Captain Kirk

Hostingprovider Data Resolution, dat naar eigen zeggen zo'n 30.000 klanten heeft, is op kerstavond getroffen door de Ryuk-ransomware. Dit is dezelfde ransomware die vorige week het productieproces van verschillende Amerikaanse kranten ontregelde. In een bericht aan klanten laat het bedrijf weten dat aanvallers via een gecompromitteerd account toegang wisten te krijgen en vervolgens allerlei servers met de ransomware infecteerden. De Ryuk-ransomware wordt bij gerichte aanvallen ingezet en handmatig door aanvallers geïnstalleerd, in tegenstelling tot veel andere ransomware die via e-mailbijlagen wordt verspreid. De aanvallers wisten ook korte tijd de controle over het datacenterdomein te krijgen, waardoor de hostingprovider geen toegang meer tot de eigen systemen had. Om de verspreiding van de ransomware tegen te gaan besloot Data Resolution om het gehele netwerk uit te schakelen. In het bericht aan klanten verklaart het bedrijf dat er geen aanwijzingen zijn dat er gegevens zijn buitgemaakt. Volgens it-journalist Brian Krebs is Data Resolution nog steeds bezig met het herstellen van e-mailtoegang en databases van klanten. Een anonieme bron voegt toe dat de hostingprovider het door de ransomware gevraagde losgeld voor het ontsleutelen van bestanden niet heeft betaald. Het bedrijf zou ervoor hebben gekozen om systemen via beschikbare back-ups te herstellen. bron: security.nl

Een hacker die zichzelf HackerGiraffe noemt heeft op allerlei publiek toegankelijke Chromecasts en smart-tv's een YouTube-video afgespeeld waarin reclame wordt gemaakt voor de Zweedse Youtuber PewDiePie en wordt uitgelegd hoe gebruikers hun apparaat kunnen beveiligen. Op een website die de hacker over "CastHack" online zette wordt gesteld dat meer dan 72.000 Chromecasts en smart-tv's met ingebouwde Chromecast via internet benaderbaar zijn, maar op Twitter laat de hacker weten dat er bijna 180.000 Chromecasts direct met internet zijn verbonden. Via een Chromecast kunnen gebruikers beelden van hun telefoon of laptop naar een televisie streamen. Om de video op de apparaten van anderen af te spelen maakt de hacker gebruik van een programmeerinterface (API) van Google. Via deze api is het mogelijk om verbinding met publiek toegankelijke Chromecasts te maken en de video af te spelen. Ook kan het apparaat worden hernoemd en is het mogelijk om informatie te verzamelen, zoals het wifi-netwerk waarmee de Chromecast is verbonden. Tevens kunnen de fabrieksinstellingen worden teruggezet. De aanval is mogelijk dankzij Universal Plug and Play (UPnP), waardoor de Chromecasts en smart-tv's voor het internet toegankelijk zijn. Zowel HackerGiraffe als Google adviseren gebruikers dan ook om UPnP op hun router uit te schakelen, alsmede poorten 8008, 8443 en 8009 niet te forwarden. Google zou daarnaast mogelijk maatregelen hebben getroffen om misbruik van de API tegen te gaan, maar dit is niet bevestigd, zo meldt Bleeping Computer. De YouTube-video die op de Chromecasts werd afgespeeld is door de videodienst van het platform verwijderd. HackerGiraffe was eerder verantwoordelijk voor het printen van een document op tienduizenden printers waarin werd opgeroepen om het YouTube-kanaal van PewDiePie te volgen. bron: security.nl

Online privacybedrijf Abine heeft gebruikers van de wachtwoordmanager Blur gewaarschuwd voor een datalek met gevoelige gegevens, waaronder de wachtwoordhashes van gebruikers. Blur is een wachtwoordmanager die gebruikers lokaal en in de cloud hun wachtwoorden laat opslaan. Volgens Abine maken bijna 24 miljoen mensen er gebruik van. Op donderdag 13 december ontdekte het bedrijf een bestand met informatie van Blur-gebruikers dat voor derden toegankelijk was. Dit bestand bevatte informatie van Blur-gebruikers die voor 6 januari 2018 hun account hadden geregistreerd. Het gaat om e-mailadressen, voor- en achternaam, in sommige gevallen wachtwoordhints van een ander product van Abine genaamd MaskMe, de laatste twee ip-adressen van de gebruiker en de gehashte wachtwoorden van gebruikers. Met het wachtwoord kan toegang tot de wachtwoordmanager worden verkregen. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Voor het hashen van de wachtwoorden maakt Blur gebruik van het Bcrypt-algoritme. Daarnaast wordt er voor elke gebruiker een unieke "salt" gebruikt. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Dit maakt het lastiger voor een aanvaller om het daadwerkelijke wachtwoord te achterhalen, maar niet onmogelijk. Blur-gebruikers krijgen het advies om hun wachtwoord te wijzigen. Gebruikers die dit wachtwoord ook op andere websites gebruiken wordt aangeraden daar een uniek wachtwoord in te stellen. Abine stelt verder dat het een vooraanstaand securitybedrijf heeft ingeschakeld om het incident te onderzoeken en de autoriteiten zijn ingelicht. bron: security.nl

Een probleem met de Windows 10 October 2018 Update zorgt er in bepaalde gevallen voor dat het ingebouwde beheerdersaccount, wanneer ingeschakeld door de gebruiker, onbedoeld wordt uitgeschakeld. Dat heeft Microsoft Japan in een blogposting op TechNet laten weten. Windows 10 beschikt over een ingebouwd beheerdersaccount dat standaard staat uitgeschakeld. Gebruikers kunnen dit account echter zelf inschakelen. Bij het upgraden van Windows 10 versie 1803 (April 2018 Update) naar Windows 10 versie 1809 (October 2018 Update) wordt het ingeschakelde beheerdersaccount uitgeschakeld als er ook nog andere accounts met beheerdersrechten zijn aangemaakt. Microsoft zegt aan een oplossing te werken die eind deze maand gereed moet zijn. Gebruikers die voor het uitkomen van deze patch naar Windows 10 versie 1809 willen upgraden krijgen het advies om te controleren of ze, naast het ingebouwde admin-account, met een gebruiker kunnen inloggen die ook over beheerdersrechten beschikt. Gebruikers die de upgrade al hebben uitgevoerd en kunnen inloggen met een account met beheerdersrechten, kunnen het uitgeschakelde, ingebouwde admin-account zelf weer activeren. bron: security.nl

Meer dan 150 miljoen websites maken inmiddels gebruik van een tls-certificaat van Let's Encrypt voor het aanbieden van een versleutelde verbinding aan bezoekers en dat aantal zal naar verwachting dit jaar naar 215 miljoen stijgen. Dat meldt de Internet Security Research Group (ISRG), de partij achter Let's Encrypt. Het initiatief wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door tls-certificaten gratis uit te geven en de installatie zo eenvoudig mogelijk te maken. Het afgelopen jaar steeg het aantal door Firefox geladen https-pagina's van 67 procent naar 77 procent. "Dit is een ongekende verandering", zegt Josh Aas, directeur van de ISRG. Het gebruik van https moet zowel de veiligheid als privacy van internetgebruikers verbeteren. Het maakt het veel lastiger voor kwaadwillenden om het webverkeer van gebruikers te onderscheppen en bijvoorbeeld wachtwoorden en andere gevoelige informatie te achterhalen. Voor dit jaar heeft de ISRG de verwachting dat het aantal websites met een certificaat van Let's Encrypt naar 215 miljoen zal stijgen. Aas merkt op dat Let's Encrypt dit jaar weer een groot deel van het web zal beschermen met een budget van slechts 3,6 miljoen dollar. Verschillende grote partijen hebben ook dit jaar weer in Let's Encrypt geïnvesteerd, maar er worden nog donateurs gezocht om alle kosten van 2019 te kunnen dekken. bron: security.nl

Onderzoekers die kwetsbaarheden in vrije en opensourcesoftware ontdekken en rapporteren krijgen vanaf januari een beloning van de Europese Unie. De beloningen zijn onderdeel van het Free and Open Source Software Audit (FOSSA) project van de Europese Commissie dat in 2014 werd gestart en als doel heeft om de veiligheid van het internet te verbeteren. In 2015 en 2016 maakte het project een overzicht van vrije en opensourcesoftware die binnen de Europese Commissie en het Europees Parlement wordt gebruikt. Tevens werd tijdens deze startfase met geld van de EU een audit van Apache en KeePass uitgevoerd. Vorig jaar volgde het eerste 'bug bounty' programma van FOSSA, dat onderzoekers beloonde voor het melden van kwetsbaarheden in VLC Media Player. Het beloningsprogramma is nu verder uitgebreid, zo meldt Europarlementariër Julia Reda. Vanaf januari worden ook kwetsbaarheden in andere softwareprojecten beloond. Het gaat onder andere om Filezilla, Notepad++, PuTTY, KeePass, 7-Zip, Drupal en Apache Tomcat. In totaal is er 851.000 euro beschikbaar voor het belonen van onderzoekers, waarbij het meeste geld beschikbaar is voor PuTTY, een populaire ssh-client. bron: security.nl

Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar. Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren. Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon. Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7. Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen. bron: security.nl

Ruim anderhalf jaar na de uitbraak van de WannaCry-ransomware is de malware nog steeds op een groot aantal systemen actief. Dat blijkt uit cijfers van securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert. WannaCry probeert op besmette machines met deze domeinnaam verbinding te maken. Wanneer er verbinding wordt gemaakt stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. Vorige week zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen 'beacons' (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India. Door dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet, maar de dreiging is nog altijd aanwezig, aldus het securitybedrijf. "Niemand maakt zich meer druk om WannaCry, het is oud nieuws. Maar voor ons blijft de killswitch van groot belang", zegt onderzoeker Jamie Hankins van Kryptos Logic. Hij merkt op dat de schade enorm kan zijn als de killswitch door een storing niet bereikbaar is. Organisaties worden dan ook opgeroepen om hun systemen te patchen en op te schonen. De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond. bron: security.nl

Een nieuw ransomware-exemplaar genaamd JungleSec infecteert Linux-server via onbeveiligde IPMI-interfaces. IPMI staat voor Intelligent Platform Management Interface en is een managementinterface die onderdeel van moederborden is of als insteekkaart kan worden toegevoegd. Via de IPMI-interface is het mogelijk om de server op afstand te beheren, aan en uit te zetten en toegang tot de remote console te krijgen. Verschillende slachtoffers van de JungleSec-ransomware laten tegenover Bleeping Computer weten dat hun Linux-server via een onbeveiligde IPMI-interface besmet is geraakt. Bij één van de slachtoffers bleek de interface nog het standaard door de fabrikant ingestelde wachtwoord te gebruiken. Nadat de aanvaller toegang tot de interface heeft gekregen wordt de computer in single usermode herstart om zo roottoegang te krijgen. In de single usermode wordt vervolgens de ransomware gedownload en uitgevoerd. JungleSec versleutelt allerlei bestanden op het systeem en vraagt 1000 euro voor het ontsleutelen van de bestanden. Beheerders van servers met een IPMI-interface krijgen het advies om het standaardwachtwoord te wijzigen en de access control list (ACL) zo in te stellen dat alleen bepaalde ip-adressen toegang hebben. bron: security.nl

Er is een nieuwe versie van Firefox Focus voor Android verschenen die gebruikers meer controle over tracking en cookies geeft. Firefox Focus is een door Mozilla ontwikkelde mobiele browser die op privacy en snelheid is gericht. Standaard worden advertenties, trackers en trackingcookies geblokkeerd en is het mogelijk om met een druk op de knop alle gegevens van de browsesessie te wissen. De nieuwste versie biedt gebruikers de mogelijkheid om de trackingbescherming voor vertrouwde websites uit te schakelen. Dit kan worden gedaan via een whitelist. Ook kunnen gebruikers er nu voor kiezen om alleen third-party trackingcookies te blokkeren en wordt safe browsing ondersteund. Gebruikers krijgen een waarschuwing als ze een phishingsite of andere bekende gevaarlijke website bezoeken. Als laatste is het eenvoudiger gemaakt om url's aan de autocompletefunctie toe te voegen, zodat gebruikers bij een volgende keer niet de hele url hoeven in te tikken. Firefox Focus is beschikbaar voor zowel Android als iOS. De nieuwe features zijn op dit moment alleen in de Android-versie aanwezig, die te downloaden is via de website van Mozilla, GitHub en Google Play Store. bron: security.nl

De noodpatch die Microsoft vorige week uitbracht voor een actief aangevallen kwetsbaarheid in Internet Explorer zorgt bij sommige laptops voor problemen, zo heeft de softwaregigant bekendgemaakt. Via het beveiligingslek kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Voor alle ondersteunde Windows-versies bracht Microsoft buiten de vaste patchcyclus om een noodpatch uit. Na de installatie kan de noodpatch bij sommige Lenovo-laptops met minder dan 8GB werkgeheugen voor problemen zorgen, waardoor Windows niet meer opstart. Dat staat in een overzicht van bekende problemen die de update veroorzaakt. Om het euvel te verhelpen geeft Microsoft verschillende oplossingen, zoals het uitschakelen van Secure Boot en het daarna herstarten van de machine. In het geval BitLocker is ingeschakeld moeten gebruikers na het uitschakelen van Secure Boot eerst de BitLocker-recovery doorlopen. Microsoft meldt verder dat het met Lenovo samen aan een update werkt. Wanneer die gereed is laat de softwaregigant niet weten. bron: security.nl

Gebruikers van het op privacy gerichte besturingssysteem Tails krijgen volgend jaar de mogelijkheid om automatisch upgrades uit te laten voeren. Het is één van de maatregelen die de ontwikkelaars nemen om het gebruiksgemak van Tails te vergroten. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het wordt zo'n 20.000 keer per dag gebruikt, maar de ontwikkelaars willen het aantal gebruikers vergroten. Zo wordt er in januari een nieuw installatiemechanisme gelanceerd om de installatie van Tails op macOS te vereenvoudigen. Ook maakt dit mechanisme het eenvoudiger om Tails op Linux en Windows te gebruiken. Tevens zal het besturingssysteem Secure Boot ondersteunen. Een andere nieuwe maatregel om het gebruiksgemak te vergroten is dat het uitvoeren van handmatige upgrades niet meer noodzakelijk zal zijn. Gebruikers kunnen straks automatisch upgrades laten uitvoeren, behalve in het geval van grote upgrades naar een geheel nieuwe versie. De ontwikkelaars zijn verder van plan om ook een lichter en robuuster upgrademechanisme te gaan onderzoeken. Naast de technische maatregelen zal ook de website van Tails onderhanden worden genomen. Op deze manier willen de ontwikkelaars duidelijker aan nieuwe gebruikers maken wat Tails precies is en waarom ze het zouden moeten gebruiken. "Meer en meer mensen zullen Tails leren kennen en gebruiken om zichzelf te beschermen", zo stellen de ontwikkelaars in hun plannen voor 2019. bron: security.nl

Chrome-gebruikers zijn het doelwit van een nieuwe online scam die de processor 100 procent belast en niet via de gebruikersinterface van de browser is te sluiten. Het gaat om een zogeheten "browserlock" waarbij een kwaadaardige webpagina ervoor zorgt dat de browser niet meer reageert. De webpagina laat vervolgens weten dat de computer mogelijk door schadelijke virussen besmet is en er mogelijk belangrijke gegevens zoals wachtwoorden, creditcardgegevens en lokale bestanden zijn gestolen. Vervolgens wordt opgeroepen om het opgegeven telefoonnummer te bellen. Dit is het nummer van helpdeskfraudeurs die het slachtoffer proberen te laten betalen voor het oplossen van niet bestaande computerproblemen. Ook komt het voor dat helpdeskfraudeurs toegang tot de computer van het slachtoffer proberen te verkrijgen en zelf geld van de bankrekening stelen. De nu ontdekte scam maakt gebruik van een bug in Google, zo laat onderzoeker Jerome Segura van anti-malwarebedrijf Malwarebytes weten. Deze bug zorgt ervoor dat de browser via een JavaScript-loop vastloopt en de computer nog nauwelijks te gebruiken is. Gebruikers kunnen op dit moment alleen nog via Taakbeheer de browser sluiten. Het probleem is echter dat zodra gebruikers Chrome weer starten, de scampagina weer wordt geopend en de browser weer vastloopt. Dit kan worden voorkomen door Chrome geen eerder geopende pagina's te laten openen. Wanneer de scampagina met Firefox wordt geopend kunnen gebruikers de tab in kwestie wel gewoon sluiten, zo meldt Bleeping Computer. Wanneer Google de betreffende Chrome-bug zal verhelpen is nog niet bekend. Chrome-gebruikers kunnen bijvoorbeeld via malafide advertenties op de scampagina terechtkomen. bron: security.nl

Chrome OS, het besturingssysteem van Google dat voornamelijk voor goedkopere laptops wordt gebruikt, gaat de usb-poorten blokkeren wanneer het scherm is vergrendeld. Google heeft hiervoor een nieuwe feature ontwikkeld genaamd USBGuard. Dit moet gebruikers tegen verschillende soorten aanvallen beschermen waarbij wordt geprobeerd om via fysieke toegang tot de usb-poort gegevens te stelen of het apparaat over te nemen. Onderzoekers hebben in het verleden verschillende aanvallen via de usb-poort aangetoond, zoals BadUSB. Ook zijn er usb-apparaten beschikbaar, zoals de Rubber Ducky, om via de usb-poort gegevens van een systeem te stelen. Een aantal maanden geleden introduceerde Apple nog een nieuwe feature voor iOS genaamd USB Restricted Mode, die de Lightning-poort uitschakelt wanneer het langer dan een uur geleden is sinds het toestel is ontgrendeld of op een computer of andere accessoire is aangesloten. Gebruikers van Chrome OS krijgen waarschijnlijk wel een optie om vertrouwde usb-apparaten te whitelisten, zodat die ook nog steeds bij een vergrendeld scherm zijn te gebruiken. Daarnaast zouden al aangesloten usb-apparaten blijven werken, zo laat de website Chrome Story weten op basis van een nieuwe toevoeging aan de Chrome OS-code. Gebruikers van een testversie van Chrome OS kunnen USBGuard inschakelen door in de adresbalk "chrome://flags/#enable-usbguard" uit te voeren. Chrome OS is vooral binnen Amerikaanse onderwijsinstellingen erg populair, maar wint ook in de rest van de wereld terrein, zo blijkt uit cijfers van Futuresource. bron: security.nl

Meer dan 19.000 Livebox adsl-modems van internetprovider Orange lekken wifi-wachtwoorden en netwerknamen via internet. Dat meldt onderzoeker Troy Mursch op basis van eigen onderzoek. Mursch ontdekte het beveiligingslek nadat hij zag dat er actief naar deze wifi-wachtwoorden wordt gezocht. Een honeypot van de onderzoeker werd gescand, waardoor het voor Mursch duidelijk werd waar de aanvallers precies naar zochten. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen. Mursch voerde vervolgens zelf een scan uit op internet en vond 19.490 Livebox adsl-modems die wifi-wachtwoorden een ssid's in plaintext lekken. Veel van de gevonden modems die hun wifi-wachtwoord lekten bleken ditzelfde wachtwoord te gebruiken om het apparaat te beheren of maakten nog steeds gebruik van het standaardwachtwoord voor de beheerder. "Hierdoor kan elke willekeurige remote gebruiker eenvoudig toegang tot het apparaat krijgen en de instellingen of firmware aanpassen", aldus Mursch. Verder blijkt dat het mogelijk is om het telefoonnummer te achterhalen dat aan de modem is gekoppeld en andere aanvallen uit te voeren. De meeste kwetsbare modems zijn onderdeel van de Spaanse tak van Orange. Het Orange CERT Coordination Center heeft de bevindingen van Mursch bevestigd en is een onderzoek ingesteld. Tevens is er een CVE-nummer aan de kwetsbaarheid toegekend. Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. bron: security.nl

De Amerikaanse autoriteiten hebben met hulp van de Nederlandse politie vijftien domeinen van ddos-diensten in beslag genomen. Ook zijn er drie verdachten aangeklaagd voor het beheer van deze websites. Deze diensten, ook bekend als stressers of booters, voeren tegen betaling ddos-aanvallen uit. Volgens het Amerikaanse openbaar ministerie waren de aanvallen gericht tegen financiële instellingen, universiteiten, internetproviders, overheidssystemen en verschilleden gamingplatformen. Voordat de domeinnamen in beslag werden genomen werden de aangeboden ddos-diensten eerst door de FBI getest. De opsporingsdienst stelde vervolgens vast dat deze diensten netwerken van allerlei niveaus kunnen verstoren. Eén van de ddos-diensten waarvan de domeinnaam in beslag is genomen was al sinds 2012 operationeel en had meer dan 80.000 gebruikers. In de aankondiging van het nieuws bedankt het Amerikaanse openbaar ministerie ook het Team High Tech Crime van de Nederlandse politie. Het logo van de Nederlandse politie is daarnaast op de in beslag genomen domeinnamen te zien. bron: security.nl

De recente aanval met de Shamoon-malware, die servers van bedrijven in Europa en het Midden-Oosten wiste, begon met verschillende nagemaakte vacaturesites van deze bedrijven. Dat laat anti-virusbedrijf McAfee in een analyse weten. De nagemaakte vacaturesites vroegen gebruikers om met hun zakelijke inloggegevens in te loggen. Ook kregen bezoekers kwaadaardige HTML-applicaties (HTA-bestand) aangeboden. Deze HTA-bestanden waren in werkelijkheid malware die als backdoor fungeerden en allerlei inloggegevens van het systeem probeerden te stelen, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. De gestolen inloggegevens werden vervolgens gebruikt om toegang tot de interne netwerken van deze bedrijven te krijgen. Nadat de aanvallers toegang tot de interne netwerken hadden verkregen werd de Shamoon-malware verspreid die bestanden en de Master Boot Record (MBR) van systemen overschreef. De systemen bleven daardoor onbruikbaar achter. Vorige week meldde Saipem, de Italiaanse dienstverlener aan de olie- en gasindustrie, dat honderden servers door de Shamoon-malware waren getroffen. Het ging om meer dan 300 servers in het Midden-Oosten, India, Aberdeen en Italië. Symantec meldt dat ook organisaties in de olie- en gasindustrie in de Verenigde Arabische Emiraten en Saoedi-Arabië zijn getroffen. De eerste versie van Shamoon wist in 2012 zo'n 30.000 computers van de Saoedische oliegigant Saudi Aramco te saboteren door allerlei gegevens te verwijderen en de Master Boot Record (MBR) van de harde schijf te overschrijven, waardoor het besturingssysteem niet meer kon worden gestart. Eind 2016 werd een tweede Shamoon-variant ontdekt, die het op Saoedische overheidsinstallaties had voorzien, alsmede andere organisaties in het Midden-Oosten. bron: security.nl

Wie een router zoekt moet controleren dat die geen MIPS-processor bevat. Meerdere populaire routers met een dergelijke processor zijn door een bug in een bepaalde Linuxkernel minder veilig en zouden daarom moeten worden vermeden. Daarnaast blijkt ook de beveiliging bij andere modellen tekort te schieten. Dat stellen onderzoekers van Cyber-ITL op basis van eigen onderzoek naar 28 routers van Asus, D-Link, Linksys, Netgear, Synology, TP-Link en Trendnet. Het gaat om routers die op ARM- en MIPS-processoren zijn gebaseerd. Om misbruik van kwetsbaarheden lastiger te maken kunnen ontwikkelaars verschillende maatregelen nemen, zoals address space layout randomization (ASLR), data execution prevention (DEP) en relocation read-only (RELRO). De routerfabrikanten blijken deze maatregelen nauwelijks in hun op Linux-gebaseerde router-firmware toe te passen, ook al ondersteunt Linux deze beveiligingsmaatregelen al zeer lang. Met name bij de routers die over een MIPS-processor beschikken gaat het mis. De MIPS-Linuxkernels van 2001 tot 2016 bevatten namelijk een bug waardoor stack based execution voor userland-processen wordt ingeschakeld. In 2016 verscheen een patch voor de MIPS-Linuxkernel om non-executable stacks in Linux MIPS mogelijk te maken. De patch geeft aanvallers echter de mogelijkheid om zowel ALSR als DEP te omzeilen. Het probleem is nog steeds in de MIPS-Linuxkernel aanwezig. De onderzoekers merken op dat de impact hiervan op het moment nog niet groot is, aangezien de routerfabrikanten nauwelijks nog van ALSR en DEP gebruikmaken. Gebruikers die een router zoeken krijgen wel het advies om apparaten met een MIPS-processor te vermijden, aangezien de problemen met deze architectuur nog wel enige tijd zullen aanhouden. "Gegeven de keuze tussen een Linux-gebaseerde router die op een ARM- of MIPS-processor draait, denken we dat een gebruiker statistisch meer bescherming geniet door een ARM-gebaseerd Linuxsysteem te kiezen." Aanvullend merken de onderzoekers op dat de veiligheid van routers ook tussen modellen van dezelfde fabrikant flink kan verschillen. bron: security.nl

Microsoft heeft een nieuwe optie aan een testversie van Windows 10 toegevoegd waardoor gebruikers met een via sms verkregen code op het besturingssysteem kunnen inloggen om hun account in te stellen. De softwaregigant wil op deze manier het gebruik van wachtwoorden terugdringen. In een aankondiging van de nieuwe testversie van Windows 10 laat Microsofts Dona Sarkar weten dat gebruikers van wie het Microsoftaccount aan hun telefoonnummer is gekoppeld, een sms-code kunnen gebruiken om in te loggen en vervolgens hun account op Windows 10 in te stellen. Zodra het account is ingesteld kunnen gebruikers inloggen via Windows Hello Face, Fingerprint of een pincode. Gebruikers die nog geen "wachtwoordloos telefoonnummeraccount" hebben kunnen dit aanmaken via een mobiele app zoals Word. Vervolgens kan dit account aan Windows worden toegevoegd en bij het inloggen worden gekozen. Vervolgens zal ook hierbij Windows Hello moeten worden gekozen om voortaan op het besturingssysteem in te loggen. De nieuwe optie is op dit moment alleen beschikbaar in de testversie van de Windows 10 Home-versie. Tamper Protection Een andere nieuwe optie in de testversie van Windows 10 is "Tamper Protection". Dit is een onderdeel van Windows Defender Antivirus. Wanneer ingeschakeld biedt het aanvullende bescherming tegen aanpassingen aan belangrijke beveiligingsinstellingen. Verder beschikt de testversie over de Windows Sandbox waarover gisteren al werd bericht. Wanneer de opties in de uiteindelijke versie van Windows 10 terechtkomen is nog niet bekend. bron: security.nl

Het No More Ransom-project van de Nederlandse politie, Europol en verschillende antivirus- en securitybedrijven heeft al meer dan 72.000 slachtoffers van ransomware geholpen met het gratis ontsleutelen van hun bestanden die door ransomware waren versleuteld. Dat laat Europol vandaag weten. No More Ransom werd in juli 2016 gelanceerd en biedt informatie over ransomware en allerlei decryptietools om versleutelde bestanden kosteloos te ontsleutelen. Sinds de start van het project hebben steeds meer partners zich bij No More Ransom aangesloten. De website biedt 59 decryptietools voor 91 ransomware-families. Vanaf vandaag zijn onder andere Cisco en antivirusbedrijf ESET onderdeel van No More Ransom geworden en hebben Microsoft en Symantec zich in een ondersteunende rol aangesloten. Tevens besloten Cyprus, Estland, Schotland en Zweden het afgelopen jaar om aan het project deel te nemen, waardoor inmiddels 41 opsporingsdiensten bij No More Ransom zijn betrokken. bron: security.nl

Microsoft heeft een noodpatch uitgebracht voor een actief aangevallen kwetsbaarheid in Internet Explorer waardoor aanvallers kwetsbare systemen volledig hadden kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website of te te zien krijgen van een besmette advertentie was voldoende geweest. Er was geen verdere interactie van IE-gebruikers vereist. Daarnaast was het mogelijk om de kwetsbaarheid te misbruiken via pdf-bestanden, Microsoft Office-documenten of andere andere documenten die embedded Internet Explorer scripting engine content ondersteunen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De kwetsbaarheid, die in Internet Explorer 10 en 11 aanwezig is, werd door Google ontdekt en is bij gerichte aanvallen ingezet. Verdere details over deze aanvallen zijn nog niet gegeven. De noodpatch zal op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Vpn-dienst ProtonVPN steunt de ontwikkeling van het WireGuard-protocol, een nieuw protocol voor het opzetten van vpn-verbindingen. WireGuard is een cross-platform vpn-oplossing die naar eigen zeggen sneller, eenvoudiger en bruikbaarder dan IPSec wil zijn. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen. "Dit maakt het veel eenvoudiger dan eerdere vpn-protocollen, zoals IPsec en OpenVPN. Minder regels code maakt dat het WireGuard-protocol eenvoudiger is uit te rollen, te gebruiken en te auditen. Deze eenvoud houdt ook in dat WireGuard veiliger is, beter presteert en zeer efficiënt met resources omgaat", aldus Richie Koch van ProtonVPN. Koch merkt op dat deze verbeterde efficiëntie ervoor zorgt dat vpn-servers minder worden belast, waardoor servers een hogere maximale snelheid kunnen behalen. De verminderde belasting zorgt er ook voor dat één server meer gebruikers aankan en dat die gebruikers elk hogere snelheden halen. Zo is OpenVPN beperkt tot een snelheid van 300 Mbps, maar kan WireGuard veel hogere snelheden halen, gaat Koch verder. Belangrijker is dat verschillende onderzoeksgroepen WireGuard en de gebruikte cryptografie hebben onderzocht en geverifieerd. Door deze resultaten heeft ProtonVPN besloten om WireGuard te overwegen. De vpn-dienst heeft nu verschillende servers opgezet voor interne tests. Het zal echter nog wel even duren voordat er een publieke uitrol zal plaatsvinden. Dit komt mede doordat de ProtonVPN-software WireGuard moet ondersteunen. Om de ontwikkeling van WireGuard te steunen heeft ProtonVPN besloten om geld voor de ontwikkelaars in te zamelen. Daarbij wil de vpn-dienst minimaal 10.000 euro ophalen. bron: security.nl

Onderzoekers hebben gedemonstreerd hoe ze via malafide BMC-firmware op afstand een server kunnen saboteren. De Baseboard Management Controller (BMC) is een speciale processor, die onafhankelijk van de hoofdprocessor van het systeem opereert. Via de BMC kunnen servers op afstand worden beheerd. Zo is het bijvoorbeeld via de BMC mogelijk om op afstand het besturingssysteem van de server te herinstalleren of de firmware van de machine te updaten. Onderzoekers van securitybedrijf Eclypsium hebben een aanval ontwikkeld waarbij ze via de BMC de server op afstand onbruikbaar kunnen maken. Om de aanval uit te voeren moet de server al door een aanvaller zijn gecompromitteerd, bijvoorbeeld via malware of gestolen inloggegevens. Vervolgens wordt de BMC met malafide firmware bijgewerkt. Hiervoor is geen authenticatie vereist. Deze malafide BMC-firmware bevat aanvullende code die de UEFI-systeemfirmware verwijdert en belangrijke onderdelen van de BMC-firmware. Deze aanpassingen zorgen ervoor dat dat de server en BMC niet meer kunnen worden gestart, waardoor het systeem onbruikbaar achterblijft. Volgens de onderzoekers is het belangrijk dat organisaties processen instellen voor het regelmatig installeren van firmware-updates, regelmatig scannen naar kwetsbaarheden en belangrijke firmware op malafide aanpassingen monitoren. bron: security.nl

De volgende versie van Google Chrome zal geen ftp-content meer in de browser weergeven, ook zal de ondersteuning van public key pinning worden verwijderd. Dat heeft Google bekendgemaakt. Volgens de techgigant is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol. "Wanneer zelfs de Linux-kernel er afscheid van neemt is het tijd om verder te gaan", laat Google weten. Het stopzetten van de ftp-ondersteuning vindt gefaseerd plaats. Met Chrome 72 zal de browser geen content van ftp-servers meer in de browser weergeven. In plaats daarvan worden afbeeldingen, filmpjes en andere content gedownload. Chrome zal nog wel de inhoud van een ftp-directory weergeven, maar alle non-directory listings downloaden in plaats van in de browser weer te geven. Eerder besloot Mozilla al om in Firefox geen ftp-content meer te laden. Met Chrome 72 zal Google ook de ondersteuning van public key pinning stopzetten. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van "hostile pinning". Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen. Verder zal Chrome 72 geen pop-ups toestaan tijdens het unloaden van pagina's, ongeacht of de pop-upblocker staat ingeschakeld. Daarnaast heeft Google het einde van de ondersteuning van TLS 1.0 en 1.1 aangekondigd. Deze protocollen worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Zowel TLS 1.0 als 1.1 hebben verschillende zwakheden. Google wil daarom alleen nog TLS 1.2 en nieuwer gaan ondersteunen. Met de lancering van Chrome 81 begin 2020 zal de ondersteuning van TLS 1.0 en 1.1 waarschijnlijk worden stopgezet. Chrome 72 staat gepland voor de week van 29 januari 2019. bron: security.nl

Microsoft heeft een wegwerp-sandbox voor Windows 10 ontwikkeld waarmee het mogelijk is om verdachte bestanden uit te voeren. De Windows Sandbox is een geïsoleerde, tijdelijke desktopomgeving voor het uitvoeren van onbetrouwbare software, zonder dat dit een blijvend effect op de computer heeft, zo laat Microsoft weten. De Windows Sandbox is eigenlijk een lichtgewicht virtual machine. Het heeft dan ook een besturingssysteem nodig om van te kunnen starten. In plaats van een aparte image hiervoor te gebruiken, zoals bij een normale virtual machine, maakt de Windows Sandox gebruik van een kopie van de geïnstalleerde Windows 10-versie op de computer. Verder maakt de sandbox gebruik van hardware gebaseerde virtualisatie voor het isoleren van de kernel. Op deze manier wordt er een aparte kernel geladen die de Windows Sandbox van de host isoleert. Alle software die in de Windows Sandbox wordt geïnstalleerd blijft alleen in de sandbox en heeft geen invloed op het onderliggende besturingssysteem, aldus Microsoft. Zodra de Windows Sandbox wordt gesloten worden alle daarin geïnstalleerde programma's en bestanden permanent verwijderd. De Windows Sandbox werkt alleen met Windows 10 Pro of Enterprise versie 18305 of nieuwer. Daarnaast moet virtualisatie in het BIOS worden ingeschakeld. Tevens moet het systeem over minimaal 4GB werkgeheugen, 1GB ruimte en twee CPU-cores beschikken. bron: security.nl