Captain Kirk

Een ontwikkelaar van Google heeft een ongepatcht beveiligingslek in de SR20 "smart home" router van fabrikant TP-Link onthuld omdat de fabrikant niet binnen 90 dagen met een patch kwam. Matthew Garrett is security-developer bij Google, maar heeft details over de kwetsbaarheid op eigen titel gepubliceerd. De SR20 is een Zigbee/Z-Wave hub en router, met een touchscreen voor configuratie en bediening. De router moet de rol van Internet of Things-hub vervullen, waarbij het allerlei smart home-oplossingen verbindt. Garrett gebruikte Ghidra, de gratis reverse engineering tool van de NSA, om het TP-Link device debugprotocol te analyseren. Dit debugprotocol draait op de meeste TP-Link-apparaten. Versie 2 van het protocol werkt alleen met het beheerderswachtwoord van de router. Versie 1 van het protocol vereist echter geen authenticatie. In het geval van de SR20 blijken bepaalde commando's van versie 1 nog steeds toegankelijk te zijn. Een aanvaller op het lokale netwerk kan hier gebruik van maken om op de router code met rootrechten uit te voeren. Garrett waarschuwde TP-Link in december via een speciaal webformulier. Na de bugmelding te hebben verzonden verscheen er een melding dat er binnen drie werkdagen contact op zou worden genomen. Enkele weken later had de Google-ontwikkelaar nog steeds geen reactie gekregen, waarop hij een tweet naar TP-Link verstuurde, maar ook deze vraag bleef onbeantwoord. Daarop heeft Garrett nu de details van de kwetsbaarheid openbaar gemaakt. De ontwikkelaar adviseert TP-Link om het "security feedback" formulier te lezen en geen debugprotocollen in productiefirmware te draaien. bron: security.nl

VMware heeft meerdere kwetsbaarheden verholpen waardoor een gebruiker in een virtueel gastsysteem het hostsysteem kon overnemen. Twee van de beveiligingslekken waren aanwezig in de virtuale usb-controller en werden vorige week tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers Amat Cama en Richard Zhu demonstreerden een aanval tegen VMware Workstation waarbij ze vanuit een gastsysteem code op het hostsysteem konden uitvoeren. De kwetsbaarheden waren niet alleen aanwezig in VMware Workstation Pro en Player, maar ook in VMware vSphere ESXi en VMware Fusion Pro en Fusion. De beveiligingsupdate die VMware uitbracht verhelpt niet alleen de kwetsbaarheden van Cama en Zhu, maar ook van andere onderzoekers waardoor het mogelijk was om vanuit het gastsysteem code op het hostsysteem uit te voeren. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren. Naast een aanval op de virtualisatiesoftware van VMware werd er tijdens Pwn2Own ook een soortgelijke aanval tegen Oracle VirtualBox gedemonstreerd. Ook hierbij wisten Cama en Zhu het onderliggende systeem over te nemen. Voor deze aanval is nog geen beveiligingsupdate verschenen. Oracle hanteert een patchcyclus waarbij updates elk kwartaal verschijnen. De volgende patchronde staat gepland voor 16 april 2019. bron: security.nl

IoT-zoekmachine Shodan heeft een nieuwe dienst gelanceerd waarbij organisaties de apparaten en systemen die ze aan het internet hebben blootgesteld kunnen monitoren en worden gewaarschuwd als er iets onverwachts opduikt. Shodan-oprichter John Matherly vergelijkt het met het instellen van een Google Alert voor een bepaald woord of woorden, alleen dan voor apparaten op het internet. Via Shodan Monitor kunnen bedrijven zowel hun ip-adressen en ip-reeksen laten monitoren, als opgegeven apparaten en andere systemen. Zodra de monitoringsdienst iets onverwachts vindt krijgt de organisatie meteen een waarschuwing. De afgelopen jaren hebben onderzoekers via Shodan tal van databases, installaties en systemen gevonden die onbedoeld voor heel het internet toegankelijk waren. De "network alerts" van Shodan Monitor moeten dit voorkomen. De monitoringsdienst is gratis te gebruiken voor betalende gebruikers van de zoekmachine. bron: security.nl

Beveiligingsupdates die Cisco eind januari voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers uitbracht zijn onvolledig, waardoor duizenden routers nog steeds kwetsbaar voor aanvallen zijn, zo heeft de netwerkgigant bevestigd. Nieuwe updates zijn nog niet beschikbaar. De updates van Cisco moesten verschillende beveiligingslekken verhelpen. Via één van de kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando's met rootrechten uit te voeren. Een aantal dagen na het uitkomen van de updates zochten aanvallers actief naar kwetsbare routers. De beveiligingsupdates zijn echter "onvolledig", aldus Cisco. De oorspronkelijke kwetsbaarheden werden gevonden door onderzoekers van RedTeam Pentesting. Nadat Cisco de oorspronkelijke beveiligingsupdates had uitgebracht ontdekten de onderzoekers dat het probleem onvoldoende door het bedrijf was verholpen. De oplossing die Cisco had toegepast was het blacklisten van de "curl" user agent in de firmware. Curl is een commandlinetool die door online scanners wordt gebruikt. Mogelijk dacht Cisco op deze manier dat kwetsbare routers niet gevonden zouden worden. RedTeam Pentesting waarschuwde Cisco op 8 februari dat de patches onvolledig waren, gevolgd door een volledig beschrijving van het probleem op 15 februari. De onderzoekers lieten weten dat ze de nieuwe informatie over de lekken op 27 maart openbaar zouden maken. Op 25 maart werd Cisco gevraagd wanneer de nieuwe beveiligingsupdates zouden verschijnen. De netwerkgigant vroeg de onderzoekers echter om het openbaar maken van de kwetsbaarheden uit te stellen. Dit weigerden de onderzoekers, waarop gisteren de informatie online verscheen. Cisco heeft de oorspronkelijke beveiligingsbulletins nu bijgewerkt en bevestigt dat de eerste updates onvolledig waren. Wanneer er nieuwe updates zullen verschijnen wordt niet vermeld. Onderzoeker Troy Mursch van Bad Packets Report laat via Twitter weten dat nog bijna 9.000 Cisco RV-routers op internet hun configuratiebestand lekken, waaronder de wachtwoordhashes. bron: security.nl

Het Tor Project heeft een nieuwe website gelanceerd gericht op nieuwe gebruikers. De organisatie is verantwoordelijk voor het Tor-netwerk en Tor Browser, de software die dagelijks door miljoenen mensen wordt gebruikt om hun privacy en identiteit te beschermen. Twee jaar geleden kwam het Tor Project met een eigen stijlgids om alle onderdelen van het Tor-ecosysteem dezelfde visuele uitstraling te geven. Dit moet helpen bij het versterken van het gebruikersvertrouwen en de identiteit van de community. De meeste mensen leren via TorProject.org over Tor en kiezen er dan voor om de browser te downloaden. De oude website slaagde hier echter slecht in. "We hadden teveel informatie om te verwerken en niets was vertaald", aldus Isabela Bagueros, directeur van het Tor Project. Daarop werd besloten een nieuwe website te ontwerpen, waarbij de focus op nieuwe gebruikers lag. Tevens werd besloten om de site mobielvriendelijk te maken. Ook wordt de website nu in zeven verschillende talen aangeboden. Tor Browser zelf is in 24 talen beschikbaar. "Onze nieuwe website is een onderdeel van ons doel om ervoor te zorgen dat iedereen op de planeet Tor kan gebruiken", laat Bagueros weten. Binnenkort zal het Tor Project een communityportal lanceren met informatie over hoe mensen de boodschap over Tor kunnen verspreiden. "We zijn een groep mensen verenigd in het geloof dat iedereen privétoegang tot het open web hoort te hebben en we hopen dat onze nieuwe site het eenvoudiger maakt om dit te bereiken", besluit de Tor Project-directeur. bron: security.nl

Microsoft heeft via een gerechtelijk bevel de controle over 99 domeinen van een groep aanvallers gekregen en het verkeer hiervan naar de eigen servers laten wijzen. Het gaat om een groep die wordt aangeduid als Phosphorus, APT 35 en Charming Kitten. Dat heeft de softwaregigant vandaag bekendgemaakt. De groep, die volgens Microsoft aan Iraanse hackers wordt gelinkt, houdt zich bezig met het stelen van gevoelige gegevens van overheden en bedrijven. Ook zijn activisten en journalisten het doelwit, en dan met name die over zaken in het Midden-Oosten berichten. Om toegang tot de systemen van slachtoffers te krijgen maakt de groep gebruik van kwaadaardige links die via social media worden verstuurd en naar malware wijzen. Daarnaast verstuurt de groep phishingmails die van bekende bedrijven afkomstig lijken, zoals Microsoft, en stellen dat er een beveiligingsprobleem met het e-mailaccount is. Vervolgens wordt gebruikers gevraagd om hun wachtwoord in een webformulier in te vullen. De ingevulde inloggegevens worden dan naar de aanvallers gestuurd. De groep registreert voor deze phishingaanvallen domeinen die op domeinen van de geïmiteerde techbedrijven lijken. Om de operaties van de groep te verstoren stapte Microsoft naar de rechter, die de softwaregigant via een gerechtelijk bevel de controle over 99 domeinen gaf. Vervolgens liet Microsoft het verkeer van de domeinen naar de eigen servers wijzen. De informatie die dit oplevert zal binnen de beveiligingsproducten en -diensten van Microsoft worden gebruikt. bron: security.nl

Europol, banken, securitybedrijven en telecomproviders hebben de afgelopen dagen informatie gedeeld over de impact van phishing en hoe deze vorm van criminaliteit samen met opsporingsdiensten kan worden aangepakt. Experts uit de verschillende bedrijfstakken kwamen gisteren en vandaag bij elkaar om inzichten uit te wisselen. Phishing is nog altijd de motor van veel verschillende vormen van cybercrime, aldus Steven Wilson, hoofd van het Europese Cybercrime Centre dat onderdeel van Europol is. De bijeenkomst leidde tot verschillende conclusies en aanbevelingen. Zo moet de informatie-uitwisseling tussen bedrijven, opsporingsdiensten en de publieke sector worden verbeterd. Tevens moeten basale maatregelen worden getroffen, zoals het blacklisten van domeinen, veilige authenticatie en het blokkeren van veelgebruikte exploits. De experts pleitten ook voor het gebruik van machine learning om phishingmails te detecteren. Naast technische maatregelen is het ook belangrijk dat gebruikers op een permanente basis worden getraind en onderwezen, in plaats van een eenmalige actie, zo concludeerden de experts. Vandaag maakte Betaalvereniging Nederland nog bekend dat phishing het afgelopen jaar voor een miljoenenschade bij internetbankieren heeft gezorgd en ook in België wisten criminelen via phishing miljoenen euro's te stelen. Aan de hand van deze conclusies zullen er later dit jaar adviezen en aanbevelingen worden gepubliceerd, waarbij het probleem van phishing en mogelijke oplossingen vanuit een opsporingsperspectief worden besproken. "Phishing is de motor en facilitator van vele cybermisdrijven, en kan grote schade aan Europese burgers en hun organisaties aanrichten. Alleen door met verschillende industrieën en experts samen te werken kunnen we deze dreiging tegengaan en de EU veilig houden", zegt Wilson. bron: security.nl

Facebook en de Belgische Gegevensbeschermingsautoriteit staan vandaag en morgen in een Brusselse rechtbank tegen over elkaar. Aanleiding is de beslissing van een Belgische rechter vorig jaar dat de sociale netwerksite moet stoppen met het volgen van mensen die vanuit België internetten. De zaak tegen Facebook was door de Gegevensbeschermingsautoriteit aangespannen. Het draaide om de technieken die Facebook gebruikt om mensen zowel met als zonder profiel op websites te volgen. De rechtbank van Brussel oordeelde dat Facebook de Belgische privacywet overtreedt. Zo worden internetgebruikers niet geïnformeerd over het feit dat Facebook informatie over hen verzamelt, om wat voor informatie het gaat, wat er met die informatie wordt gedaan en hoe lang die informatie wordt bewaard. "Aangezien Facebooks social plug-ins en pixels op miljoenen websites aanwezig zijn, kan Facebook een groot onderdeel van eenieders surfgedrag in kaart brengen. Daarbij kan het ook gaan over websites van heel gevoelige aard, zoals over gezondheidsproblemen, seksuele geaardheid en politieke voorkeuren. Vervolgens gebruikt Facebook die informatie om je surfgedrag te profileren en gebruikt zij die profilering om je gerichte reclame te tonen, zoals reclame over producten en diensten van commerciële bedrijven, boodschappen van politieke partijen, enz.", aldus de Gegevensbeschermingsautoriteit. Facebook tekende beroep aan tegen het vonnis. Tevens voerde Facebook in aanloop naar de Algemene verordening gegevensbescherming (AVG) verschillende aanpassingen door. Volgens de de privacytoezichthouder respecteert Facebook nog steeds de Belgische en Europese privacywetgeving niet en schendt het de fundamentele rechten van miljoenen Belgen. De Gegevensbeschermingsautoriteit merkt op dat de verplichtingen die vroeger in de Belgische Privacywet stonden door de AVG nog strenger zijn geworden. De Autoriteit zal het Hof van Beroep te Brussel dan ook vragen om het gerechtelijke vonnis van vorig jaar te bevestigen, ook naar de toekomst toe. Facebook laat in een reactie tegenover Bloomberg weten dat het gebruikers via de in ontwikkeling zijnde Clear History-tool meer informatie en controle zal geven over de informatie die Facebook via ander websites over hen verzamelt. Via de tool moet het mogelijk worden om informatie van websites los te koppelen van het account. "We hebben ook verschillende veranderingen doorgevoerd om mensen te laten begrijpen hoe onze tools werken en de keuzes uit te leggen die ze hebben, onder andere via onze privacy-updates", aldus de sociale netwerksite. bron: security.nl

Google-onderzoekers Tavis Ormandy heeft een ernstig beveiligingslek in GnuTLS gevonden, een vrije software-implementatie van de tls-, ssl- en dtls-protocollen. GnuTLS is een softwarebibliotheek waarmee andere programma's beveiligde verbindingen kunnen opzetten. De kwetsbare code zou sinds januari 2017 in de software aanwezig zijn. Destijds was er via een fuzzer een klein geheugenlek in GnuTLS ontdekt. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. De manier waarop het kleine geheugenlek werd opgelost zorgde echter voor een veel groter beveiligingslek waardoor een aanvaller kwetsbare systemen had kunnen overnemen, aldus Ormandy. Zowel clients als servers die GnuTLS gebruiken om X.509-certificaten te controleren zouden via een kwaadaardige server of man-in-the-middle-aanval kunnen worden gecompromitteerd. Ormandy informeerde de ontwikkelaars van GnuTLS op 5 februari. Vandaag is GnuTLS 3.6.7 verschenen waarin het probleem is opgelost. bron: security.nl

Een beveiligingslek in de Social Warfare-plug-in voor WordPress dat sinds vorige week wordt gebruikt om kwetsbare websites aan te vallen blijkt veel erger te zijn dan in eerste instantie werd aangenomen. Het geeft aanvallers namelijk ook de mogelijkheid om websites volledig over te nemen. Social Warfare is een plug-in voor het delen van de content van WordPress-sites op social media. Het is op meer dan 70.000 websites geïnstalleerd. Websites die van de plug-in gebruikmaken werden vorige week het doelwit van een zeroday-aanval via een onbekend beveiligingslek. Aanvallers gebruikten de kwetsbaarheid voor het injecteren van JavaScript-code in de "social share" links op WordPress-sites. Deze code word uitgevoerd in de browser van bezoekers en stuurt ze door naar spamsites. Naar aanleiding van de aanvallen kwamen de ontwikkelaars van de plug-in met een beveiligingsupdate (versie 3.5.3). Nu blijkt dat de verholpen kwetsbaarheid aanvallers ook de mogelijkheid biedt om willekeurige php-code uit te voeren en zo de website over te nemen, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo een backdoor installeren, aanvullende beheerders aanmaken en systeemcommando's uitvoeren. Volgens de onderzoekers van het securitybedrijf zal dit waarschijnlijk voor een nieuwe golf van aanvallen zorgen. Webmasters krijgen dan ook het dringende advies om te updaten naar Social Warfare versie 3.5.3 of nieuwer. bron: security.nl

De volgende versie van Firefox gaat standaard nieuwe extensies in privévensters blokkeren, wat volgens Mozilla de privacy van gebruikers beter moet beschermen. De privénavigatie van Firefox wist automatisch browsegegevens, zoals wachtwoorden, downloads, zoekopdrachten, cookies en geschiedenis zodra de browser wordt gesloten. De feature is vooral bedoeld om geen gegevens voor andere gebruikers op het lokale systeem achter te laten. "Privénavigatie maakt u niet anoniem op het internet. Uw internetserviceprovider, werkgever, of de websites zelf kunnen nog steeds bijhouden welke pagina's u bezoekt", aldus Mozilla. Op dit moment worden Firefox-extensies zowel in normale vensters als privévensters uitgevoerd, wat volgens Mozilla niet in lijn is met het "privacy commitment" van de browserontwikkelaar. Vanaf Firefox 67 krijgen gebruikers en ontwikkelaars daarom mogelijkheden om aan te geven welke extensies in privévensters mogen draaien. Standaard zal Firefox straks alle nieuw geïnstalleerde extensies in privévensters blokkeren. Zodra gebruikers een extensie installeren krijgen ze een melding te zien of ze de extensie ook in privévensters willen toestaan. Om de workflow van gebruikers niet te onderbreken is besloten dat al geïnstalleerde extensies bij een upgrade naar Firefox 67 automatisch toestemming krijgen om in privévensters te draaien. Alleen nieuw geïnstalleerde extensies zullen standaard worden geblokkeerd, zo laat Mozilla weten. Firefox 67 staat gepland voor 14 mei van dit jaar. bron: security.nl

WinRAR-gebruikers zijn de afgelopen weken het doelwit van verschillende groepen aanvallers geweest en beveiligingsbedrijf FireEye verwacht dat de aanvallen alleen maar zullen toenemen. De aanvallers maken gebruik van een lek in WinRAR waardoor er malware op het systeem kan worden geïnstalleerd. Zodra een gebruiker met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand met een RAR-extensie opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met malware. Het kwaadaardige ACE-bestand maakt misbruik van een kwetsbaarheid in de populaire archiveringssoftware die in versies voor WinRAR 5.70 aanwezig is. Het betreft een lek in de library die voor het uitpakken van ACE-bestanden wordt gebruikt. FireEye meldt nu dat het aanvallen heeft gezien die tegen de Israëlische militaire industrie waren gericht. Ook doen de aanvallers zich voor als het Council on Social Work Education en de voormalige Oekraïense president Viktor Yanukovych. Bij een andere aanval werd een kwaadaardig ACE-bestand gebruikt dat zogenaamd gestolen inloggegevens en creditcarddata zou bevatten. Via de malafide archiefbestanden proberen de aanvallers backdoors, remote administration tools (RATs) en wachtwoordstelers te installeren. "Vanwege het grote aantal WinRAR-gebruikers, het ontbreken van een automatische updatefunctie en het gemak waarmee deze kwetsbaarheid is te misbruiken, verwachten we dat meer aanvallers de komende dagen hier misbruik van zullen maken", aldus Dileep Kumar Jallepalli van FireEye. Gebruikers krijgen het advies om naar WinRAR versie 5.70 te updaten. bron: security.nl

Misschien leuk om te delen: in de weinige vrije uurtjes die ik heb zoek ik mijn ontspanning in het zoeken met de metaal detector. Sinds kort heb ik hierover mijn eigen vlogkanaal: Digging for history Gewoon wat korte filmpjes over wat voor leuks en moois ik zo nu en dan uit de grond naar boven mag toveren. Mocht je het leuk vinden, kun je abonnee worden. Hoe meer abonnees, hoe leuker ik dat natuurlijk vind. Laat ik wel zo eerlijk zijn

ASUS heeft klanten gewaarschuwd die het doelwit van de gisteren onthulde aanval via de Live Update-tool waren. Ook heeft de updatesoftware zelf een update ontvangen om toekomstige aanvallen te voorkomen. De Taiwanese computerfabrikant bevestigt in een vandaag verschenen reactie dat aanvallers vorig jaar toegang tot de Live Update-servers hebben gekregen en zo besmette updates onder gebruikers konden verspreiden. Live Update is een programma dat op de meeste ASUS-computers geïnstalleerd staat. Het helpt gebruikers om hun drivers, firmware en ASUS-software up-to-date te houden. Aanvallers wisten toegang tot de certificaten van ASUS te krijgen en gebruikten die om kwaadaardige updates te signeren. Deze updates werden vervolgens via de servers van de computerfabrikant onder gebruikers verspreid. Een zogeheten "supply chain" aanval. Volgens ASUS is "een klein aantal" computers via de aanval besmet geraakt, maar een exact aantal wordt niet genoemd. Symantec liet gisteren weten dat zeker 13.000 klanten de besmette ASUS-update hadden ontvangen. Bij Kaspersky Lab ging het om 57.000 bevestigde gebruikers. De virusbestrijder vermoedt dat wereldwijd mogelijk 1 miljoen ASUS-systemen besmet zijn geraakt, maar het exacte aantal is nog altijd onduidelijk. Zodra een systeem via de kwaadaardige update besmet was geraakt keken de aanvallers naar het MAC-adres van de netwerkkaart. Ze hadden het voorzien op 600 specifieke MAC-adressen. Zodra de geïnstalleerde backdoor één van deze MAC-adressen tegenkwam werd er aanvullende malware gedownload. Het is nog altijd onbekend wat deze malware precies deed. Eén van de MAC-adressen waar de aanvallers het op hadden voorzien was van een Huawei E3772 USB 4G-dongel. Volgens onderzoeker Vitaly Kamluk van Kaspersky Lab lijkt het MAC-adres voor alle eigenaren van een dergelijke dongel hetzelfde te zijn. De aanvallers bleken in sommige gevallen twee MAC-adressen te gebruiken om een slachtoffer te identificeren. Kaspersky Lab heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Ook ASUS heeft een diagnostische tool online gezet. Tevens heeft de computerfabrikant maatregelen genomen om herhaling te voorkomen. Live Update versie 3.6.8 introduceert verschillende beveiligingsmaatregelen om aanvallen via kwaadaardige updates te detecteren en is er end-to-end-encryptie toegevoegd. Tevens is de "server-to-end-user" softwarearchitectuur versterkt. ASUS-klanten van wie het systeem geinfecteerd is krijgen het advies om hun systeem opnieuw te installeren. ASUS lijkt in de vandaag gepubliceerde reactie onderscheid te maken tussen gebruikers die de besmette updates ontvingen en de 600 MAC-adressen die het daadwerkelijke doel waren. Volgens Kaspersky Lab en Symantec hebben in totaal 70.000 van hun klanten de besmette update geïnstalleerd. Andere antivirusbedrijven hebben nog geen cijfers naar buiten gebracht, maar onderzoekers schatten dat het om 500.000 tot 1 miljoen machines gaat. Onderzoeker Kamluk liet gisteren weten dat de aanvallers in november hun aanval via de ASUS-updatesoftware stopten en vervolgens naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om computers met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken. Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen. Wat de virusbestrijder wel zeker weet is dat de besmette updates van ASUS Live Update door 57.000 gebruikers van de eigen antivirussoftware zijn geïnstalleerd. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Antivirusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt. De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er van een domein dat op een officiële ASUS-site leek aanvullende malware gedownload. Om wat voor malware het gaat is onbekend. Deze werkwijze laat zien dat de aanvallers de MAC-adressen van hun beoogde slachtoffers al kenden. De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens onderzoeker Vitaly Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken. ASUS is op 31 januari over de aanval ingelicht. Kamluk vertelt aan Vice Magazine dat een medewerker van het Kaspersky Lab op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. Het anti-virusbedrijf heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Volgende maand zal Kaspersky Lab meer details over de aanval geven. Update Onderzoeker Kamluk laat via Twitter weten dat de huidige updates van ASUS niet besmet zijn. De aanvallers zouden in november 2018 met hun activiteiten zijn gestopt en naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt. bron: security.nl

Twee ernstige beveiligingslekken in Firefox, waardoor aanvallers in combinatie met een Windows-lek volledige controle over het onderliggende systeem konden krijgen, zijn door Mozilla binnen 24 uur gepacht nadat het informatie over de kwetsbaarheden had ontvangen. De beveiligingslekken werden tijdens de Pwn2Own-hackwedstrijd in het Canadese Vancouver gedemonstreerd door onderzoekers Richard Zhu, Amat Cama en Niklas Baumstark. De wedstrijd is een initiatief van het Zero Day Initiative (ZDI), dat onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden. Informatie over de beveiligingslekken wordt vervolgens met de betreffende leveranciers gedeeld zodat die updates voor hun gebruikers kunnen ontwikkelen. Cama en Zhu maakten gebruik van een JIT-bug in Firefox en combineerden die met een kwetsbaarheid in de Windows-kernel om uit de sandbox van de browser te breken en het onderliggende systeem volledig over te nemen. Baumstark demonstreerde ook een JIT-bug, in combinatie met een "logic bug" om uit de sandbox te ontsnappen en zo het systeem over te nemen. In beide gevallen was alleen het bezoeken van een kwaadaardige website voldoende om een aanvaller toegang tot het systeem van het slachtoffer te geven. Er was geen verdere interactie vereist. Voor de demonstratie ontvingen Zhu en Cama 50.000 dollar, de kwetsbaarheden van Baumstark werden met 40.000 dollar beloond. Details over de kwetsbaarheden werden vervolgens met Mozilla gedeeld, dat binnen 24 uur een nieuwe Firefox-versie uitrolde. De update naar Firefox 66.0.1 zal op de meeste systemen automatisch plaatsvinden. Naast kwetsbaarheden in Mozillas browser werden er ook beveiligingslekken in Apple Safari en Mozilla Edge gedemonstreerd. Wanneer ervoor deze browsers beveiligingsupdates verschijnen is nog niet bekend. bron: security.nl

De volgende versie van Google Chrome krijgt een maatregel die gebruikers tegen automatische downloads in iframes moet beschermen. Het gaat in dit geval om "drive-by downloads" die zonder interactie van de gebruiker plaatsvinden. Dit moet volgens Google kwaadaardige of verkeerde downloads voorkomen. "Downloads kunnen kwetsbaarheden binnen een systeem introduceren. Hoewel er binnen Chrome en het besturingssysteem beveiligingscontroles plaatsvinden, vinden we dat het blokkeren van downloads in gesandboxte iframes ook binnen de algemene gedachte van de sandbox past", aldus Google. Naast het veiligheidsaspect zorgt het volgens de internetgigant ook voor een betere gebruikerservaring om via een muisklik de download te starten. De automatische downloads in iframes worden in Google Chrome 74 geblokkeerd, maar de beperking kan nog door contentproviders worden omzeild. Vanaf Chrome 76 zal de ondersteuning van dergelijke downloads volledig worden verwijderd. De maatregel is nu te testen in de bètaversie van Chrome 74. bron: security.nl

Een ernstig beveiligingslek in het populaire gameplatform Steam maakte het mogelijk voor aanvallers om op afstand malware te installeren en accounts over te nemen. Alleen het bezoeken van een kwaadaardige website was voldoende geweest. Er was geen verdere interactie van gebruikers nodig. De kwetsbaarheid was aanwezig in de Steam-client. De software beschikt over een serverbrowser waarmee gameservers kunnen worden gevonden. Voor het ophalen van informatie over deze servers communiceert de browser via een specifiek UDP-protocol. Onderzoekers Vinnie Vanhoecke en André Baptista ontdekten dat het mogelijk was om via de serverbrowser een buffer overflow te veroorzaken als die informatie over een kwaadaardige server ophaalde. "Een aanvaller kan willekeurige code op de computer van elke Steamgebruiker uitvoeren die de serverinformatie over onze kwaadaardige server bekijkt", aldus de onderzoekers. Zo zou het bijvoorbeeld mogelijk zijn geweest om malware te installeren, bestanden te stelen of accounts over te nemen. Wat de aanval interessant maakt is dat er nauwelijks interactie van de gebruiker was vereist. Gebruikers konden op verschillende manieren worden aangevallen. Bijvoorbeeld als de serverbrowser van Steam werd gebruikt om serverinformatie op te vragen, maar ook wanneer de gebruiker een kwaadaardige website bezocht die van het Steam-browserprotocol gebruikmaakte. De onderzoekers maakten een video waarbij de exploit op Windows 10 wordt gedemonstreerd. De gebruiker bezoekt een kwaadaardige website die een verborgen iframe bevat en de exploit vervolgens uitvoert. Het is hierbij niet nodig dat Steam op het moment van de aanval al actief is. De aanval werkte ook als Steam al draaide. De onderzoekers waarschuwden Steam-ontwikkelaar Valve op 21 december vorig jaar, waarna er op 19 februari een beveiligingsupdate voor de Steam-client verscheen. Voor hun bugmelding ontvingen de onderzoekers een beloning van 15.000 dollar, aangevuld met een bonus van 3.000 dollar vanwege de kwaliteit van de bugmelding. bron: security.nl

WordPress-sites zijn gisteren aangevallen via een zerodaylek in Social Warfare, een plug-in voor het delen van content op social media. Inmiddels is er een beveiligingsupdate beschikbaar en webmasters en beheerders krijgen het dringende advies om die meteen te installeren. Gisteren maakte een beveiligingsonderzoeker een ongepatchte kwetsbaarheid in Social Warfare bekend. Via het lek kan een aanvaller kwaadaardige JavaScript-code in de "social share" links op de WordPress-site injecteren. Aangezien er op dat moment geen beveiligingsupdate aanwezig was besloot WordPress om de plug-in uit de WordPress.org plug-in repository te verwijderen. Kort na het uitkomen van de informatie over het beveiligingslek werden de eerste websites al aangevallen, zo meldt securitybedrijf Wordfence. Inmiddels is er een patch beschikbaar en webmasters en beheerders krijgen het advies om zo snel als mogelijk te updaten naar Social Warfare 3.5.3. Wanneer dit niet mogelijk is raden de ontwikkelaars aan om de plug-in uit te schakelen totdat de update kan worden doorgevoerd. De plug-in, die meer dan 70.000 actieve installaties heeft, is door WordPress weer in de repository teruggeplaatst. Gisteren werd bekend dat WordPress-sites ook werden aangevallen via een kwetsbaarheid in de Easy WP SMTP-plug-in. bron: security.nl

De zakelijke beveiligingssoftware van Microsoft wordt ook beschikbaar voor Mac-gebruikers, zo heeft de softwaregigant vandaag aangekondigd. Het gaat om het Windows Defender Advanced Threat Protection (ATP) platform dat nu macOS ondersteunt en tevens is hernoemd naar Microsoft Defender ATP. Volgens Microsoft moet het platform "next-gen" antivirusbescherming voor macOS gaan bieden. De softwaregigant maakte twee jaar geleden al bekend dat Windows Defender ATP ook antivirussoftware van derde partijen ging integreren om zo malware op Android-, Linux-, macOS- en iOS-apparaten te kunnen detecteren. "We gaan nu een stap verder door onze eigen oplossing als optie toe te voegen", zegt Microsofts Eric Avena. Via de software kunnen eindgebruikers zelf scans van hun systeem uitvoeren en eventuele dreigingen verwijderen, in quarantaine plaatsen of toestaan. Gebruikers kunnen ook geavanceerde instellingen instellen, zoals het in- of uitschakelen van real-time bescherming, automatische updates, cloudbescherming en het automatisch versturen van bestanden. Beheerders hebben bij sommige van deze opties de mogelijkheid om te voorkomen dat ze door gebruikers worden uitgeschakeld. Eventuele dreigingen of detecties worden voor beheerders zichtbaar via het Microsoft Defender ATP-portal. Microsoft ATP ondersteunt macOS Mojave, High Sierra en Sierra. Op dit moment is het platform alleen als testversie voor Mac-gebruikers beschikbaar. bron: security.nl

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben beveiligingsonderzoekers verschillende zero-days in Apple Safari, VMware Workstation en Oracle VirtualBox gedemonstreerd waarmee het onderliggende besturingssysteem kan worden overgenomen. Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers betaalt voor het demonstreren van onbekende kwetsbaarheden in browsers, virtualisatiesoftware en kantoorsoftware. Tijdens deze editie krijgen onderzoekers voor het eerst de gelegenheid om een auto te hacken. Voor het hacken van een Tesla Model 3 zijn er beloningen van tussen de 35.000 en 300.000 dollar, afhankelijk van verschillende factoren, waaronder de gebruikte exploit. De eerste onderzoeker die de Tesla succesvol weet te hacken krijgt ook een nieuwe Model 3 als beloning. Op de eerste dag hadden onderzoekers het alleen voorzien op Apple Safari en de virtualisatiesoftware van Oracle en VMware. Onderzoekers wisten Safari twee keer succesvol te hacken. Vervolgens werden er twee succesvolle aanvallen tegen Oracle VirtualBox gedemonstreerd en moest VMware Workstation er één keer aan geloven. Via de kwetsbaarheden in de virtualisatiesoftware konden de onderzoekers uit het gevirtualiseerde systeem breken en het onderliggen besturingssysteem overnemen. In totaal ontvingen de onderzoekers 240.000 dollar voor hun kwetsbaarheden. De beveiligingslekken worden nu met de betreffende softwareleveranciers gedeeld, zodat die een beveiligingsupdate kunnen ontwikkelen. Pas na het verschijnen van deze patches zullen de details worden geopenbaar. Voor de tweede dag staan er demonstraties tegen Microsoft Edge en Mozilla Firefox gepland. Op dag drie zullen twee onderzoeksteams proberen om een Tesla Model 3 te hacken. bron: security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben gebruikers gewaarschuwd die van de ingebouwde cryptowallet Electrum gebruik willen maken. Vier jaar geleden voegde Tails de bitcoinportemonnee aan het besturingssysteem toe, maar die zal nu mogelijk verdwijnen. De Electrum-versie die door Tails wordt gebruikt is namelijk kwetsbaar voor phishingaanvallen. Gebruikers kunnen, wanneer ze verbinding met een kwaadaardige server in de Electrum-pool maken, een melding ontvangen waarin een kwaadaardige versie van Electrum wordt aangeboden. Eind december waarschuwden de Electrum-ontwikkelaars dat gebruikers van de wallet op deze manier werden aangevallen. Om de phishingaanval te voorkomen laten betrouwbare Electrum-servers oudere Electrum-versies geen verbinding meer maken. Nieuwere Electrum-versies zijn echter niet beschikbaar voor Debian, de Linux-distributie waarop Tails is gebaseerd. "Gegeven het gebrek aan beheer van Electrum in Debian zijn we nog aan het kijken wat verstandig is om te doen in Tails", aldus de ontwikkelaars, die niet uitsluiten dat Electrum uit het besturingssysteem zal worden verwijderd. bron: security.nl

Onderzoekers hebben in de CUJO-firewall verschillende kwetsbaarheden ontdekt waardoor een aanvaller het apparaat had kunnen overnemen. De CUJO-firewall wist een aantal jaren geleden via een crowfundingcampagne ruim 300.000 dollar op te halen. Het apparaat wordt omschreven als een "smart firewall" die alle op het netwerk aangesloten apparaten kan beschermen en hierbij gebruikmaakt van "kunstmatige intelligentie". Onderzoekers van Cisco vonden in totaal 11 beveiligingslekken in de firewall. Via de kwetsbaarheden was het mogelijk om de safebrowsingfunctie te omzeilen en het apparaat volledig over te nemen. De aanvaller had in dit geval willekeurige code in de context van het rootaccount kunnen uitvoeren of een niet gesigneerde kernel kunnen uploaden en uitvoeren. De aanvallen waren zowel lokaal als op afstand mogelijk. De onderzoekers omschrijven een scenario waarbij een kwaadaardige website twee kwetsbaarheden combineert waardoor het uitvoeren van code in de kernel mogelijk was. De onderzoekers ontdekten verder twee kwetsbaarheden in de bootloader van de CUJO. Deze bootloader moet de bootprocessen tegen ongeautoriseerde aanpassingen beschermen en zo voorkomen dat het apparaat persistent gecompromitteerd wordt. Daarnaast is de eerste 16MB van het eMMC-geheugen van de CUJO-firewall tegen schrijven beveiligd, zodat zelfs de fabrikant de bootloaders niet kan aanpassen. Via de twee beveiligingslekken die de onderzoekers identificeerden was het mogelijk om deze beveiligingsmaatregelen te omzeilen en zo het apparaat persistent te compromitteren. Na te zijn ingelicht door de onderzoekers heeft de fabrikant een firmware-update voor de CUJO-firewall uitgebracht. Deze update wordt automatisch geïnstalleerd. Eigenaren krijgen het advies om te controleren of hun firewall up-to-date is. bron: security.nl

Meer dan tien procent van al het https-verkeer op internet wordt onderschept, zo stelt internetbedrijf Cloudflare aan de hand van eigen onderzoek. Https staat voor een beveiligde verbinding tussen website en bezoeker. In de praktijk zijn er echter tal van partijen die oplossingen bieden om dit verkeer te onderscheppen en vervolgens te inspecteren. Bedrijven gebruiken deze oplossingen om bijvoorbeeld het https-verkeer op het eigen netwerk te controleren. Het gaat dan bijvoorbeeld om proxies tegen datalekkages of antivirusoplossingen die een "man-in-the-middle" uitvoeren om inkomend verkeer op malware te inspecteren. De diensten van Cloudflare zitten tussen een website of webapplicatie en de bezoeker hiervan. Het bedrijf biedt onder andere load balancing en oplossingen tegen ddos-aanvallen. Hierdoor ziet Cloudflare grote hoeveelheden verkeer voorbijkomen. Cloudflare ontwikkelde een opensourcetool genaamd MITMEngine waarmee het kan zien of het verkeer tussen een gebruiker en website wordt onderschept. Het kijkt hiervoor naar verschillende onderdelen, zoals de gebruikte TLS-versie, gebruikte encryptie en andere eigenschappen van de versleutelde verbinding. Aan de hand hiervan stelt Cloudflare dat meer dan 10 procent van al het https-verkeer op internet wordt onderschept, met uitschieters naar 19 procent. Het meeste https-verkeer wordt onderschept via proxies. Het gaat dan met name om "https interceptors" van Blue Coat, een bedrijf dat een aantal jaren geleden door Symantec werd overgenomen. Volgens Cloudflare is het belangrijk om de status van https-interceptors te volgen, om zo inzicht te krijgen wanneer er nieuwe beveiligingsmaatregelen worden uitgerold en het detecteren van problemen met veiligheidsprotocollen. Ook helpt het onderzoek bij het vinden van software die beveiligde verbindingen verzwakt. De cijfers die Cloudflare via de MITMEngine verzamelt zijn via deze pagina beschikbaar. bron: security.nl

Vandaag is er een nieuwe versie van Firefox verschenen die gebruikers via vingerafdruk, gezichtsscan of andere vorm van biometrische authenticatie op websites en webapplicaties laat inloggen. De browser ondersteunt nu Web Authentication voor Windows Hello. Windows Hello is de biometrische inlogfunctie van Windows 10 waarmee gebruikers zich via een scan van hun vinger, iris of gezicht of een securitykey kunnen authenticeren. Web Authentication is een open authenticatiestandaard die manieren biedt om zonder wachtwoord op websites in te loggen. Firefox ondersteunt Web Authentication al sinds versie 60, maar dan alleen in combinatie met een hardware token zoals een usb-beveiligingssleutel. Met de lancering van Firefox 66 voor Windows 10 is dit het eerste platform waarmee Mozilla het Client To Authenticator Protocol 2 (CTAP2) van de FIDO Alliance ondersteunt. De Fast IDentity Online (FIDO) Alliance heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. De eerste versie van CTAP werkt alleen met fysieke beveiligingssleutels en externe apparaten. CTAP2 is de opvolger en kan van nieuwe mogelijkheden in Web Authentication gebruikmaken, zoals biometrische authenticatie en residente sleutels, waarbij de sleutels op het apparaat zelf zijn opgeslagen. Het biometrisch inloggen werkt op dit moment alleen met Firefox 66 op een testversie van Windows 10. Na de uitrol van de April 2019 Update voor Windows 10 werkt het ook met de standaardversies van het besturingssysteem. Mozilla laat weten dat het de ondersteuning van CTAP2/FIDO2 op alle platformen wil gaan aanbieden, waaronder oudere Windowsversies. Voor gebruikers van Firefox ESR staat de ondersteuning van Windows Hello gepland voor Firefox ESR 60.0.7. Deze versie zal halverwege mei verschijnen. bron: security.nl