Captain Kirk

WordPress-sites van goede doelen, liefdadigheidsinstellingen en andere organisaties die gebruikmaken van de Total Donations-plug-in worden op dit moment actief aangevallen en overgenomen via een zogeheten zero-day. Een kwetsbaarheid waarvoor geen beveiligingsupdate beschikbaar is. In dit geval zal er waarschijnlijk ook geen patch meer worden ontwikkeld. WordPress-sites die van de plug-in gebruikmaken krijgen dan ook het advies om Total Donations meteen te verwijderen, zo laat securitybedrijf Wordfence weten. Total Donations is een plug-in waarmee WordPress-sites campagnes en beoogde doelen kunnen opgeven. Het gaat om een betaalde plug-in die buiten de WordPress repository wordt aangeboden. Via een beveiligingslek in de plug-in kan een aanvaller beheerderstoegang krijgen en zo de website volledig overnemen. Volgens Wordfence wordt deze kwetsbaarheid, die in versie 2.0.5 en ouder aanwezig is, actief gebruikt om websites over te nemen. Onderzoekers van het bedrijf vonden naast dit beveiligingslek ook tientallen andere kwetsbaarheden. Het lukte echter niet om de ontwikkelaars van Total Donations te benaderen. Het project lijkt verlaten te zijn, waardoor een update waarschijnlijk nooit meer zal verschijnen, zo laat één van de onderzoekers weten. Gebruikers wordt daarom geadviseerd de plug-in te verwijderen, in plaats van te deactiveren. bron: security.nl

Vergeet ook iet om je box te resetten. Even de stekkers eruit voor een paar minuten en dan heropstarten.

De Europese privacytoezichthouders hebben sinds de invoering van de Algemene verordening gegevensbescherming (AVG) vorig jaar mei meer dan 95.000 klachten van burgers ontvangen, zo heeft de Europese Commissie in een verklaring over Data Protection Day bekendgemaakt. Volgens de Europese Commissie zijn de positieve effecten van de AVG al merkbaar. "Burgers zijn bewuster over het belang van databescherming en hun rechten. En ze oefenen deze rechten uit, zoals privacytoezichthouders in hun dagelijkse werkzaamheden zien. Ze hebben nu meer dan 95.000 klachten van burgers ontvangen." De klachten gaan vooral over telemarketing, e-mailmarketing en videosurveillance. De Europese Commissie stelt verder dat de privacytoezichthouders de nieuwe privacyregels ook handhaven en hun acties beter onderling coördineren. Ook helpen de toezichthouders bedrijven en burgers met het uitleggen van hun rechten en verplichtingen. Onlangs kreeg Google van de Franse privacytoezichthouder CNIL nog een boete van 50 miljoen euro opgelegd wegens het overtreden van de AVG. De hoogste boete sinds de nieuwe privacywetgeving van kracht werd. Ondanks de lovende woorden merkt de Europese Commissie op dat er wel vijf EU-lidstaten zijn die hun juridisch raamwerk nog aan de nieuwe Europese privacyregels moeten aanpassen. bron: security.nl

De afgelopen weken zijn allerlei e-mails verstuurd die claimden dat de ontvanger een voicemailbericht had ontvangen. In werkelijkheid ging het om een phishingaanval waarbij werd geprobeerd inloggegevens te ontfutselen. De e-mails hadden als onderwerp "Voice Delivery Report" en als bijlage een EML-bestand. De aanvallers probeerden het bestand, VRF_audio-mail.923.e.wav.eml, door de vermelding van .wav als een audiobestand voor te doen. Wanneer de ontvanger het bestand opent wordt er een e-mailbericht geladen dat stelt dat er een nieuw voicemailbericht is ontvangen. Via de links in de e-mail kan dit zogenaamde bericht worden beluisterd of opgeslagen. In werkelijkheid wijzen de links naar een phishingsite, zo meldt securitybedrijf EdgeWave. Cybercriminelen gebruiken al langer voicemailberichten als onderwerp, maar vaak wordt er op deze manier malware verspreid. Om gebruikers te beschermen krijgen organisaties het advies om e-mails met EML-bijlagen te blokkeren of in quarantaine te plaatsen. Tevens wordt geadviseerd om uitgaande verbindingen naar .gq-domeinen te blokkeren, aangezien de phishingmails hier gebruik van maken. bron: security.nl

Een aanvaller is de afgelopen dagen erin geslaagd om op tientallen Nest-camera's in te loggen doordat de eigenaren hun wachtwoord hadden hergebruikt. Vervolgens gaf de aanvaller de eigenaren via de microfoon van de camera de opdracht om zich op het kanaal van YouTube-ster PewDiePie te abonneren. Tegenover Vice Magazine laat de aanvaller weten dat hij gebruikmaakt van gebruikersnamen en wachtwoorden die via datalekken openbaar zijn geworden. Met deze gelekte inloggegevens probeert de aanvaller vervolgens op Nest-accounts in te loggen. Dit is mogelijk omdat de eigenaren het gelekte wachtwoord ook voor hun Nest-account gebruiken. De aanvaller claimt dat hij op deze manier inmiddels de juiste inloggegevens voor 4.000 Nest-accounts in handen heeft. Deze accounts geven weer toegang tot de Nest-camera van de gebruiker. Het inloggen op Nest-camera's via hergebruikte wachtwoorden is niet nieuw. Vorige maande stelde Alphabet, het moederbedrijf van Nest en Google, dat het bekend is met wachtwoorden die bij andere bedrijven of websites zijn gestolen en worden gebruikt om Nest-camera's te benaderen. Gebruikers krijgen dan ook het advies een uniek wachtwoord in te stellen en tweefactorauthenticatie voor hun Nest-account te gebruiken. bron: security.nl

Via een onbeveiligde Elasticsearch-database zijn miljoenen hypotheek- en kredietrapporten gelekt. Het ging om zeer gevoelige gegevens, zoals social security nummers, namen, telefoonnummers, adresgegevens, kredietverleden en andere zaken die onderdeel van een hypotheek- of kredietrapport zijn. De 51GB grote database werd door beveiligingsonderzoeker Bob Diachenko gevonden en bevatte 24 miljoen records. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. In dit geval was de database zonder wachtwoord voor iedereen op internet benaderbaar. De gegevens bleken afkomstig te zijn van het databedrijf Ascension Data & Analytics, dat voor financiële instellingen en banken data-analyse verricht en papieren documenten via OCR (Optical character recognition) naar digitale bestanden omzet. In een verklaring tegenover TechCrunch laat het bedrijf weten dat het datalek is ontstaan door een configuratiefout bij de leverancier van het systeem. Na ontdekking van de fout is de server meteen uitgeschakeld. Ascension Data & Analytics meldt verder dat er een onderzoek naar het incident is ingesteld. bron: security.nl

Onderzoekers van securitybedrijf Lookout hebben chatgesprekken gevonden tussen een niet nader genoemde inlichtingendienst en aanbieders van zeroday-exploits voor Android, iOS, Internet Explorer, Edge en Adobe Flash Player. Eén van de medewerkers van de inlichtingendienst testte de malware op zijn eigen telefoon, waardoor WhatsApp-gegevens naar een server werden geüpload waar de onderzoekers die vonden. De WhatsApp-berichten bleken allerlei gesprekken te bevatten tussen de dienst en aanbieders van zeroday-exploits voor onbekende kwetsbaarheden in iOS, Android, Flash Player en Edge/IE. Zo claimden de aanbieders over een persistente root-exploit voor iOS 10 te beschikken die geen click van de gebruiker vereist. De aanval zou via een kwaadaardig iMessage-bericht kunnen worden uitgevoerd. Ook wordt er een zeroday-exploit aangeboden die misbruik maakt van een kwetsbaarheid in de Android Mediaserver en werkt tegen Android 4.4.4 tot en met 7.1. De exploit kan via MMS worden verstuurd en is te gebruiken tegen toestellen van HTC, Samsung, ASUS, Motorola, Xiaomi, LG, Sony en Huawei. De exploit zou tussen de 6 en 15 seconden voor het uitvoeren nodig hebben. Eén van de aanbieders is de NSO Group, die in het verleden vaker wegens de verkoop van zeroday-exploits in het nieuws is gekomen. Het bedrijf claimt over een exploit te beschikken die via SMS kan worden uitgevoerd. De exploit start de standaard browser van het slachtoffer en downloadt vervolgens een Trojaans paard. Diensten die de aanval inzetten wordt aangeraden dit 's nachts te doen, aangezien de browser van de gebruiker enige seconden wordt geopend. Onderzoekers Andrew Blaich en Michael Flossman van securitybedrijf Lookout presenteerden hun bevindingen tijdens de Shmoocon-conferentie. Ze stellen dat de dienst zeer effectief was in het ontwikkelen van een cybersurveillanceprogramma, aangezien er naar schatting 50GB aan gestolen data werd gevonden. "Deze actor maakte verschillende operationele securityfouten waardoor hij werd ontdekt en we langere tijd inzicht in zijn operaties kregen." De naam van de inlichtingendienst is nog niet bekendgemaakt, maar de onderzoekers hebben wel een vervolg op hun onderzoek aangekondigd. bron: security.nl

Back-updienst Backblaze heeft het jaarlijkse overzicht gepubliceerd van de betrouwbaarheid van harde schijven, gebaseerd op bijna 105.000 harde schijven die het in gebruik heeft. Sinds 2013 verzamelt het bedrijf statistieken over de uitval van gebruikte harde schijven. 2018 was een goed jaar wat betreft de uitval van harde schijven. Met een jaarlijkse uitvalratio van 1,25 procent was dit het laagste ratio tot nu toe. Verder blijkt dat de gemiddelde grootte van de gebruikte schijven is toegenomen van 4,5TB in 2016 naar 7,7TB in 2018. Sinds het tweede kwartaal van 2016 heeft Backblaze 45 Toshiba-schijven van 5TB in gebruik en geen van deze schijven is uitgevallen. Ook de 10TB-schijven van Seagate presteren goed met een jaarlijkse uitvalratio van 0,33 procent. Verder doen de 4TB-schijven van HGST het goed in de cijfers van Backblaze. De 14TB-schijven van Toshiba laten op jaarbasis de hoogste uitval zien, maar deze schijven werden pas in het vierde kwartaal van vorig jaar toegevoegd. Backblaze verwacht dan ook dat de uitvalratio over de tijd zal afnemen. Volgens de back-updienst was de grote trend in 2018 de migratie naar grotere harde schijven. Zo werd schijven van 2TB, 3TB en 4TB vervangen door schijven die 8TB tot en met 14TB groot zijn. Bij Backblaze groeide de totale opslag van 500 petabytes naar meer dan 750 petabytes. bron: security.nl

E-mail was vorig jaar de belangrijkste manier voor cybercriminelen om eindgebruikers aan te vallen, zo stelt anti-malwarebedrijf Malwarebytes in een vandaag verschenen rapport. Een jaar eerder waren exploits die van kwetsbaarheden in browsers en browserplug-ins gebruikmaken nog de populairste infectiemethode. Verschillende soorten malware zoals Emotet en TrickBot werden in 2018 op grote schaal via e-mail verspreid. De e-mails hadden bijlagen of links die naar de malware wezen. Het ging dan bijvoorbeeld om Microsoft Office-documenten met een embedded macro. Zodra gebruikers de macro inschakelden werd het systeem met malware besmet. Het gebruik van exploits, die misbruik maken van kwetsbaarheden in software, kende juist een daling. Dat komt volgens Malwarebytes doordat verschillende exploit-ontwikkelaars in 2017 werden opgepakt en browsers steeds veiliger worden. Het gebruik van zogeheten drive-by downloads, waarbij internetgebruikers via gehackte websites of besmette advertenties met malware geïnfecteerd raken, nam dan ook af. In 2018 vonden verschillende zeroday-aanvallen plaats die misbruik maakten van nieuwe kwetsbaarheden in Adobe Flash Player en Internet Explorer. In plaats van slachtoffers naar een website te lokken maakten de aanvallers bij deze aanvallen gebruik van Microsoft Office-documenten, waar een exploit voor het beveiligingslek aan was toegevoegd. Ook voor dit jaar verwacht Malwarebytes dat cybercriminelen social engineering, waarbij gebruikers worden verleid om bestanden of links te openen, weer uitgebreid zullen toepassen. bron: security.nl

In Nederland en België is er een nieuw ransomware-exemplaar met de naam Anatova gedetecteerd. Of de ransomware ook slachtoffers heeft gemaakt is onbekend, maar dit wordt niet uitgesloten, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. McAfee publiceerde een blogposting over Anatova, waarin ook het aantal detecties in verschillende landen wordt getoond. De meeste detecties werden in de Verenigde Staten aangetroffen, gevolgd door België. Het gaat hier niet om infecties, maar om gevallen waarbij de anti-virussoftware van McAfee de ransomware detecteerde en stopte. Beek merkt op dat het hier alleen om de detecties van McAfee gaat en er niet kan worden uitgesloten dat er in Nederland of België systemen besmet zijn geraakt. De virusbestrijder ontdekte de ransomware op een private p2p-website waar gebruikers allerlei bestanden uitwisselen. Waarschijnlijk zijn er meer manieren waarop de ransomware wordt verspreid, maar die zijn nog niet bekend. Beek denkt dat de verspreiding via de p2p-website een testrun betreft om te kijken hoe succesvol de ransomware is. Net als andere ransomware versleutelt Anatova allerlei bestanden voor losgeld, waarbij er ook naar bestanden op netwerkmappen wordt gezocht. Om bestanden zo snel mogelijk te versleutelen versleutelt Anatova alleen bestanden van 1MB of kleiner. Voor het ontsleutelen moeten slachtoffers zo'n 630 euro betalen. Bij slachtoffers wordt er een tekstbestand in de mappen van versleutelde bestanden achtergelaten. Slachtoffers kunnen daarnaast één jpg-bestand kosteloos laten ontsleutelen. Opvallend aan de ransomware is dat die systemen in bepaalde landen niet versleutelt. Naast GOS-landen, wat vaker voorkomt, gaat het ook om Syrië, Egypte, Marokko, Irak en India. Een reden waarom deze specifieke landen worden vermeden kan McAfee niet geven. Onlangs besloten makers van de bekende GandCrab-ransomware om Syrische slachtoffers kosteloos hun bestanden terug te geven nadat een Syrische man liet weten dat hij door de ransomware foto's en video's van zijn omgekomen zoons was kwijtgeraakt. bron: security.nl

Miljoenen Windows-gebruikers draaien verouderde software met allerlei beveiligingslekken, zo blijkt uit onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers (pdf). De anti-virussoftware van Avast geeft informatie door over de systemen waarop het is geïnstalleerd. Zo kon de virusbestrijder in kaart brengen welke programma's gebruikers hebben geïnstalleerd. Google Chrome is het meest geïnstalleerde programma dat op 91 procent van de computers staat, gevolgd door Adobe Acrobat Reader, WinRAR, Microsoft Office en Mozilla Firefox. Windows Live Essentials, dat sinds januari 2017 niet meer door Microsoft wordt ondersteund, staat nog steeds op 16 procent van de onderzochte computers. Gebruikers krijgen dan ook het advies om niet gebruikte software te verwijderen. Verder blijkt dat maar liefst 55 procent van alle geïnstalleerde applicaties niet de laatste versie is. Zo blijken de meeste installaties van Adobe Shockwave, VLC Media Player, Skype en Java Runtime ernstig achter te lopen, aldus Avast. Tevens blijkt dat veel installaties van Firefox en Thunderbird verouderd zijn, ook al beschikken deze programma's al enige tijd over een automatische updatefunctie. In 2017 was nog 48 procent van alle applicaties verouderd. Windows 7 is onder Avast-gebruikers het meestgebruikte besturingssysteem (43 procent), gevolgd door Windows 10 (40 procent). Miljoenen Windows 7-systemen draaien echter niet de laatste versie van het besturingssysteem. Zo draait 15 procent de RTM-versie van 2009. In het geval van Windows 10 is 9 procent verouderd. Ook hier gaat het om miljoenen systemen. Niet alleen lopen de Windows-versies achter, ook Microsoft Office is vaak niet up-to-date of verouderd. Zo blijkt dat 15 procent van de gebruikers Office 2007 draait, dat inmiddels niet meer door Microsoft wordt ondersteund. Het onderzoek laat zien dat de gemiddelde pc zes jaar oud is. De helft van de systemen heeft 4GB geheugen en 85 procent alleen een traditionele harde schijf. bron: security.nl

Een groep van 265 beveiligingsonderzoekers heeft in tien maanden tijd zo'n 100.000 websites offline weten te krijgen die voor de verspreiding van malware werden gebruikt. De takedowns waren onderdeel van URLhaus, een project dat begin vorig jaar werd gelanceerd. Via URLhaus worden door malware gebruikte url's verzameld en gedeeld. Sinds de lancering hebben onderzoekers gemiddeld 300 malware-sites per dag bij het project gerapporteerd. Na de ontdekking van een url moet die vervolgens door de betreffende provider uit de lucht worden gehaald. Gemiddeld zijn malware-sites meer dan een week actief voordat ze offline gaan. "Dat is meer dan genoeg om elke dag duizenden apparaten te infecteren", zegt Roman Hussy, de man achter URLhaus en Abuse.ch. Met name de drie Chinese partijen waar de meeste malware-sites werden gevonden reageren langzaam. De abuse-afdeling van deze providers hebben meer dan een maand nodig om op abusemeldingen te reageren. Volgens Hussy is URLhaus dankzij de "infosec community" een groot succes. "Het is het bewijs dat het delen van informatie de sleutel is in het bestrijden van malware en botnets." Er is echter nog een lange weg te gaan wat betreft de reactietijd van abuse-afdelingen bij providers, aldus Hussy. "Een gemiddelde reactietijd van meer dan een week is gewoon te lang en het bewijs van slechte internethygiëne." De onderzoeker hoopt dat Chinese hostingproviders in de toekomst sneller zullen gaan reageren op de abusemeldingen over hun netwerk. "Het is gewoon niet acceptabel dat malware-sitess meer dan een maand actief blijven." bron: security.nl

Malwarebytes heeft een update uitgebracht die moet voorkomen dat de beveiligingssoftware Windows 7-computers laat vastlopen. Sinds december klaagden gebruikers van het populaire anti-malwareprogramma dat hun Windows 7-systemen vastliepen. Alleen het uitschakelen van de computer was de enige manier om het systeem weer aan de praat te krijgen. Het bleek echter lastig om de exacte oorzaak te bepalen, waarop de malwarebestrijder de hulp van gebruikers vroeg. Onlangs lukte het Malwarebytes om het probleem te reproduceren. Het bleek te liggen in een combinatie van systemen met multiple core processors en de Web Protection-module op Windows 7. Meer dan een maand na de eerste meldingen verscheen afgelopen vrijdag een update (3.6.1 v1.0.527) die het vastlopen moet voorkomen. Verschillende gebruikers die met de vastlopers te maken kregen melden op het Malwarebytes-forum dat hun computer na de installatie van de update niet meer is vastgelopen. Malwarebytes behoort tot de populairste beveiligingssoftware onder Windows-gebruikers. bron: security.nl

De Franse privacytoezichthouder CNIL heeft Google een boete van 50 miljoen euro opgelegd wegens het overtreden van de Algemene verordening gegevensbescherming (AVG). Volgens de autoriteit schiet de internetgigant tekort in de informatievoorziening over het verwerken en opslaan van gegevens voor het personaliseren van advertenties, alsmede het verkrijgen van geldige toestemming. "Essentiële informatie, zoals het doel van de dataverwerking, de bewaartermijn van data en de soorten persoonlijke data die voor gepersonaliseerde advertenties worden gebruikt, zijn buitensporig over verschillende documenten verspreid, met knoppen en links die voor aanvullende informatie moeten worden geklikt. De relevante informatie is alleen na verschillende stappen toegankelijk, waarbij soms vijf tot zes acties nodig zijn", aldus CNIL. Daarnaast gaat Google de fout in door te stellen dat het over een juridische basis beschikt voor het verwerken van gegevens voor gepersonaliseerde advertenties. "Google stelt dat het toestemming van gebruikers verkrijgt voor het verwerken van data voor gepersonaliseerde advertenties. Deze toestemming is echter voor twee redenen niet geldig", zo gaat de Franse privacytoezichthouder verder. De eerste reden is dat gebruikers niet voldoende door Google worden geïnformeerd. De informatie over de dataverwerkingen is over verschillende documenten verspreid en zorgt ervoor dat de gebruiker niet in staat is om de omvang van de dataverwerkingen te beseffen. Verder is de verzamelde toestemming niet "specifiek" noch "ondubbelzinnig", stelt CNIL. Als er een account wordt aangemaakt kan de gebruiker wel verschillende opties over het account aanpassen, maar het is niet mogelijk om de weergave van gepersonaliseerde advertenties in het eerste scherm in te stellen. Daarnaast staat het weergeven van gepersonaliseerde advertenties bij de uitgebreidere opties standaard geselecteerd. Verder moet een gebruiker bij het aanmaken van een account zijn toestemming geven voor alle dataverwerkingen door Google, wat niet specifiek is en daarmee in overtreding van de AVG, aldus CNIL. Het is de eerste keer dat de Franse privacytoezichthouder de nieuwe boetebevoegdheid van de AVG inzet. De hoogte van het bedrag worden volgens CNIL gerechtvaardigd door de ernst van de overtreding aangaande de essentiële principes van de AVG, namelijk transparantie, informatie en toestemming. CNIL stelt verder dat Android een groot marktaandeel op de Franse markt heeft en dagelijks duizenden mensen een Google-account aanmaken om hun smartphone te gebruiken. Het economische model van het bedrijf is daarnaast op gepersonaliseerde advertenties gebaseerd. Daarom is het van het grootste belang om aan de wetgeving te voldoen, zo besluit de toezichthouder. bron: security.nl

Aanvallers maken misbruik van een beveiligingslek in Adminer, een populaire tool voor het beheren van MySQL- en PostgreSQL-databases, om wachtwoorden van webwinkels te stelen. Dat laat de Nederlandse beveiligingsonderzoeker Willem de Groot in een analyse weten. Om de wachtwoorden te kunnen stelen moeten aanvallers een open Adminer-installatie van het slachtoffer verbinding met een kwaadaardige MySQL-server laten maken. "Dit is niet lastig, aangezien veel mensen het in de root van hun website installeren", aldus De Groot. Adminer maakt dan verbinding met de kwaadaardige servers. De aanvallers vragen Adminer om een specifiek bestand dat het wachtwoord van geïnstalleerde applicaties gaat. Het gaat dan bijvoorbeeld om webwinkels die op het Magento-platform zijn gebaseerd, of WordPress-websites. De kwetsbaarheid zou al sinds augustus 2018 bekend zijn. De Groot laat weten dat de aanvalsmethode al op z'n minst sinds oktober 2018 door criminelen wordt gebruikt. Destijds had de onderzoeker nog niet door wat er precies plaatsvond. Wel zag hij dat criminelen het lek gebruikten om op verschillende grote webwinkels een skimmer te injecteren die creditcardgegevens van klanten opving en terugstuurde. De Groot merkt op dat hij Adminer versie 4.3.1 tot en met 4.6.2 heeft getest en al deze versies zijn kwetsbaar. Adminer versie 4.6.3, die vorig jaar juni verscheen, blijkt niet kwetsbaar te zijn. "Het is onduidelijk of het beveiligingslek opzettelijk is verholpen of per ongeluk, aangezien Adminer geen beveiligingsupdate vermeld", aldus de onderzoeker. Beheerders krijgen het advies om naar de laatste versie (4.7.0) te upgraden en toegang tot de database via een extra wachtwoord of ip-filter te beschermen. bron: security.nl

Aanvallers zoeken op grote schaal naar servers die een kwetsbaarheid in ThinkPHP bevatten, een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. Een kwetsbaarheid in het platform laat een aanvaller de onderliggende server overnemen. Volgens internetbedrijf Akamai maken verschillende aanvallers misbruik van de kwetsbaarheid om servers onderdeel van een botnet te maken of met andere malware te infecteren. Onderzoeker Larry Cashdollar zag aanvallers op Linux-systemen een cryptominer en backdoor installeren, terwijl Windows-servers met malware werden besmet waardoor aanvallers inloggegevens konden stelen en servers voor ddos-aanvallen konden gebruiken. De waarschuwing van Akamai staat niet op zichzelf. Vorige maand waarschuwde anti-virusbedrijf Trend Micro dat het ThinkPHP-lek door Mirai-achtige malware werd gebruikt voor het infecteren van Internet of Things-apparaten. Voor het aangevallen beveiligingslek in ThinkPHP is een beveiligingsupdate beschikbaar. bron: security.nl

Tal van laptops, spelcomputers en andere systemen zijn kwetsbaar door beveiligingslekken in de firmware van de gebruikte wifi-chipset. De kwetsbaarheden zijn aanwezig in de ThreadX-firmware waar de Marvell Avastar wifi-chipset gebruik van maakt. Deze chipset is aanwezig in de Sony PlayStation 4, Microsoft Surface-laptop, Xbox One, Samsung Chromebook, sommige smartphones zoals de Galaxy J1, Valve SteamLink en andere apparaten. Onderzoekers van Embedi vonden vier kwetsbaarheden in de firmware, waarvan het ergste beveiligingslek zonder interactie van de gebruiker is te misbruiken. De enige vereiste is dat wifi staat ingeschakeld. De Marvell wifi-chipset voert elke vijf minuten een scan uit waarbij er naar beschikbare netwerken wordt gezocht. Een aanvaller kan zonder enige authenticatie, en zonder dat hij de netwerknaam (SSID) hoeft te kennen die het slachtoffer verwacht, op deze scan reageren en zo willekeurige code op de wifi-chip uitvoeren. De onderzoekers spreken in hun analyse over het op afstand uitvoeren van code op een Samsung Chrombook. Ook geven ze een voorbeeld van het uitvoeren van code op de applicatieprocessor van de SteamLink. Dit is een apparaat om pc-games naar bijvoorbeeld een televisie te streamen. De onderzoekers merken op dat draadloze apparaten in het algemeen een groot aanvalsoppervlak bieden en dat de door hun gebruikte methodes ook op andere apparaten zijn toe te passen. De leverancier werd vorig jaar mei door de onderzoekers gewaarschuwd en werkt aan een update. Pas als er beveiligingsupdates beschikbaar zijn zullen de onderzoekers een exploit vrijgeven om de kwetsbaarheid te demonstreren, alsmede tools en een whitepaper over de kwetsbaarheden. Wel hebben de onderzoekers vorig jaar een presentatie over het onderwerp gegeven (pdf). bron: security.nl

Gebruikers van de WordPressplug-in WPML zijn getroffen door een datalek waarbij een aanvaller hun namen, e-mailadressen en sitekeys in handen kreeg. Dit weekend werd er op de website van WPML ingebroken. WPML is een plug-in waarmee WordPress-sites eenvoudig in verschillende talen kunnen worden aangeboden. De ontwikkelaars claimen dat WPML op meer dan 600.000 websites draait. Het datalek kwam aan het licht nadat de aanvaller naar gebruikers een e-mail verstuurde waarin hij beweerde dat WPML onveilig is en vol beveiligingslekken zit. De buitgemaakte sitekeys worden door websites gebruikt om updates van WPML.org te ontvangen. De ontwikkelaars van de plug-in benadrukken dat de aanvaller met de sitekeys geen updates of andere aanpassingen naar de websites van gebruikers kan pushen. Alle gebruikers krijgen het advies om hun account op WPML.org te resetten. Naar aanleiding van de inbraak heeft WPML.org de website geüpdatet, alles herbouwd en opnieuw geïnstalleerd. Verder is toegang tot het beheergedeelte via tweefactorauthenticatie beveiligd en de toegang die de webserver tot het bestandssysteem heeft beperkt. In een verklaring op de eigen website stelt het WPML-ontwikkelteam dat de aanval door een ex-werknemer is uitgevoerd die een oud ssh-wachtwoord zou hebben gebruikt. De aanval zou niet via een exploit in WordPress, WPML of ander plug-in zijn uitgevoerd. Later deze week komt het ontwikkelteam met meer informatie over de inbraak. bron: security.nl

Vorig jaar hebben onderzoekers bij het Zero Day Initiative (ZDI) een recordaantal kwetsbaarheden in pdf-lezers van Adobe en Foxit gemeld. Het ging om bijna 500 beveiligingslekken die werden gerapporteerd. Het ZDI beloont onderzoekers voor dergelijke meldingen en informeert vervolgens de fabrikant. De fabrikant is zo in staat om een beveiligingsupdate te ontwikkelen. ZDI hanteert wel een deadline van 120 dagen waarin fabrikanten, na te zijn ingelicht, met een patch moeten komen, anders worden details van het beveiligingslek openbaar gemaakt. In 2018 publiceerde het ZDI advisories over 1444 kwetsbaarheden die onderzoekers hadden gemeld. 427 advisories meer dan in 2017. Van de 1444 kwetsbaarheden waren er 1286 gepatcht op het moment dat de advisory verscheen. Voor 158 kwetsbaarheden was er op het moment dat de advisory werd gepubliceerd geen patch beschikbaar. De meeste kwetsbaarheden werden in de pdf-lezers van Adobe en Foxit gerapporteerd. In het geval van Foxit ging het om 257 beveiligingslekken, gevolgd door Adobe met 238 kwetsbaarheden. Adobe biedt ook nog andere programma's aan, maar het ZDI meldt dat 96 procent van de Adobe-advisories over Adobe Reader of Acrobat Reader ging. Volgens Dustin Childs van het ZDI komt deze aandacht voor pdf-lezers door het toegenomen gebruik van pdf-bestanden in actieve exploits. "Het pdf-formaat blijft bij actieve aanvallen worden gebruikt en het einde is nog niet in zicht. Gezien dat dit bestandsformaat door veel applicaties op veel besturingssystemen wordt weergegeven, is het geen verrassing waarom het een aantrekkelijk doelwit blijft. Ontwikkelaars moeten dan ook defense-in-depth-maatregelen nemen om gehele klassen van kwetsbaarheden voor pdf's te verhelpen om een enigszins acceptabel beveiligingsniveau te hebben", stelt Childs. Het werkelijke aantal gevonden kwetsbaarheden in de pdf-lezers ligt veel hoger, aangezien het hier alleen gaat om kwetsbaarheden die onderzoekers bij het ZDI rapporteerden. Er zijn ook nog andere bedrijven die organisaties belonen voor het melden van kwetsbaarheden. Daarnaast kunnen onderzoekers met hun bevindingen ook direct bij de softwareontwikkelaar aankloppen. bron: security.nl

Adobe heeft een opensourcetool gelanceerd waarmee organisaties de voor het internet zichtbare kant van hun netwerk in kaart kunnen brengen. De tool heet Marinus en maakt gebruik van dns-records, tls-certificaten, open poorten, http-headers en andere informatie om te zien welke informatie er over het netwerk van de organisatie is te vinden. Aanvallers maken bij het verkennen van een potentieel doelwit ook gebruik van dergelijke informatie om bijvoorbeeld zwakke of interessante plekken te vinden. Via Marinus kunnen organisaties zien of er bijvoorbeeld subdomeinen zijn die risico lopen om te worden overgenomen, of dat er bepaalde diensten onbedoeld zijn blootgesteld. Ook detecties door VirusTotal worden door de tool weergegeven. Verder kan de tool een visuele weergave van het netwerk geven. Om met Marinus aan de slag te gaan zijn er drie onderdelen vereist. Zo moet er een Mongo-database aanwezig zijn voor het opslaan van data. Daarnaast zijn er één of meerdere servers vereist voor het draaien van de Python-scripts die de data verzamelen en in de Mongo-database opslaan. Als laatste vereist Marinus een server om de interactieve NodeJS-website te draaien die voor het weergeven van de data wordt gebruikt. Adobe werkte twee jaar aan Marinus en de softwareontwikkelaar heeft nu besloten een opensourceversie van het programma uit te brengen. Daarnaast kijkt Adobe of het mogelijk is om de tool met de Shodan-zoekmachine en Google Compute te integreren. bron: security.nl

De populaire browserextensie Ghostery heeft een betaald abonnement geïntroduceerd dat gebruikers nieuwe opties geeft om hun "digitale voetafdruk" in de gaten te houden. Ghostery is een extensie voor verschillende browsers die trackers, webbugs, trackingpixels en advertenties blokkeert. Zo'n vier miljoen Chrome- en Firefox-gebruikers hebben de extensie geïnstalleerd. Voor 2 dollar per maand kunnen gebruiker nu van "Ghostery Plus" gebruikmaken. Het abonnement biedt nieuwe features, zoals historische statistieken over trackers en advertenties. Verder komen betalende gebruikers in aanmerking voor "priority support" en andere features die nog in ontwikkeling zijn. Volgens de ontwikkelaars van Ghostery is het betaalmodel nodig om te kunnen overleven. Daarnaast zou het moeten helpen bij het investeren in meer geavanceerde producten en technologieën. "We denken dat 2019 het jaar wordt waar privacy-as-a-service een levensvatbaar businessmodel wordt", aldus het Ghostery-team. De extensie werd in 2017 door het Duitse softwarebedrijf Cliqz overgenomen. Cliqz ontwikkelt browsers en browserextensies met geïntegreerde zoekmachines. Daarbij claimt het targeting, het gericht tonen van advertenties, en privacy te combineren. bron: security.nl

In de Chrome Web Store van Google is een malafide Chrome-extensie aangetroffen die creditcardgegevens van gebruikers steelt. De extensie, met de naam "‘Reader Flash", was sinds februari 2018 in de Chrome Web Store te vinden en sindsdien door zo'n vierhonderd mensen gedownload. De extensie wordt verspreid via websites. JavaScript dat de aanvallers aan de websites toevoegen detecteert of bezoekers Google Chrome gebruiken. Wanneer dit het geval is worden ze doorgestuurd naar een website die stelt dat de gebruiker Flash moet installeren. De "installatieknop" wijst vervolgens naar de malafide extensie in de Chrome Web Store. Na de installatie monitort de extensie de invoer van de gebruiker. Zodra die op een website zijn creditcardgegevens invoert worden die onderschept en naar de aanvallers teruggestuurd. Google heeft de extensie inmiddels uit de Chrome Web Store verwijderd, zo meldt securitybedrijf Eleven Paths. bron: security.nl

In het populaire contentplatform Drupal zijn twee ernstige kwetsbaarheden gepatcht waardoor aanvallers in het ergste geval websites hadden kunnen overnemen. Via de beveiligingslekken kan een aanvaller op afstand code uitvoeren en het onderliggende systeem overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). De kwetsbaarheden zijn aanwezig in Drupal core. Het contentplatform maakt gebruik van de third-party PEAR Archive_Tar library. Deze library bevat een kwetsbaarheid waardoor het op afstand uitvoeren van code mogelijk is. Het tweede beveiligingslek wordt veroorzaakt doordat sommige Drupalcode de invoer van gebruikers onvoldoende valideert, waardoor het uitvoeren van willekeurige PHP-code mogelijk is. Beheerders van een Drupalsite krijgen het advies om te updaten naar Drupal 7.62, 8.5.9 of 8.6.6. Versies van Drupal 8 voor versienummer 8.5.x zijn end-of-life en ontvangen geen beveiligingsupdates meer. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet. bron: security.nl

Op internet wordt een verzameling van 773 miljoen unieke e-mailadressen en ruim 21 miljoen unieke wachtwoorden aangeboden die uit verschillende datalekken afkomstig zijn. Dat laat onderzoeker Troy Hunt weten. De gegevens zijn bij mogelijk duizenden gehackte websites buitgemaakt en werden als één verzameling op een hackingforum aangeboden. Op de lijst van gehackte websites staan ook meerdere Nederlandse websites. De verzameling bestaat volgens Hunt uit meer dan 12.000 verschillende bestanden en is bij elkaar meer dan 87GB groot. De onderzoeker ontdekte in de gegevensverzameling ook zijn eigen persoonlijke data. De dataset bevat zowel gehashte als gekraakte wachtwoorden. Hierdoor kunnen aanvallers proberen om met een combinatie van e-mailadressen en wachtwoorden bij andere diensten in te loggen. In de praktijk blijken er nog altijd gebruikers te zijn die voor meerdere diensten hetzelfde wachtwoord gebruiken en zijn daardoor kwetsbaar voor dit soort aanvallen. Hunt heeft de e-mailadressen aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Verder zijn de ruim 21 miljoen wachtwoordhashes aan de "Pwned Passwords" verzameling van Hunt toegevoegd. De beveiligingsonderzoeker besloot vorig jaar miljoenen gehashte wachtwoorden voor iedereen beschikbaar te maken. Op deze manier kunnen websites gebruikers waarschuwen als ze een wachtwoord gebruiken dat in de dataset voorkomt. De lijst bevat inmiddels meer dan 551 miljoen wachtwoordhashes. bron: security.nl

Onderzoekers hebben bij 277 webwinkels besmette advertentiecode aangetroffen die creditcardgegevens van klanten heeft gestolen. Het afgelopen jaar wisten criminelen bij duizenden webshops zogeheten "creditcardskimmers" aan de betaalpagina toe te voegen. Dit gebeurde doordat de criminelen toegang tot de webwinkels wisten te krijgen of een derde partij compromitteerden waar de webshops gebruik van maakten. Onlangs ontdekten onderzoekers van anti-virusbedrijf Trend Micro bij 277 webwinkels een creditcardskimmer. Het ging volgens de onderzoekers om bekende cosmetica-, gezondheids- en kledingmerken, alsmede ticket-, reis- en vluchtboekingsdiensten. Namen van de getroffen webshops zijn niet openbaar gemaakt. Verder onderzoek wees uit dat de skimmercode niet direct aan de betaalpagina was toegevoegd, maar aan de code van een advertentiedienst waar de webwinkels gebruik van maakten. Het gaat om Adverline, een Frans online advertentiebedrijf. In het geval van Adverline was de kwaadaardige code toegevoegd aan een JavaScript-library die voor "retargeting" advertenties wordt gebruikt. Via retargeting kunnen webwinkels bezoekers taggen, zodat die specifieke advertenties te zien krijgen om ze weer naar de webwinkel te krijgen. De aanvallers hadden de JavaScript-library aangepast waardoor die ook een creditcardskimmer bevatte die automatisch werd geladen. Opgevangen creditcardgegevens werden vervolgens naar een remote server gestuurd. Hoe de aanvallers toegang tot de JavaScript-library van Adverline wisten te krijgen is niet bekendgemaakt. De kwaadaardige code is inmiddels door het advertentiebedrijf verwijderd. bron: security.nl