Captain Kirk

Onderzoekers van het bedrijf Proofpoint waarschuwen voor sextortion-mails waarbij gebruik wordt gemaakt van social engineering. In de e-mails naar potentiële slachtoffers worden de ontvangers geconfronteerd met de mededeling dat de verzender van het bericht toegang heeft tot de pc van het slachtoffer dankzij een keylogger of spyware en dat er op de pc naaktfoto's of ander gevoelig materiaal is gevonden en gedownload. Om de mail geloofwaardiger te maken, wordt er soms een door een eerder datalek verkregen wachtwoord van het slachtoffer getoond. De informatie wordt vaak nog aangevuld met via social media verkregen persoonlijke informatie zoals bijvoorbeeld de naam van een partner, werkgever of het beroep van het slachtoffer. De ontvanger van de mail wordt vervolgens afgeperst. Het slachtoffer kan de zogenaamde publicatie van privégegevens voorkomen als er 500 dollar in bitcoins of DASH wordt betaald. Ransomware In de mail wordt gelinkt naar een video die van de computer van het slachtoffer zou zijn gedownload. De videolink leidt de ontvanger van de mail echter naar een .tk-adres geleid waar AZORult malware wordt gebruikt om GandCrab ransomware bij het slachtoffer te installeren. Proofpoint zegt de mail-campagne al maandenlang te volgen. Afgelopen week steeg het aantal mails in de Verenigde Staten aanzienlijk. "Deze aanval combineert verschillende social engineering methodes waarbij kwetsbare en geschrokken slachtoffers worden verleid om op de link te klikken om te controleren of de aanvaller echt gevoelig materiaal in handen heeft van het slachtoffer", stelt Proofpoint. Niet klikken De onderzoekers stellen dat ontvangers van sextortion mails er vanuit moeten gaan dat de afzender geen gevoelig materiaal in handen heeft. Zij geven het advies nooit op de zogenaamde controle-links in de mail te klikken om besmetting met malware of ransomware te voorkomen. bron: security.nl

Heb je in al die jaren al eens een nieuw modem van Telenet ontvangen? Iets zegt mij dat daar ook nog een hobbel kan zitten. Dit is wat Telenet beloofd: Afhankelijk van je internetabonnement biedt Telenet een maximale internetsnelheid via kabel aan tot 400 Mbps1 gemeten tot aan de modem. (zie hier) Met andere woorden: tot aan je modem kan de snelheid die zij beloven juist zijn en voldoen zij in hun ogen aan de belofte. Toch wanneer je modem verouderd is of een mankement heeft, kan dit de snelheid aardig naar beneden halen. Ik zit zelf ook in Nederland en weet dus niet precies hoe dit bij jullie is geregeld. Ook ik zit al enige jaren bij dezelfde provider maar heb in de loop der jaren geregeld een nieuwe modem ontvangen. de beloofde snelheid van mijn provider is de minimum snelheid die ik mag verwachten. Daar dat kan weer per provider schelen. Ik zou er inderdaad nog maar eens een belletje aan wagen.

China zit mogelijk achter de grootschalige hack van hotelketen Marriott International. Bij de hack die vorige week in de publiciteit kwam, zijn 500 miljoen klantgegevens gelekt. De eerste onderzoeken naar het beveiligingsincident wijzen richting China. De hulpmiddelen, technieken en procedures die bij de aanval zijn gebruikt, werden al eerder gebruikt bij aanvallen die aan Chinese hackers zijn toegeschreven. Ook zijn er aanwijzingen dat het om een spionage-operatie gaat. De aanvallers handelden niet uit financiële motieven, melden twee anonieme bronnen aan Business Insider. Het onderzoek is echter nog niet afgerond en er wordt dan ook nog rekening gehouden met andere scenario's. Een woordvoerster van de hotelketen weigert commentaar te geven op de eerste onderzoeksresultaten. Ook de Chinese ambassade in Washington heeft niet gereageerd. De klantgegevens die bij de hack zijn uitgelekt, bevatten onder meer namen, paspoortnummers, adressen, telefoonnummers, geboortedata en e-mailadressen. Van een aantal klanten zijn ook versleutelde creditcardgegevens gestolen, aldus Marriott International. bron: security.nl

Onderzoekers van drie universiteiten hebben een algoritme ontwikkeld dat op basis van deep learning-technieken in staat is in 0,05 seconde tekstgebaseerde captchas op te lossen. De nieuwe captcha-oplosser met kunstmatige intelligentie is ontwikkeld door mensen van de universiteit van Lancaster, de Northwest University en de universiteit van Peking. Captchas die zijn opgebouwd uit cijfers en letters wist het nieuwe algoritme binnen 0,05 seconde op te lossen met behulp van een desktop pc. Opmerkelijk is dat de gebruikte techniek, Generative Adversarial Network (GAN) geheten, veel sneller leert dan andere captcha generator programma's. Door gebruik te maken van een machine-learning automatische captcha generator konden de onderzoekers de software veel sneller captchas laten leren. Er waren slechts 500 echte captchas nodig in plaats van miljoenen die een dergelijke generator normaal nodig zou hebben. "We tonen voor het eerst aan dat een tegenstander heel snel en zonder veel moeite een aanval op tekstgebaseerde captchas kan uitvoeren", reageert Zheng Wang, hoofddocent aan de School of Computing and Communications van de Lancaster University. "Dit is wel eng omdat het betekent dat de eerste beveiligingslaag van veel websites niet meer voldoende is", zo vertelt hij aan Helpnetsecurity. "Bovendien leveren captchas zo juist een enorme kwetsbaarheid op die op veel manieren uitgebuit kan worden." Kwaadwillenden zouden dit bijvoorbeeld kunnen gebruiken om DoS-aanvallen uit te voeren of voor het versturen van spam of phishing-mails. Website die nog gebruikmaken van tekstgebaseerde captchas zouden daarom alternatieve methoden moeten overwegen waarbij meerdere beveiligingslagen worden ingezet, zoals gebruikspatronen, locatie van de gebruiker of zelfs biometrische gegevens. bron: security.nl

In Duitsland worden steeds meer bedrijven het slachtoffer van Emotet-malware. Onder andere het Federale Bureau voor Informatiebeveiliging in Duitsland (BSI) waarschuwt nu voor de malware. De organisatie ziet de afgelopen dagen een toenemend aantal meldingen van ernstige security-incidenten als gevolg van Emotet-infecties. In een aantal gevallen is er door storingen in de algehele IT-infrastructuur spake van miljoenen euro's schade en zijn kritieke bedrijfsprocessen platgelegd. Emotet begint met een e-mail die afkomstig lijkt van collega's of zakelijke partner, met als bijlage een Office-document met een kwaadaardige macro. Zodra de gebruiker de macro activeert, wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module die de malware in staat stelt andere systemen binnen het netwerk aan te vallen. Emotet verzamelt eerst informatie over zijn slachtoffers, zoals wie met wie binnen een bedrijf communiceert, ook wel Outlook Harvesting genoemd. De nieuwste versies van Emotet gebruiken zelfs de inhoud van bestaande e-mails. De malware verstuurt namelijk een aantal weken e-mailinhoud uit de mailboxen van geïnfecteerde systemen naar de daders. Deze informatie stelt de daders perfect in staat de malware weer verder te verspreiden aangezien de ontvangers phishingmails krijgen die zeer authentiek ogen. Zo zijn de e-mails van afzenders waarmee de ontvanger recent mee in contact is geweest. "Emotet is naar onze mening een voorbeeld van een zeer professionele Advanced Persistent Threat (APT)-aanval", zegt BSI-president Arne Schönbohm op Heise Online. Emotet-malware gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Het maakt hierbij gebruik van de NSA exploit EternalBlue. bron: security.nl

Google heeft deze week Google Chrome 71 voor Windows, Linux en Mac uitgebracht. De nieuwe versie van de browser bevat onder meer oplossingen voor in totaal 43 security issues. Google rapporteert niet heel uitgebreid over de verholpen security issues totdat de meeste gebruikers de update hebben geïnstalleerd, zoals te lezen valt op de releasepagina. Naast het verhelpen van de security issues zijn er in de nieuwe Chrome-versie (71.0.3578.80) ook een aantal andere zaken verbeterd. Een van die vernieuwde aspecten is het mechanisme om advertenties te blokkeren. In Chrome 71 worden voortaan 'te agressieve of misleidende' advertenties en pop-ups geblokkeerd. Volgens ZDNet treedt de browser nu ook op tegen websites die met behulp van valse trucs abonnementen aan gebruikers proberen te verkopen. In zo'n geval krijgt de bezoeker een waarschuwing te zien. bron: security.nl

Adobe Systems heeft woensdag een update uitgebracht voor Flash Player nadat een kritieke kwetsbaarheid in de software actief werd misbruikt. De kwetsbaarheid is aan het licht gebracht door onderzoekers van Gigamon en het Chinese 360 Core Security, zegt SC Magazine. Op 29 november is een gerichte aanval uitgevoerd op 'Polyclinic No.2' in Moskou, een Russische staatsinstelling voor gezondheidszorg. De aanval bestond uit phishing-mails die vergezeld werden van een bestand '22.docx' en '33.docx' waarin Russische taal voorkomt. Het document lijkt een sollicitatiebrief te zijn met een vragenlijst van de Russische kliniek. De bijlage bevat ook een RAR-bestand met daarin verscholen de Flash-exploit. De aanval wordt door ingewijden 'Operation Poison Needles' genoemd. Als het bestand wordt geactiveerd, geeft het de aanvallers toegang tot de geïnfecteerde systemen. Ook krijgen geïnfecteerde systemen een achterdeur waarmee de criminelen andere malware kunnen verspreiden. De update van Adobe verhelpt het lek dat voorkomt in Flash Player 31.0.0.153 en eerdere versies van Flash Player Desktop Runtime. Ook komt het voor in Flash Player voor Google Chrome, Flash Player voor Microsoft Edge, Internet Explorer 11 en het installatiebestand Adobe Flash Player Installer 31.0.0.108 en ouder. bron: security.nl

In Kubernetes, de populairste software voor cloud container orkestratie, is voor het eerst een kritieke kwetsbaarheid ontdekt. Het gaat om een fout die grote gevolgen kan hebben. De kwetsbaarheid CVE-2018-1002105 wordt ook wel Kubernetes 'privilege escalation'-fout genoemd. Met een speciaal vervaardigde opdracht kunnen gebruikers, die rechten hebben om een verbinding tot stand te brengen via de Kubernetes API-server naar een backend-server, willekeurige verzoeken via dezelfde verbinding rechtstreeks naar die backend-server verzenden. Die verzoeken worden geautoriseerd met de TLS-gegevens van de Kubernetes API-server. Als die verbinding eenmaal tot stand is gebracht, kan een aanvaller willekeurige verzoeken via de netwerkverbinding rechtstreeks naar die backend-server sturen. In standaardconfiguraties kunnen alle gebruikers (al dan niet geautoriseerd) die weten hoe ze een Kubernetes cluster moeten bedienen, de controle over de backend-server krijgen. schrijft ZDnet. Volgens Github komt de kwetsbaarheid in een aantal versies van Kubernetes voor. Bovendien is er geen eenvoudige manier om te ontdekken of iemand van de kwetsbaarheid misbruik heeft gemaakt. bron: security.nl

Microsoft heeft een waarschuwing gegeven voor twee rootcertificaten van koptelefoonfabrikant Sennheiser waarvan de privésleutel is te achterhalen, waardoor gebruikers op verschillende manieren kunnen worden aangevallen. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd. Dit is de Trusted Root CA store. Browsers en Windows maken hier gebruik van om te kijken of door websites en software aangeboden certificaten zijn te vertrouwen. Gebruikers met beheerdersrechten kunnen certificaten aan de database toevoegen en verwijderen. Securitybedrijf Secorvo Security ontdekte bij een onderzoek naar de Trusted Root CA store twee onverwachte rootcertificaten, afkomstig van Sennheiser (pdf). De Sennheiser HeadSetup-software bleek de certificaten te installeren. Door een implementatiefout blijkt het mogelijk om de privésleutel van één van de "clandestien geïnstalleerde rootcertificaten" te bemachtigen, aldus de onderzoekers. Een aanvaller kan zo certificaten uitgeven die worden vertrouwd op systemen waar de Sennheiser-rootcertificaten zijn geïnstalleerd. Microsoft laat weten dat de rootcertificaten in kwestie onbeperkt zijn en gebruikt kunnen worden om extra certificaten uit te geven, die voor het signeren van software en serverauthenticatie zijn te gebruiken. Sennheiser werd op 23 juli over het probleem ingelicht en heeft nu een update voor de HeadSetup en HeadSetup Pro software uitgebracht die de certificaten verwijdert. Daarnaast heeft Microsoft de Certificate Trust List bijgewerkt om deze certificaten niet meer te vertrouwen. bron: security.nl

Vraag- en antwoordsite Quora is gecompromitteerd. Mogelijk zijn er gegevens van 100 miljoen Quora-gebruikers uitgelekt. Daarvoor waarschuwt Adam D'Angelo, CEO en mede-oprichter van Quora, op het eigen blog. Afgelopen vrijdag werd ontdekt dat een derde partij ongeautoriseerde toegang tot een van de Quora systemen heeft verkregen. Hoe dit precies is gebeurd, wordt nog onderzocht. Er wordt rekening mee gehouden dat er namen, e-mailadressen, versleutelde wachtwoorden en data van gelinkte netwerken van mogelijk 100 miljoen gebruikers zijn uitgelekt. Ook niet-publieke vragen en directe berichten van en aan gebruikers zijn mogelijk in handen van de kwaadwillenden gekomen. Quora zegt gebruikers van wie de data is uitgelekt, te zullen informeren. Zij zullen een nieuw wachtwoord moeten aanmaken. Ook geeft het platform aan zo transparant mogelijk te willen zijn over gecompromitteerde systemen, over het onderzoek dat is gestart naar de oorzaak van de hack en wat gebruikers zelf kunnen doen. "Het is onze verantwoordelijkheid om ervoor te zorgen dat dergelijke incidenten niet plaatsvinden en daarin hebben we gefaald", schrijft D'Angelo. "Om het vertrouwen van gebruikers te behouden, moeten we heel hard werken om dit in de toekomst te voorkomen." bron: security.nl

Onderzoekers van IT-beveiliger NCC Group, het moederbedrijf van Fox-IT, hebben een relatief eenvoudige manier ontdekt om te voorkomen dat malware zichzelf verspreidt in een Windows Active Directory-netwerk. Op verzoek van een niet nader genoemde klant ontwikkelde het bedrijf een onschuldige versie van de NotPetya ransomware, de Eternalglueworm, en verspreidde die op het netwerk van de klant. De klant wilde op deze manier de niet schadelijke malware observeren en leren hoe ze zich beter tegen gevaarlijke besmettingen kunnen beschermen, aldus The Register. Terwijl de worm zich door het bedrijfsnetwerk verspreidde ontdekte de NCC Group een relatief eenvoudige oplossing die beschermt tegen NotPetya-besmettingen. Bij de klant werd de Active Directory zo ingesteld dat het account ‘gevoelig’ is en dus niet kan worden ‘gedelegeerd’. Volgens een bericht op Microsoft Technet kunnen accountgegevens van een ‘gevoelig account’ niet door een vertrouwde applicatie naar andere computers of diensten op het netwerk worden doorgestuurd. “We ontdekten dat deze configuratie de verspreiding van NotPetya aanzienlijk zou hebben belemmerd”, zegt een woordvoerder van NCC tegen The Register. NotPetya verspreidde zich in 2017 met als meest bekende slachtoffer containerbedrijf Maersk. bron: security.nl

Wifitracking is gebonden aan strenge privacyregels en daarom in zeer weinig gevallen toegestaan. Dat meldt de Autoriteit Persoonsgegevens (AP) naar aanleiding van vragen over dit onderwerp. Wifitracking is het volgen van mensen via hun mobiele apparatuur. Daarbij wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken zoals stations. Volgens de AP gaat het echter bijna altijd om verwerking van persoonsgegevens en is het daarom aan strenge regels gebonden. "Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden", verklaart AP-bestuursvoorzitter Aleid Wolfsen. "Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy." Ook als de gegevens geanonimiseerd worden verwerkt en bewaard, is de Algemene Verordening Gegevensbescherming van toepassing, aldus de AP. De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking. "Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid", stelt de autoriteit. Maar zelfs dan zijn er vaak andere minder ingrijpende alternatieven. bron: security.nl

Een fan van de Zweedse Youtuber PewDiePie heeft ongeveer 50.000 printers gehackt om mensen op te roepen om het videokanaal van de vlogger te gaan volgen. Iemand met de Twitter-alias TheHackerGiraffe beweert honderden duizenden printers wereldwijd te hebben gescand op zoek naar open poort 9100. Hij maakte daarbij gebruik van een bestaande kwetsbaarheid bij zowel wifi- als netwerkprinters. Bij 50.000 printers is het gelukt om daadwerkelijk binnen te komen en een document te printen waarin de lezer wordt gevraagd om het videokanaal van PewDiePie op Youtube te gaan volgen. De Zweedse vlogger beheert al enige tijd het Youtube-kanaal met de meeste volgers (ruim 73 miljoen). Maar het Indiase muzieklabel T-Series zit hem de hielen met 72 miljoen volgers. TheHackerGiraffe is de actie gestart om PewDiePie aan meer volgers te helpen en zo zijn voorsprong te behouden. In een reactie aan The Verge vertelt TheHackerGiraffe dat mensen onderschatten wat voor desastreuze gevolgen zo’n kwetsbaarheid kan hebben. “Hackers hadden dit ook kunnen misbruiken om bestanden te stelen, malware te installeren, fysieke schade aan printers aan te richten, of in complete netwerken binnendringen.” bron: security.nl

Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door SamSam ransomware. En misschien is dat wel het topje van de ijsberg, zegt IT-beveiligingsbedrijf Fox-IT. Dat er geen duidelijk beeld is van het aantal SamSam-slachtoffers komt omdat deze ransomware anders werkt dan voorgaande ransomware-aanvallen. “De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen om zo meer schade aan te richten”, aldus Fox-IT. Volgens de onderzoekers gaan de makers van SamSam heel geraffineerd te werk. “Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups en worden de bestanden vergrendeld.” Ook zijn de bedragen die als losgeld worden gevraagd, veel hoger dan bij voorgaande ransomware-varianten, oplopend tot enkele tonnen. Vorige week werden in de VS nog twee Iraanse verdachten aangeklaagd die mogelijk verantwoordelijk zijn voor het maken en verspreiden van de ransomware. Toen werd geschat dat ongeveer 1 procent van de slachtoffers zich in Nederland zou bevinden. Een woordvoerder van Fox-IT zei maandag op BNR dat er in Nederland waarschijnlijk 41.000 Windows-servers draaien met het Remote Desktopprotocol (RDP) die mogelijk het doelwit van de criminelen kunnen worden. bron: security.nl

Aanvallers gebruiken een UPnP-lek in allerlei populaire thuisrouters om de SMB-poorten voor het internet te openen, zodat de achtergelegen machines in het netwerk kunnen worden aangevallen. Hierdoor zouden naar schatting 1,7 miljoen machines mogelijk risico lopen, zo laat internetgigant Akamai weten. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn. Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. In april waarschuwde Akamai al voor aanvallen waarbij kwetsbare routers als proxy werden gebruikt. Nu meldt de internetgigant dat aanvallers poort 139 en 445 op de router openzetten. Dit zijn de poorten die door Microsoft SMB worden gebruikt. De WannaCry-ransomware verspreidde zich bijvoorbeeld via een kwetsbaarheid in Microsofts SMB-service. Akamai speculeert dat de aanvallers de SMB-poorten openzetten om machines via hetzelfde beveiligingslek aan te vallen. Volgens Akamai zijn er 277.000 routers met een kwetsbare UPnP-implementatie en zijn bij 45.000 routers daarvan de SMB-poorten opengezet. Op basis van het aantal unieke ip-adressen dat per router werd waargenomen schat Akamai dat 1,7 miljoen achterliggende machines mogelijk risico lopen. Eigenaren van een kwetsbare router krijgen het advies om UPnP uit te schakelen of een nieuwe router te kopen. In deze pdf staat een overzicht van kwetsbare modellen. bron: security.nl

Malware die zich via het populaire tekenprogramma AutoCAD verspreidt om zo allerlei waardevolle documenten te stelen is nog steeds succesvol, zo waarschuwt securitybedrijf Forcepoint in een analyse. Al in 2000 werd de eerste AutoCAD-malware ontdekt. In 2012 bleek dat dergelijke malware ook voor cyberspionage wordt ingezet. De aanvallen zijn mogelijk doordat AutoCAD bij het openen van een tekening ook een aanvullend script kan uitvoeren, vergelijkbaar met macro's in Microsoft Office-documenten. Bij de nu waargenomen aanvallen maken de aanvallers gebruik van AutoCAD-tekeningen die bij andere slachtoffers zijn gestolen, alleen zijn voorzien van een kwaadaardig script. Zodra de malware actief is kan die ook de directories van andere AutoCAD-projecten op de computer infecteren. Op deze manier kan de malware zich verder verspreiden als medewerkers binnen een organisatie of met leveranciers bestanden uitwisselen. Infecties zijn in de Verenigde Staten, China, India, Turkije en verschillende Europese landen waargenomen. Het gaat onder andere om bedrijven in de automobiel- en energiesector. Onderzoekers van Forcepoint stellen dat het automatisch uitvoeren van de kwaadaardige scripts alleen plaatsvindt als de scripts zich op een bepaalde plek bevinden. Daarnaast laat AutoCAD ook een waarschuwing zien. "Enige social engineering is waarschijnlijk dan ook vereist", aldus de onderzoekers. De aanvalscampagne die ze ontdekten zou al sinds 2014 actief zijn. Organisaties die met AutoCAD werken krijgen het advies om het automatisch laden van onbetrouwbare bronnen uit te schakelen, instellen dat er bij het laden van een module altijd een pop-up verschijnt en dat verborgen bestanden zichtbaar worden gemaakt. bron: security.nl

Dell heeft klanten gewaarschuwd dat hun gegevens mogelijk zijn gestolen nadat er "ongeautoriseerde activiteit" op het netwerk is waargenomen. Het zou gaan om namen, e-mailadressen en gehashte wachtwoorden. Dell ontdekte op 9 november een aanval waarbij werd geprobeerd om gegevens te stelen van klanten op Dell.com. "Hoewel het mogelijk is dat een deel van deze informatie van Dells netwerk is weggehaald, heeft ons onderzoek geen definitief bewijs gevonden dat er iets is gestolen", aldus een verklaring van de computergigant. Creditcard- en andere klantgegevens zouden geen doelwit zijn geweest. Na ontdekking van de aanval heeft Dell een forensisch onderzoeksbedrijf ingeschakeld en de autoriteiten ingelicht. Tevens is van alle klanten het wachtwoord gereset en krijgen klanten van Dell het advies om hun wachtwoord, als ze dat ook voor andere websites gebruiken, ook daar te wijzigen. Verdere details over aanval zijn niet door Dell gegeven. bron: security.nl

Anti-malwarebedrijf Malwarebytes heeft voor het eerst besloten om mee te doen aan een anti-virustest, maar de malwarebestrijder heeft de nodige kritiek op de testmethode. Het testen van anti-virussoftware vindt al jaren plaats. Testlabs zoals AV-Test en AV-Comparatives publiceren geregeld tests. Anti-virusleveranciers kiezen er zelf voor om aan deze specifieke tests deel te nemen. In het verleden vermeed Malwarebytes deze tests, omdat die naar eigen zeggen niet met een realistische omgeving overeen komen. De tests richten zich alleen op een klein gedeelte en missen zo de volledige bescherming die een product kan bieden, aldus de malwarebestrijder. Vanwege het belang dat gebruikers aan dergelijke tests hechten is besloten om toch mee te doen aan de tests van het Duitse testlab AV-Test. De anti-viruspakketten die aan de test deelnamen werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Malwarebytes haalde in totaal 13,5 punten. Bij de detectie van malware eindigde Malwarebytes met 4 punten onderaan. Windows Defender, de gratis anti-virussoftware die in Windows 8.1 en 10 zit ingebouwd, presteert met 5,5 punten voor detectie en 17 punten in totaal veel beter. Malwarebytes stelt dat de test verschillende onderdelen van het programma niet heeft getest. Zoals de modules voor applicatiegedrag en webbeveiliging. Hiermee kunnen dreigingen eerder worden gestopt. Ook worden bij de anti-virustests de initiële infectievectoren niet gebruikt. De malwarebestrijder pleit dan ook voor het aanpassen van de tests, zodat er niet met relatief oude malware-exemplaren en infectievectoren wordt getest. Afsluitend stelt Malwarebytes aan gebruikers de vraag of ze liever een product hebben dat in de tests of in het echt goed presteert. bron: security.nl

Microsoft heeft een waarschuwing gegeven voor twee rootcertificaten van koptelefoonfabrikant Sennheiser waarvan de privésleutel is te achterhalen, waardoor gebruikers op verschillende manieren kunnen worden aangevallen. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd. Dit is de Trusted Root CA store. Browsers en Windows maken hier gebruik van om te kijken of door websites en software aangeboden certificaten zijn te vertrouwen. Gebruikers met beheerdersrechten kunnen certificaten aan de database toevoegen en verwijderen. Securitybedrijf Secorvo Security ontdekte bij een onderzoek naar de Trusted Root CA store twee onverwachte rootcertificaten, afkomstig van Sennheiser (pdf). De Sennheiser HeadSetup-software bleek de certificaten te installeren. Door een implementatiefout blijkt het mogelijk om de privésleutel van één van de "clandestien geïnstalleerde rootcertificaten" te bemachtigen, aldus de onderzoekers. Een aanvaller kan zo certificaten uitgeven die worden vertrouwd op systemen waar de Sennheiser-rootcertificaten zijn geïnstalleerd. Microsoft laat weten dat de rootcertificaten in kwestie onbeperkt zijn en gebruikt kunnen worden om extra certificaten uit te geven, die voor het signeren van software en serverauthenticatie zijn te gebruiken. Sennheiser werd op 23 juli over het probleem ingelicht en heeft nu een update voor de HeadSetup en HeadSetup Pro software uitgebracht die de certificaten verwijdert. Daarnaast heeft Microsoft de Certificate Trust List bijgewerkt om deze certificaten niet meer te vertrouwen. bron: security.nl

De FBI heeft twee botnets van meer dan 1,7 miljoen besmette computers die voor advertentiefraude werden gebruikt uit de lucht gehaald. De operatie van de FBI was gericht tegen twee bendes die botnets en servers in datacentra voor grootschalige advertentiefraude gebruikten. Bij advertentiefraude betalen adverteerders voor clicks op en views van advertenties die niet van echte mensen afkomstig zijn. Volgens de aanklacht deed de eerste bende zich van september 2014 tot december 2016 voor als een legitiem advertentienetwerk. In werkelijkheid vervalste de bende zowel websites waarop advertenties werden getoond als de views die van mensen afkomstig zouden zijn. In totaal zouden meer dan 5.000 domeinen door de criminelen zijn gespooft. Om de illusie te wekken dat echte mensen de advertenties op deze gespoofte websites bekeken werden servers in datacentra gebruikt. Deze servers simuleerden via een nepbrowser de activiteiten van internetgebruikers, zoals het scrollen door websites, het bekijken en stoppen van video's en doen alsof men op Facebook was ingelogd. Tevens leaseden de verdachten meer dan 650.000 ip-adressen, waarbij meerdere ip-adressen aan de servers in de datacentra werden toegekend. Vervolgens registreerden de verdachten deze ip-adressen alsof ze van thuisgebruikers waren. Het malafide advertentienetwerk wist zo miljarden views van advertenties te vervalsen, waardoor bedrijven meer dan 7 miljoen dollar voor advertenties betaalden die nooit door echte mensen waren gezien. Botnet De tweede bende die zich met advertentiefraude bezighield maakte gebruik van twee botnets die uit meer dan 1,7 miljoen besmette computers bestonden. De computers waren via e-mailbijlagen en ongepatchte software besmet geraakt met de Boaxxe- en Kovter-malware. Via de malware werden verborgen browsers gebruikt om gefabriceerde webpagina's te laden waarop weer advertenties van bedrijven werden geladen. Eigenaren van de besmette computers wisten niet dat dit plaatsvond en de bedrijven wisten niet dat hun advertenties niet door mensen werden bekeken. De bende wist op deze manier miljarden views van advertenties te vervalsen en zorgde ervoor dat bedrijven meer dan 29 miljoen dollar voor niet bekeken advertenties betaalden. Na de aanhouding van één van de verdachten besloot de FBI de infrastructuur van de botnets uit de lucht te halen. In totaal werden 23 domeinen waarvan het Kovter-botnet gebruikmaakte om besmette pc's aan te sturen naar een sinkhole geleid, zodat ze niet meer door de criminelen zijn te gebruiken. Verder diende de FBI zoekbevelen bij 11 verschillende Amerikaanse providers in waarbij informatie van 89 servers werd verzameld. In totaal heeft het Amerikaanse openbaar ministerie acht personen aangeklaagd, waarvan er drie zijn gearresteerd. De andere vijf zijn voortvluchtig. bron: security.nl

Sinds de nieuwe Europese privacywetgeving (AVG) op 25 mei in werking trad is het aantal gemelde datalekken in België sterk toegenomen. In heel 2017 ontving de Gegevensbeschermingsautoriteit 13 meldingen. Van 25 mei tot 21 november dit jaar werden er 317 datalekken bij de toezichthouder gemeld. Het aantal informatievragen, 3599 dit jaar tegenover 2145 vorig jaar, kende ook een sterke stijging. Verder werden er 148 klachten ingediend, terwijl dit er in 2017 nog 76 waren. Tevens opende de toezichthouder 137 adviesdossiers tegenover 44 vorig jaar. De AVG verplicht in bepaalde gevallen ook het aanstellen van een privacyfunctionaris, ook wel een functionaris voor gegevensbescherming genoemd. Deze functionaris moet bij de toezichthouder worden gemeld. Inmiddels staat de teller op 3540 aanmeldingen. De Gegevensbeschermingsautoriteit heeft nog geen boetes uitgedeeld voor het overtreden van de AVG. bron: security.nl

Lenovo mag doorgaan met het schikken van de massaclaim die wegens de Superfish-adware in de VS was aangespannen. Een Amerikaanse rechtbank gaf vorige week toestemming voor een schikking van 7,3 miljoen dollar. De definitieve goedkeuring van het voorstel is echter afhankelijk van een federale rechter. Als de schikking plaatsvindt zal er 8,3 miljoen dollar voor gedupeerde Lenovo-gebruikers in de Verenigde Staten beschikbaar komen. Naast de 7,3 miljoen dollar van Lenovo zal Superfish 1 miljoen dollar beschikbaar maken, zo meldt Bloomberg Law. Superfish is een programma dat ssl-verbindingen onderschepte om advertenties te injecteren. De adware gebruikte hiervoor een eigen rootcertificaat. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikte. Daardoor was het in bepaalde gevallen mogelijk om man-in-the-middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat geïnstalleerd waren. In totaal bleek Superfish op meer dan 40 verschillende type laptops te zijn geïnstalleerd. Vanwege het Superfish-debacle kondigde Lenovo verschillende maatregelen aan. Zo werd er een verwijdertool gepubliceerd en deed de fabrikant de belofte dat het in de toekomst schonere computers met minder vooraf geïnstalleerde software gaat leveren. Ook volgde een gratis abonnement van zes maanden op de virusscanner van McAfee. Daarnaast werd er herstelmedia zonder Superfish geleverd. Eerder dit jaar trof Lenovo een schikking van 3,5 miljoen dollar met de Amerikaanse toezichthouder FTC. Als onderdeel van deze schikking moet Lenovo ook de nadrukkelijke toestemming van gebruikers hebben voordat het in de toekomst dergelijke software installeert. Tevens moet het bedrijf de komende 20 jaar een uitgebreid softwarebeveiligingsprogramma implementeren voor de meeste consumentensoftware die standaard op laptops wordt meegeleverd. bron: security.nl

Voor de populaire virtualisatiesoftware VMware is een belangrijke beveiligingsupdate verschenen die een ernstige kwetsbaarheid in VMware Workstation en Fusion verhelpt waardoor een gevirtualiseerd guest-systeem code op de host kon uitvoeren, ook wel een guest-to-host escape genoemd. De kwetsbaarheid werd op 16 november tijdens een hackwedstrijd in China gedemonstreerd en leverde de onderzoeker die het probleem ontdekte 100.000 dollar op. Via VMware en soortgelijke software is het mogelijk om een virtual machine te draaien. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt. Ook is het met virtual machines eenvoudig om verschillende besturingssystemen op één computer te gebruiken. Onderzoeker Tianwen Tang van securitybedrijf Qihoo 360 demonstreerde tijdens de Tianfu Cup in China hoe een aanvaller vanuit een VMware virtual machine de host kon aanvallen. Details over het beveiligingslek werden vervolgens aan VMware gerapporteerd en niet openbaar gemaakt. Op deze manier kon de ontwikkelaar een beveiligingsupdate ontwikkelen, die binnen een week gereed was. Gebruikers van VMware Workstation Pro / Player krijgen het advies om naar versies 14.1.5 of 15.0.2 te updaten. Voor gebruikers van VMware Fusion Pro en Fusion zijn versies 10.1.5 en 11.0.2 verschenen. bron: security.nl

Microsoft heeft de uitrol van de Windows 10 October 2018 Update, ook bekend als versie 1809, tijdelijk geblokkeerd op computers met twee bepaalde Intel-drivers. De grafische stuurprogramma's werden in september door Intel uitgegeven. Volgens Microsoft zorgen de drivers er per ongeluk voor dat niet ondersteunde features in Windows worden ingeschakeld. Na het updaten naar Windows 10 versie 1809 kan in sommige gevallen het afspelen van geluid niet meer goed werken. Daarop heeft Microsoft besloten de uitrol tijdelijk te staken. Windows 10-gebruikers die voor hun Intel-videokaart driverversie 24.20.100.6344 of 24.20.100.6345 gebruiken en met problemen te maken hebben krijgen het advies om met Microsoft contact op te nemen. Vorige week besloot Microsoft de uitrol van de October 2018 Update te hervatten nadat de eerste versie bij sommige gebruikers voor problemen zorgde. In bepaalde gevallen verloren gebruikers bestanden tijdens het upgraden. Naast de aankondiging van de hervatte uitrol kwam Microsoft ook met een uitgebreide blogposting over de kwaliteitscontroles die het uitvoert en dat het de nieuwe uitrol van de October Update gefaseerd zal laten verlopen. Wanneer blijkt dat sommige applicaties niet compatibel met de October Update zijn, zal die niet worden aangeboden. De softwaregigant kondigde verder aan dat het van plan is om een "Windows update status dashboard" toe te voegen om meer informatie over problemen te geven die ervoor zorgen dat een update wordt geblokkeerd. De Windows 10 October 2018 Update introduceert extra privacyinstellingen en beveiligingsverbeteringen. Twee keer per jaar brengt de softwaregigant een grote feature-update voor Windows 10 uit. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. bron: security.nl

Een nieuwe cryptominer die Linux-systemen infecteert verwijdert niet alleen concurrerende cryptominers, ook aanwezige anti-virussoftware wordt verwijderd. Hoe de malware precies op Linux-systemen terechtkomt laat anti-virusbedrijf Doctor Web niet weten. Eenmaal actief op een systeem zoekt de cryptominer naar concurrerende cryptominers en verwijdert die. Wanneer de cryptominer niet met rootrechten is gestart gebruikt het twee kwetsbaarheden in Linux om de rechten te verhogen. Het gaat om een beveiligingslek uit 2013 en de Dirty COW-kwetsbaarheid uit 2016. Vervolgens zoekt de cryptominer naar de aanwezigheid van bepaalde anti-virussoftware. De malware stopt niet alleen de processen van de virusscanners, ook gebruikt het package managers om die te verwijderen. Na deze acties voegt de malware zich toe aan de Autorun-list en start een rootkit op het apparaat. Pas na al deze stappen wordt de daadwerkelijke cryptominer gestart die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. Het gebruik van rootkits door cryptominers is niet nieuw. Onlangs waarschuwde ook anti-virusbedrijf Trend Micro dat het een cryptominer had gevonden die van een rootkit-componet was voorzien. De rootkit verbergt het proces dat voor het delven van de cryptovaluta verantwoordelijk is voor monitoringtools. "Cryptomining-malware kan voor grote prestatieproblemen zorgen, met name op Linux-systemen, gegeven hun gebruik in het draaien en beheren van bedrijfsprocessen, van servers, workstations, ontwikkelframeworks en databases tot mobiele apparaten", zegt analist Augusto II Remillano van Trend Micro. Beheerders krijgen dan ook het advies om "securityhygiëne" toe te passen, zoals het regelmatig installeren van patches, het verkleinen van het aanvalsoppervlak via access control policies, het hardenen van systemen via security-extensies en het toepassen van het "least privilige"principe. bron: security.nl