtwoordhashes had kunnen stelen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20091, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30120, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30475 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. Flash Player en ColdFusion De nieuwste versie van Adobe Flash Player verhelpt één "belangrijke" kwetsbaarheid waarmee een aanvaller informatie kon achterhalen. Gebruikers krijgen het advies om snel te updaten naar Flash Player 32.0.0.142. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. In ColdFusion, een platform voor het ontwikkelen van webapplicaties, zijn twee kwetsbaarheden opgelost. Een aanvaller zou hierdoor op afstand willekeurige code kunnen uitvoeren en systemen in het ergste geval kunnen overnemen. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. Beheerders wordt geadviseerd te updaten naar ColdFusion 2018 Update 2, ColdFusion 2016 Update 8 of ColdFusion 11 Update 16. Adobe zegt niet bekend te zijn met exploits voor de nu verholpen kwetsbaarheden. bron: security.nl

Een beveiligingsonderzoeker heeft een malafide usb-kabel ontwikkeld waarmee het mogelijk is om via wifi commando's op het aangesloten systeem uit te voeren. De onderzoeker, met het alias MG, had naar eigen zeggen zo'n 300 uur en 4.000 dollar nodig om de "O.MG-kabel" te ontwikkelen. Zodra de kabel is aangesloten op een systeem, is het mogelijk om via wifi commando's uit te voeren, net alsof een aanvaller toegang tot het toetsenbord of de muis heeft. De kabel wordt door het systeem namelijk als een HID (Human Interface Device) herkend. De computer denkt in dit geval dat de kabel een toetsenbord en een muis is. Door het toevoegen van een wifi-chip is het vervolgens mogelijk om het "toetsenbord" op afstand te bedienen. Zo kunnen er bijvoorbeeld phishingpagina's op het aangevallen systeem worden getoond, maar zijn ook andere aanvallen mogelijk. In het verleden hebben onderzoekers vaker HID-aanvallen gedemonstreerd. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board van Google-onderzoeker Elie Bursztein. MG laat weten dat hij een aantal kabels gaat maken voor mensen in de security-industrie. Het is nog onbekend of hij ze zal weggeven of zal verkopen. "Maar verkopen maakt ze eenvoudiger te verkrijgen", aldus de onderzoeker. bron: security.nl

Een ongepatcht beveiligingslek in Adobe Acrobat Reader maakt het mogelijk voor een aanvaller om via een kwaadaardig pdf-document de NTLMv2-wachtwoordhash van het slachtoffer te achterhalen. In afwachting van een beveiligingsupdate kunnen gebruikers zich beschermen via de Protected View-optie. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. In het verleden heeft Adobe verschillende keren beveiligingslekken gepatcht waardoor het mogelijk was voor een aanvaller om de NTLM-hash te stelen. Onderzoeker Alex Inführ ontdekte dat dergelijke aanvallen tegen de pdf-lezer nog steeds mogelijk zijn. Inführ ontwikkelde een proof-of-concept-exploit om de aanval te demonstreren. Op Twitter laat hij weten dat hij het probleem niet bij Adobe heeft gemeld. Wel stelt de onderzoeker dat gebruikers zich kunnen beschermen door het inschakelen van Protected View. Dit kan via Edit > Settings > Security (Advanced) > Protected View: Enable for all files. bron: security.nl