Captain Kirk

😂

Adobe heeft tijdens de patchdinsdag van mei maar liefst 84 kwetsbaarheden in Adobe Acrobat en Acrobat Reader verholpen. Het gaat om één van de grootste updates in de geschiedenis van de twee pdf-lezers. Via 48 van de 84 beveiligingslekken had een aanvaller willekeurige code kunnen uitvoeren als een gebruiker een kwaadaardig pdf-bestand zou openen. De overige kwetsbaarheden maakten het mogelijk om informatie te achterhalen. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. 28 van de lekken werden gevonden door onderzoekers van securitybedrijf Palo Alto Networks. Tevens werden 18 kwetsbaarheden door onderzoeker Steven Seeley gerapporteerd. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.012.20034, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30142, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30497 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Vorig jaar kwam de grootste update tot nu toe uit voor Acrobat, toen werden er in één keer 104 kwetsbaarheden verholpen. bron: security.nl

Aanvallers hebben de WebStorage-software van fabrikant ASUS gebruikt om systemen met malware te infecteren, zo hebben onderzoekers van antivirusbedrijf ESET ontdekt. WebStorage is een cloudopslagdienst waar gebruikers hun bestanden kunnen opslaan. Gebruikers installeren de WebStorage-software op hun computer en kunnen zo met de cloud communiceren. Onderzoekers ontdekten eind april van dit jaar verschillende pogingen om de Plead-backdoor op systemen te installeren. Bij deze pogingen werd er gebruik gemaakt van het updateproces van de WebStorage-software. Dit zou verschillende scenario's kunnen inhouden, waaronder een "supply chain" aanval waarbij de updateservers van ASUS zouden zijn gebruikt. In maart werd al bekend dat aanvallers ASUS Live Update hadden gebruikt om malware te verspreiden en hierbij de infrastructuur van de Taiwanese computerfabrikant hadden gecompromitteerd. In het geval van de Plead-backdoor is het scenario van een supply chain-aanval echter een onwaarschijnlijker scenario, omdat er geen aanwijzingen zijn dat de WebStorage-servers ooit malware hebben verspreid. Daarnaast werden er losse malwarebestanden gebruikt, in plaats van de kwaadaardige functionaliteit aan de legitieme software toe te voegen. De onderzoekers keken daarom naar een andere mogelijkheid, het gebruik van een man-in-the-middle-aanval. Het WebStorage-updateproces vindt namelijk plaats via het onversleutelde http. Tevens blijkt de software de authenticiteit van aangeboden updates niet te controleren. Een aanvaller die tussen de gebruiker en het internet zit kan zo een kwaadaardige update aanbieden die vervolgens automatisch wordt geïnstalleerd. Een man-in-the-middle-aanval zou mogelijk zijn via medewerking van de internetprovider, of het compromitteren van de router van het slachtoffer. De makers van de Plead-backdoor hebben zich in het verleden vaker met het compromitteren van routers beziggehouden. Onderzoek naar geïnfecteerde organisaties wees uit dat ze allemaal routers van dezelfde fabrikant gebruikten. Daarnaast waren de beheerderspanelen van deze routers vanaf het internet toegankelijk. Onderzoekers van ESET zagen daarnaast aanvallen waarbij de aanvallers hert updateverzoek van de WebStorage-software onderschepten en aanpasten. Vervolgens werd er vanaf een gecompromitteerd Taiwanees overheidsdomein malware gedownload. De naam van de routerfabrikant is niet door ESET bekendgemaakt. Wel stelt de virusbestrijder dat softwareontwikkelaars maatregelen moeten nemen om hun updatemechanisme tegen man-in-the-middle-aanvallen te beschermen. bron: security.nl

Aanvallers hebben toegang gekregen tot een netwerk van antivirusbedrijf Trend Micro en daar debugging gerelateerde informatie gestolen. Dat heeft de virusbestrijder in een reactie tegenover Computer Business Review laten weten. Eerder deze week kwam een vrij onbekend securitybedrijf met het bericht over een groep aanvallers die een inbraak bij drie antivirusbedrijven claimde. De groep zou via het remote desktopprotocol en active directory-accounts bij de bedrijven zijn binnengedrongen. Vervolgens werden allerlei gegevens gestolen die de aanvallers daarna op internet aanboden. Trend Micro zou één van de getroffen bedrijven zijn. Naar aanleiding van de berichtgeving stelde het bedrijf een onderzoek in. Daaruit blijkt dat er ongeautoriseerde toegang tot het netwerk van een testlab heeft plaatsgevonden. De aanvallers wisten debugging gerelateerde informatie te stelen die door een woordvoerder als "low-risk" wordt bestempeld. Vooralsnog zijn er geen aanwijzingen gevonden dat er klantgegevens of broncode zijn benaderd of buitgemaakt. bron: security.nl

De Amerikaanse overheid waarschuwt organisaties die naar Microsoft Office 365 overstappen voor beveiligingsrisico's die door onveilige instellingen worden veroorzaakt. Het gaat dan met name om organisaties die de migratie naar Office 365 door een derde partij laten uitvoeren. "Nu het aantal organisaties toeneemt dat e-maildiensten naar Microsoft Office 365 en andere clouddiensten migreert, neemt ook het gebruik van derde partijen toe die organisaties naar de cloud verhuizen. Organisaties en derde partijen moeten zich bewust zijn van de risico's bij het overstappen naar Office 365 en andere clouddiensten", aldus het Cybersecurity and Infrastructure Security Agency (CISA), dat onderdeel van het ministerie van Homeland Security is. Sinds oktober vorig jaar heeft het CISA verschillende organisaties gesproken die via een derde partij naar Office 365 zijn gemigreerd. Bij deze organisaties bleken er verschillende configuraties zijn gebruikt die de beveiliging verminderen. Tevens stelt het CISA dat de meeste van deze organisaties geen apart it-securityteam hebben om zich op hun security in de cloud te richten. Deze tekortkomingen hebben gezorgd voor overgenomen e-mailaccounts en kwetsbaarheden. Het CISA geeft vier voorbeelden van configuratiekwetsbaarheden waar organisaties op moeten letten. Het eerste probleem is dat multifactorauthenticatie standaard niet voor het beheerdersaccount staat ingeschakeld. Tevens stond mailbox-auditing voor januari 2019 standaard niet ingeschakeld. Organisaties die voor deze datum van Office 365 gebruikmaken moeten dit zelf inschakelen. Tevens blijkt het unified audit log standaard niet te zijn ingeschakeld. Een ander configuratieprobleem waarvoor wordt gewaarschuwd is "Password Sync", waardoor lokale Active Directory (AD) wachtwoorden de wachtwoorden in Azure AD overschrijven. Als een aanvaller de lokale AD-identiteit weet te compromitteren, kan hij zich lateraal naar de cloud bewegen als de synchronisatie van het wachtwoord plaatsvindt. Sinds oktober vorig jaar heeft Microsoft de mogelijkheid om bepaalde beheerdersaccounts op deze manier te matchen uitgeschakeld. Het kan echter zijn dat organisaties voor deze maatregel van Microsoft hebben ingeschakeld dat lokale en cloudaccounts van beheerders overeenkomen. Daardoor kunnen identiteiten worden gesynchroniseerd die voor de migratie zijn gecompromitteerd. Verder zijn normale gebruikersaccounts niet door het uitschakelen van deze maatregel beschermd. Oude e-mailprotocollen Het vierde probleem dat door het CISA wordt genoemd betreft het gebruik van legacy protocollen die geen authenticatie ondersteunen. Het gaat dan bijvoorbeeld om het Post Office Protocol (POP3), Internet Message Access Protocol (IMAP) en Simple Mail Transport Protocol (SMTP) die niet met moderne authenticatiemethodes met multifactorauthenticatie werken. Het CISA stelt dat legacy protocollen vooral door oudere e-mailclients worden gebruikt. Wanneer organisaties van deze clients gebruikmaken lopen ze risico dat e-mailaccounts alleen met een gebruikersnaam en wachtwoord zijn beschermd. Via Azure AD Conditional Access is het mogelijk om het aantal gebruikers te beperken dat van legacy protocol authenticatiemethoden gebruik kan maken. "Deze maatregel zal het aanvalsoppervlak voor organisaties drastisch verkleinen", aldus de Amerikaanse overheidsinstantie. Afsluitend krijgen organisaties het advies een cloudstraetegie te implementeren om hun infrastructuur te beschermen tegen aanvallen die met de migratie naar Office 365 samenhangen. bron: security.nl

Onderzoekers hebben op internet meer dan 25.000 Linksys Smart Wi-Fi-routers ontdekt die gevoelige informatie lekken. Het gaat onder andere om het mac-adres van alle apparaten die ooit met de router verbinding hebben gemaakt, de naam van deze apparaten en het besturingssysteem dat ze draaien. Ook gaat het om WAN-instellingen, status van de firewall, update-instellingen en DDNS-instellingen. Dat laat onderzoeker Troy Mursch van Bad Packets Report weten. Mursch merkt op dat het mogelijk is om gebruikers via het mac-adres van hun telefoon of laptop over meerdere netwerken te volgen. "Als de naam van een apparaat de volledige naam van de eigenaar bevat, kunnen aanvallers via dit lek de identiteit van de eigenaar bepalen en hem via het publieke ip-adres van de router geolokaliseren", zo stelt de onderzoeker. Daarnaast gaat het ook nog eens om alle apparaten die ooit met de router verbinding hebben gemaakt. "Dit is een privacyzorg die niet licht moet worden opgevat", gaat Mursch verder. Vijf jaar geleden kwam Linksys met een beveiligingsupdate voor het probleem. De update blijkt de kwetsbaarheid echter niet volledig te verhelpen, waardoor routers nog steeds informatie lekken. Mursch heeft een overzicht van kwetsbare Linksys-routers gemaakt, alsmede hun locaties. In totaal werden er 25.617 kwetsbare routers in 146 landen gevonden. Tweehonderd van de routers hebben een Nederlands ip-adres. Meer dan 14.000 van de routers hebben automatische updates ingeschakeld staan. "Als Linksys uiteindelijk besluit om deze kwetsbaarheid te patchen, zullen deze routers automatisch zijn beschermd", besluit de onderzoeker. bron: security.nl

Onderzoekers hebben nieuwe malware ontdekt die informatie verzamelt over Bluetooth-apparaten die op het besmette systeem van een slachtoffer zijn aangesloten. De malware gebruikt de Windows Bluetooth-interfaces om informatie over deze apparaten te verzamelen. Het gaat onder andere om naam, adres en soort apparaat, alsmede of het apparaat op het moment is aangesloten. "De aanvallers lijken meer informatie over slachtoffers te verzamelen", zo laat antivirusbedrijf Kaspersky Lab weten. De malware, die via een 'downloader' op het systeem wordt geïnstalleerd, wordt als een "Bluetooth device harvester" omschreven. Een groep genaamd ScarCruft zou achter de malware zitten. Deze groep weet slachtoffers via phishingaanvallen en exploits te infecteren. Onder andere in Rusland en Vietnam werden infecties aangetroffen. bron: security.nl

De Canadese overheid heeft een waarschuwing afgegeven voor aanvallen op Microsoft SharePoint-servers. Aanvallers maken gebruik van een beveiligingslek dat in februari en maart door Microsoft werd gepatcht om China Chopper te installeren, een webshell die aanvallers toegang tot de server geeft. SharePoint biedt organisaties een platform om intern of via internet gegevens te delen. Bij de waargenomen aanvallen zouden onder andere SharePoint-servers van academische instellingen, industriële bedrijven, fabrieken en techbedrijven zijn gecompromitteerd. Om de aanval uit te voeren moet een aanvaller een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server kunnen uploaden, zo laat de omschrijving van Microsoft weten. Hoewel er beveiligingsupdates beschikbaar zijn, zijn er nog veel kwetsbare systemen, aldus het Canadese Centre for Cyber Security. Ook securitybedrijf AlienLabs meldt dat het aanvallen heeft gezien. Organisaties krijgen dan ook het advies om de patches zo snel als mogelijk te installeren. bron: security.nl

Het Centrum voor Cybersecurity van de Belgische overheid (CCB) en Febelfin, de overkoepelende organisatie van Belgische banken, hebben internetgebruikers gewaarschuwd voor malafide helpdesks die in de zoekresultaten van Google verschijnen. Gebruikers die zoeken naar bijvoorbeeld de helpdesk van Microsoft, Google, Netgear en Symantec kunnen naar de telefoonnummers van oplichters worden verwezen. Deze oplichters proberen de controle over de computer over te nemen en stellen dat er allerlei problemen zijn die tegen betaling kunnen worden opgelost. "Op het eerste gezicht lijkt de oplichter je te helpen maar opgelet: op het einde van de rit vragen ze je een betaling uit te voeren, nemen ze de controle van je pc over en blijf je achter met een geplunderde rekening", zegt Miguel De Bruycker, directeur van het CCB. Febelfin en het CCB hebben het frauduleuze telefoonnummer inmiddels laten blokkeren en de verwijzingen daarnaar in de resultaten van Google en andere zoekmachines laten verwijderen. "Maar morgen kan er natuurlijk een nieuw nummer online staan. Laat niemand je computer overnemen die je niet kent. En voer zeker geen betalingen uit terwijl iemand je computer heeft overgenomen", stelt Karel Van Eetvelt, ceo bij Febelfin. Internetgebruikers die de klantenservice van een bedrijf zoeken worden door beide instanties aangeraden om bij de zoekresultaten alleen te klikken op resultaten die naar de echte naam van het bedrijf wijzen. bron: security.nl

Mozilla heeft excuses gemaakt voor de fout waardoor afgelopen weekend bij honderden miljoenen gebruikers de extensies werden uitgeschakeld. De browserontwikkelaar zal tevens alle telemetrie- en Studiesgegevens van gebruikers verwijderen die het tijdens het incident verzamelde. Op 4 mei verliep een certificaat dat Mozilla gebruikt voor het signeren van extensies. Mozilla stelt dat het signeren van extensies een belangrijke maatregel is om gebruikers tegen kwaadaardige extensies te beschermen. Door het verlopen van het certificaat beschouwde Firefox alle extensies als ongeldig. Al geïnstalleerde extensies werden daarop uitgeschakeld en het was niet meer mogelijk om nieuwe extensies te installeren. Telemetrie Om het probleem snel te verhelpen rolde Mozilla een tijdelijke oplossing uit via het Studies-systeem. Via Studies worden normaliter allerlei "features en ideeën" getest. Gebruikers moeten zich hiervoor apart aanmelden. Mozilla besloot om via het Studies-systeem een fix voor de uitgeschakelde extensies uit te rollen. Hiervoor moesten gebruikers ook het verzamelen van telemetriegegevens toestaan. Een optie die sommige gebruikers eerder opzettelijk hadden uitgeschakeld. Om de "oorspronkelijke intentie" van deze gebruikers te respecteren heeft Mozilla besloten om alle verzamelde telemetrie- en Studiesgegevens van 4 en 5 mei te verwijderen. Beveiligde locatie In een blogpost legt Mozilla uit hoe het incident zich kon voordoen en waarom de oplossing zolang op zich liet wachten. Om het probleem te verhelpen moest er een nieuw certificaat worden uitgegeven, wat via een rootcertificaat wordt gedaan. Dit rootcertificaat bevindt zich in een hardware security module (HSM) die offline in een beveiligde locatie is opgeslagen. Eén van de Mozilla-engineers moest dan ook naar deze locatie rijden. Vervolgens waren er verschillende valse starts waar Mozilla niet het juiste certificaat uitgaf. "En elke poging kostte een uur of twee aan testen voordat we precies wisten wat we moesten doen", zegt Mozilla-cto Eric Rescorla. Daarnaast moest er een "system add-on" worden ontwikkeld waarmee het nieuwe certificaat bij gebruikers kon worden geïnstalleerd. Om de situatie niet te verergeren moest ook deze stap worden getest. Als laatste nam de uitrol enige tijd in beslag. Firefox controleert automatisch elke zes uur op updates. Daardoor duurde het meerdere uren voordat alle Firefoxgebruikers de oplossing ontvingen. Rescorla stelt dat de oplossing binnen 12 uur na de eerste melding was ontwikkeld. Toch had het probleem in de eerste plaats zich niet mogen voordoen. Toekomst De Firefox-cto vindt dan ook dat Mozilla beter in staat moet zijn om de status te monitoren van alles dat een potentiële tijdbom binnen Firefox is. Aan de details van dit plan wordt nog gewerkt. "Maar op z'n minst moeten we alles van deze aard inventariseren", merkt Rescorla op. Tevens moet er een mechanisme komen om snel updates onder gebruikers uit te kunnen rollen als alles down is. Als laatste gaat Mozilla kijken naar de beveiligingsarchitectuur van add-ons, om ervoor te zorgen dat het juiste beveiligingsniveau wordt gehandhaafd met de kleinste kans op storingen. bron: security.nl

Antivirusbedrijf Kaspersky Lab heeft een ernstig beveiligingslek in de antivirussoftware verholpen waardoor een aanvaller op afstand systemen van gebruikers volledig had kunnen overnemen. Het probleem in de virusscanner kon zich voordoen bij het scannen van JavaScript-bestanden. Hierdoor kon er een heap-based buffer overflow ontstaan, waarna het mogelijk was om willekeurige code met systeemrechten uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8 beoordeeld. Vorige maand bracht Kaspersky Lab een update uit, zo heeft bedrijf gisterenavond in het eerste beveiligingsbulletin van 2019 bekendgemaakt. Kwetsbaarheden in antivirussoftware zijn vaak zonder interactie van gebruikers te misbruiken en kunnen aanvallers vergaande toegang geven. De software draait vaak met hogere rechten en scant in de achtergrond continu allerlei bestanden en websites. Door het versturen van een e-mail met een kwaadaardige bijlage, ook als de gebruiker die zelf nog niet heeft geopend, of bij het bezoeken van een kwaadaardige website zou een aanvaller de virusscanner een kwaadaardig bestand kunnen laten scannen. Vervolgens zou er via een dergelijk bestand misbruik van de kwetsbaarheid kunnen worden gemaakt. bron: security.nl

Gerookt van af mijn veertiende tot mijn 34e, Over een paar dagen dagen alweer 16 jaar rookvrij. Ik ga niet zeggen hoe oud ik van de week mag worden....lol

Je bent duidelijk geen opgever. Daar houden we wel van. Ik kan je weinig verder adviseren dan de weg die je nu bewandeld: try and error. Hou ons op de hoogte wie er gaat winnen: jij of je Bleuray-speler.

De vraag hier is of het wel de motor is. Het probleem kan ook in de aansturing zitten. Ik zie dat je de motor al los hebt. Misschien kun je deze door meten? Anders zou je ook nog kunnen kiezen voor vervanging van de speler in zijn geheel: https://www.conrad.nl/p/pioneer-bdr-209ebk-interne-blu-ray-brander-retail-sata-zwart-1438476 Een tweede, iets voordeligere optie is het aanschaffen van een externe brander. Een vervangende motor kan ik niet zo ergens vinden.

Antivirusbedrijf Kaspersky Lab heeft een ernstig beveiligingslek in de antivirussoftware verholpen waardoor een aanvaller op afstand systemen van gebruikers volledig had kunnen overnemen. Het probleem in de virusscanner kon zich voordoen bij het scannen van JavaScript-bestanden. Hierdoor kon er een heap-based buffer overflow ontstaan, waarna het mogelijk was om willekeurige code met systeemrechten uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8 beoordeeld. Vorige maand bracht Kaspersky Lab een update uit, zo heeft bedrijf gisterenavond in het eerste beveiligingsbulletin van 2019 bekendgemaakt. Kwetsbaarheden in antivirussoftware zijn vaak zonder interactie van gebruikers te misbruiken en kunnen aanvallers vergaande toegang geven. De software draait vaak met hogere rechten en scant in de achtergrond continu allerlei bestanden en websites. Door het versturen van een e-mail met een kwaadaardige bijlage, ook als de gebruiker die zelf nog niet heeft geopend, of bij het bezoeken van een kwaadaardige website zou een aanvaller de virusscanner een kwaadaardig bestand kunnen laten scannen. Vervolgens zou er via een dergelijk bestand misbruik van de kwetsbaarheid kunnen worden gemaakt. bron: security.nl

Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners. Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven. Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld. "De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op. De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt. bron: security.nl

Accounts van systeembeheerders zijn een geliefd doelwit van aanvallers, maar organisaties kunnen verschillende maatregelen nemen om de kans te verkleinen dat aanvallers hier toegang toe krijgen, zo stelt Microsoft. De softwaregigant heeft een blog gepubliceerd waarin het beschrijft hoe het zelf met identiteitsmanagement omgaat en het beveiligen van beheerdersaccounts is daar een onderdeel van. "Om de bescherming van onze organisatie te verbeteren is het belangrijk om het aantal mensen te beperken dat geprivilegieerde toegang heeft en controles te implementeren voor wanneer, hoe en waar beheerdersaccounts gebruikt kunnen worden", laat Microsoft weten. Als het gaat om het beveiligen van adminaccounts worden drie aanbevelingen gedaan. Als eerste wordt voor het uitvoeren van systeembeheer een aparte computer aangeraden die volledig up-to-date is. Tevens moeten de beveiligingsinstellingen van deze machine worden verhoogd en moet worden voorkomen dat systeembeheer op afstand is uit te voeren. Het tweede advies betreft het toepassen van een "geïsoleerde identiteit". Zo moet er een aparte naamgeving voor het account worden gebruikt en mag die geen toegang tot internet hebben. Tevens moet de identiteit verschillen van de werkidentiteit van de gebruiker. In het geval van Microsoft zijn beheerdersaccounts alleen toegankelijk via een smartcard. Afsluitend adviseert Microsoft het toepassen van "non-persistent access". Zo moeten beheerdersaccounts standaard geen rechten hebben. Beheerders moeten just-in-time (JIT) privileges aanvragen die ze toegang voor een beperkte tijd geeft en dit moet in een systeem worden bijgehouden. Microsoft erkent dat het beschikbare budget kan beperken wat organisaties kunnen doen. Toch raadt de softwaregigant aan om alle drie de zaken uit te voeren op een niveau dat voor de organisatie zinvol is. bron: security.nl

Het integreren van Tor in Firefox zou tal van privacyvoordelen voor gebruikers hebben, maar hierbij komen ook allerlei vragen kijken, aldus Mozilla. De browserontwikkelaar heeft daarom verschillende beurzen beschikbaar gesteld voor onderzoekers die deze vragen willen beantwoorden. Tor Browser is een op Firefox gebaseerde browser waarmee toegang tot het Tor-netwerk wordt verkregen. Het beschikt over allerlei aanvullende beveiligingsmaatregelen om gebruikers tegen tracking te beschermen. Verschillende van deze maatregelen zijn door Mozilla in het verleden al aan Firefox toegevoegd, maar de browserontwikkelaar wil nu laten onderzoeken of een verdere integratie mogelijk is. "Mozilla heeft een interesse om mogelijk meer van Tor in Firefox te integreren, om gebruikers zo een Super Private Browsing (SPB) mode te bieden. Tor biedt privacy en anonimiteit op het web, features die hard nodig zijn in het moderne tijdperk van massasurveillance, tracking en fingerprinting", aldus Mozilla. Op dit moment maken elke dag zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk. Om een groot aantal extra gebruikers te kunnen faciliteren zouden eerste allerlei vraagstukken moeten worden opgelost over de prestaties, protocollen en opzet van het Tor-netwerk. "Tor is nog nooit op een dergelijke schaal uitgerold en er spelen allerlei overwegingen die moeten worden onderzocht voordat Mozilla hiermee aan de slag gaat", stelt Gabriela Rodríguez van het Tor Project. Onderzoekers die zich geroepen voelen kunnen zich aanmelden voor een beurs van Mozilla. bron: security.nl

Onderzoekers hebben een nieuwe versie van de Dharma-ransomware ontdekt die een legitieme antivirustool gebruikt om slachtoffers af te leiden, terwijl in de achtergrond allerlei bestanden worden versleuteld. De aanval begint met een e-mail die zogenaamd van Microsoft afkomstig is. Volgens het bericht loopt de computer van de ontvanger risico en moet de geïnstalleerde antivirussoftware worden geüpdatet en geverifieerd. Hiervoor moeten gebruikers een aangeboden bestand downloaden. Dit bestand bevat de ransomware en ESET AV Remover, een legitieme tool van antivirusbedrijf ESET om geïnstalleerde virusscanners van een computer te verwijderen. Ongeacht of gebruikers de installatie van AV Remover afronden versleutelt de ransomware in de achtergrond allerlei bestanden. Gebruikers moeten vervolgens voor het ontsleutelen van de bestanden betalen. "Cybercriminelen hebben een verleden van het misbruiken van authentieke tools. En deze recente tactiek om een installatieprogramma als afleiding te gebruiken is weer een methode waarmee ze experimenteren", zegt onderzoeker Raphael Centeno van antivirusbedrijf Trend Micro. bron: security.nl

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Confluence om ongepatchte servers met ransomware en een combinatie van een rootkit en cryptominer te infecteren. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Op 20 maart verscheen er een beveiligingsupdate die twee kwetsbaarheden verhielp. Via één van deze beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige code op Confluence-servers uitvoeren. Drie weken later op 11 april verscheen er een proof-of-concept-exploit om van de kwetsbaarheid misbruik te maken. Een dag later werden de eerste aanvallen waargenomen. Bij deze aanvallen werd de Gandcrab-ransomware geïnstalleerd, zo meldde securitybedrijf Alert Logic eerder al. Volgens onderzoekers van het bedrijf zullen Confluence-applicaties vaak waardevolle bedrijfsgegevens bevatten en mogelijk niet goed zijn geback-upt. Het losgeld dat de ransomware oplevert zal dan waarschijnlijk ook veel hoger zijn dan het installeren van een cryptominer, die de rekenkracht van de server gebruikt om cryptovaluta te delven. Antivirusbedrijf Trend Micro meldt dat aanvallers inmiddels ook begonnen zijn om via het beveiligingslek een combinatie van een rootkit en cryptominer op kwetsbare servers te installeren. De rootkit wordt gebruikt om de cryptominer te verbergen. Daarnaast kan de rootkit het cpu-gebuik van de server vervalsen. Daardoor lijkt het voor beheerders dat de processor niet wordt belast, terwijl dat in werkelijkheid wel het geval is. Organisaties krijgen dan ook het advies om de beschikbare update te installeren. bron: security.nl

Softwarebedrijf Canonical is vorige week gestopt met de ondersteuning van Ubuntu 14.04 Trusty Tahr. Nieuw gevonden kwetsbaarheden worden niet meer gepatcht. Organisaties kunnen echter nog wel tegen betaling beveiligingsupdates ontvangen. Hiervoor biedt Canonical Extended Security Maintenance (ESM). Ubuntu long term support (LTS) releases worden vijf lang met beveiligingsupdates ondersteund. Zodra de Standard Security Maintenance-periode is verlopen ontvangen LTS-versies via Extended Security Maintenance drie tot vijf jaar aanvullende ondersteuning, afhankelijk van de betreffende versie. Hierdoor kunnen organisaties die nog niet zijn geüpgraded naar een nieuwere versie voldoen aan compliancestandaarden. "Kwetsbaarheden die niet worden gepatcht openen je systemen voor hackers en de mogelijkheid van grote datalekken. Verder zijn beveiligingsupdates vaak noodzakelijk om aan regelgeving te voldoen die in de financiële, gezondheids-, e-commerce- en telecomsector gelden", aldus Canonical. Het softwarebedrijf stelt dat sinds de lancering van Ubuntu 14.04 vijf jaar geleden meer dan 1300 Ubuntu Security Notices (USNs) voor het besturingssysteem zijn verschenen, waarbij één USN meerdere kwetsbaarheden kan verhelpen. bron: security.nl

Cisco heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer ernstige kwetsbaarheid in Elastic Services Controller (ESC). Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek is het met een 10 beoordeeld. Elastic Services Controller is een oplossing voor het beheren van virtuele netwerkfuncties, waaronder het monitoren van virtual machines, automatische recovery en dynamisch opschalen. Een kwetsbaarheid in de programmeerinterface van de controller zorgt ervoor dat een ongeauthenticeerde aanvaller door alleen het versturen van een verzoek naar de interface willekeurige acties op het systeem kan uitvoeren met beheerdersrechten. De kwetsbaarheid is aanwezig in versie 4.1, 4.2, 4.3 en 4.4 van de software. Beheerders krijgen dan ook het advies om te updaten naar versie 4.5. Cisco merkt op dat de programmeerinterface niet standaard staat ingeschakeld. De netwerkgigant meldt verder dat er op dit moment nog geen meldingen van misbruik zijn waargenomen. bron: security.nl

Google heeft maatregelen aangekondigd die gebruikers van Chrome tegen fingerprinting moeten beschermen en meer controle over cookies moeten geven. Dit moet gebruikers meer privacy geven. Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld. Het gaat dan bijvoorbeeld om scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. Aan de hand hiervan wordt een digitale vingerafdruk gemaakt waarmee gebruikers vervolgens over het web te volgen zijn. "Omdat fingerprinting niet transparant is en gebruikers er geen controle over hebben, zorgt het voor tracking dat de keuze van gebruikers niet respecteert", zegt Justin Schuh van Google in een blogpost. Daarom zal Google agressiever tegen fingerprinting op het web gaan optreden. Zo zal Google de manieren gaan beperken waarop op Chromium gebaseerde browsers passief zijn te fingerprinten, zodat actief fingerprinten kan worden gedetecteerd zodra het plaatsvindt. Tevens zal Google veranderingen doorvoeren in de manier waarop Chrome met cookies omgaat. Webontwikkelaars moeten straks specifiek aangeven welke cookies zijn toegestaan om op meerdere websites te worden gebruikt en zijn te gebruiken om gebruikers te volgen. Hierdoor wordt het mogelijk voor gebruikers om deze cross-site trackingcookies te verwijderen, terwijl andere cookies waarmee de gebruiker op een site is ingelogd bewaard blijven. Ook zorgt deze maatregel ervoor dat Chrome en andere op Chromium gebaseerde browsers informatie kunnen bieden over welke websites deze trackingcookies plaatsen. Volgens Schuh heeft de maatregel ook grote veiligheidsvoordelen voor gebruikers, omdat het cookies standaard tegen cross-site injection en informatielekken zoals Spectre en cross-site request forgery (CSRF) beschermt. Uiteindelijk is Google ook van plan om cross-site cookies voor https-verbindingen te beperken, wat gebruikers extra privacybescherming geeft. bron: security.nl

Onderzoekers hebben malware voor Microsoft Exchange-servers ontdekt die speciaal ontwikkeld is om e-mails te lezen, aan te passen of te blokkeren en tevens als een backdoor dient. Daarnaast is de malware zeer lastig te verwijderen. Dat meldt antivirusbedrijf ESET in een vandaag verschenen rapport. Volgens de virusbestrijder maken de aanvallers gebruik van een techniek die nog nooit eerder is gezien, namelijk een Transport Agent. Microsoft Exchange biedt via het gebruik van Transport Agents extra functionaliteit, zoals het filteren van spam en besmette e-mails en het toevoegen van een onderschrift aan elke verstuurde e-mail. Transport Agents kunnen worden gemaakt door Microsoft, externe leveranciers of de organisatie die de Exchange-server beheert. De LightNeuron-malware voegt een Transport Agent toe waarmee het berichten kan onderscheppen, lezen en blokkeren, alsmede nieuwe e-mails versturen. Het lijkt erop dat de aanvallers de getroffen organisaties eerst compromitteren en dan de Exchange Server-infecteren. Zo ontdekte ESET op het netwerk van getroffen organisaties ook andere malware van de aanvallers. De eerste versie van de LightNeuron-malware zou al in 2014 zijn ontwikkeld. De meest recente versie is in 2016 gemaakt. Onder andere diplomatieke organisaties en ministeries van Buitenlandse Zaken in Oost-Europa en het Midden-Oosten waren doelwit van de aanvallers. Deze aanvallen vonden in 2017 en 2018 plaats. "In een aantal gevallen draaide LightNeuron met systeemrechten. Het is vaak lastig om dergelijke rechten op een Exchange-server te krijgen, aangezien het één van de belangrijkste middelen van een organisatie is. Eenmaal gecompromitteerd is het waarschijnlijk dat de malware maanden of jaren onopgemerkt blijft", aldus de onderzoekers. Het verwijderen van de malware is geen eenvoudige opgave, zo laten de onderzoekers in het onderzoeksrapport verder weten (pdf). Door de twee kwaadaardige bestanden van de malware te verwijderen stopt de Microsoft Exchange-server namelijk met werken en kan niemand in de organisatie nog e-mails versturen of ontvangen. Antivirusbedrijven wordt dan ook aangeraden om deze twee bestanden niet zomaar te verwijderen, maar van een goede schoonmaakroutine gebruik te maken. Het is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen. Volgens ESET wordt de LightNeuron-malware door een groep genaamd Turla gebruikt, die ook als Snake en Uroburos bekendstaat. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zerodaylekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen. bron: security.nl

Versleutelde e-maildienst ProtonMail stopt met het ondersteunen van Internet Explorer 11, zo heeft het bedrijf vandaag bekendgemaakt. Volgens ProtonMail moeten gebruikers naar een veiligere, modernere browser upgraden om van de e-maildienst gebruik te blijven maken. Internet Explorer 11 wordt nog wel gewoon door Microsoft met beveiligingsupdates ondersteund. De softwaregigant zal dit blijven doen zolang het Windows 10 ondersteunt. Toch is ProtonMail van mening dat IE11 geen veilige browser is. "Microsoft verplaatst de aandacht naar Edge en minder ontwikkelaars testen ermee. Daardoor zijn meer bugs en kwetsbaarheden onvermijdelijk", aldus Ben Wolford van ProtonMail. Verder stelt Wolford dat maar weinig ProtonMail-gebruikers van IE11 gebruikmaken. Ongeveer één procent van al het verkeer is afkomstig van IE11. De versleutelde e-maildienst wil daarnaast allerlei nieuwe features ontwikkelen, in plaats van een verouderde browser te ondersteunen die allerlei functionaliteit mist. IE11 heeft volgens marktvorser Net Applications op de desktop nog een marktaandeel van 7,7 procent. bron: security.nl