Captain Kirk

Onderzoekers van de Vrije Universiteit Amsterdam (VUA) hebben een Rowhammer-aanval ontwikkeld die tegen ECC-geheugen kan worden uitgevoerd. Rowhammer maakt het mogelijk voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De in het verleden gedemonstreerde aanvallen werkten echter niet tegen ECC-geheugen. Error-correcting code (ECC)-geheugen is een bepaald soort geheugen dat extra informatie opslaat waarmee de processor "bit flips" kan detecteren en repareren. ECC-geheugen is kostbaarder dan normaal geheugen en wordt vooral in high-end servers gebruikt. ECC voegt genoeg redundantie toe dat het een enkele bit flip in een "memory word" kan repareren. In het geval van twee bit flips per memory word zorgt het ervoor dat het programma crasht. Alleen in het geval van drie bit flips op de juiste plek kan ECC worden omzeild. Gezien het risico op crashes werd dit altijd als onwaarschijnlijk geacht, aldus de onderzoekers van de VUA. De onderzoekers zijn een jaar bezig geweest om de werking van ECC-geheugen te onderzoeken. Dat leidde tot het inzicht dat ECC Rowhammer-aanvallen niet stopt, maar alleen vertraagt. Uiteindelijk vonden ze een manier om drie bit flips uit te voeren en zo de ECC-beveiliging te omzeilen. Dit kan echter de nodige tijd in beslag nemen. Afhankelijk van de gekozen exploit en omgeving kan het 32 minuten tot één week duren om kwetsbare bit flips te vinden. Het is daarbij niet nodig om fysieke toegang tot een systeem hebben. De aanval kan ook via een niet- geprivilegieerde remote shell worden uitgevoerd. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers ingelicht en coördineerde de communicatie met betrokken partijen. In een website over de nieuwe Rowhammer-aanval, die de naam ECCploit heeft gekregen, doen de onderzoekers verschillende aanbevelingen die organisaties kunnen nemen, waaronder het uitfaseren van geheugen dat kwetsbaar voor Rowhammer is. Tevens is er een paper over de aanval verschenen (pdf). De onderzoekers zullen volgend jaar mei tijdens het IEEE Symposium over Security en Privacy in San Francisco hun bevindingen presenteren. bron: security.nl

Criminelen hebben de beruchte Internet of Things-malware Mirai aangepast voor het infecteren van Linux-servers. Het gaat om ongepatchte Linux-servers die via een kwetsbaarheid in Hadoop Yarn worden gecompromitteerd. Apache Hadoop is een framework voor dataverwerking en opslag van bigdata-applicaties die in geclusterde systemen draaien. Yarn is verantwoordelijk voor het toewijzen van systeembronnen en plannen van taken. Een kwetsbaarheid in Hadoop Yarn maakt het mogelijk voor een aanvaller om willekeurige shellcommando's uit te voeren en malware te installeren. Het gaat dan om varianten van de Mirai-malware, die oorspronkelijk was ontwikkeld om Internet of Things-apparaten zoals ip-camera's en digitale videorecorders te infecteren. Bij de nu waargenomen aanvallen wordt alleen een x86-versie van Mirai geïnstalleerd. IoT-apparaten draaien op allerlei architecturen. Ontwikkelaars van de verschillende Mirai-varianten moesten hier bij de ontwikkeling van hun malware rekening houden. Door zich op Linux-servers te richten zou het gebruik van alleen een x86-versie volstaan. Daarnaast hebben Linux-servers in een datacentrum meer bandbreedte tot hun beschikking dan de IoT-apparaten van thuisgebruikers, waardoor ze veel beter voor ddos-aanvallen zijn in te zetten, aldus Matthew Bing van securitybedrijf Netscout. "Een handvol krachtige Linux-servers kan aanvallen genereren die overeenkomen met een veel groter IoT-botnet", aldus Bing. Hij merkt op dat de nu waargenomen aanvallen van een kleine groep aanvallers afkomstig lijken te zijn die handmatig op internet naar kwetsbare systemen zoeken. "Hun doel is duidelijk, zoveel mogelijk systemen met malware infecteren. Zodra er toegang is verkregen gedraagt Mirai op een Linux-server zich net als een IoT-bot en begint met het brute forcen van Telnet-gebruikersnamen en -wachtwoorden. Een verschil is dat tussen de kleine apparaten in het botnet nu ook krachtige Linux-servers aanwezig zijn." bron: security.nl

Een beveiligingslek in de AMP-plug-in voor WordPress wordt actief gebruikt om kwetsbare websites aan te vallen. Beheerders krijgen dan ook het dringende advies om de beschikbare beveiligingsupdate te installeren. AMP (Accelerated Mobile Pages) is een plug-in die ervoor zorgt dat de website sneller op mobiele apparaten wordt geladen. Drie weken geleden werd er een kwetsbaarheid in de plug-in gepatcht. Via het beveiligingslek kan een aanvaller een beheerdersaccount en een backdoor aan de website toevoegen. Om de aanval uit te voeren heeft een aanvaller wel "subscriber-level" toegang nodig. Bij de nu waargenomen aanvallen voegen de aanvallers een adminaccount genaamd "supportuuser" toe, maar er wordt niet uitgesloten dat er ook andere namen worden gebruikt. Het beveiligingslek wordt sinds een week aangevallen, zo laat securitybedrijf Wordfence weten. "Zoals altijd is de beste verdediging tegen deze aanvallen het up-to-date houden van de software van je website. De beveiligingsupdate voor AMP was al bijna twee weken beschikbaar voordat de aanvallen begonnen", zegt analist Mikey Veenstra. Onlangs werden WordPress-websites ook al aangevallen via een kwetsbaarheid in de GDPR Compliance-plug-in. bron: security.nl

De Emotet-malware waar de Amerikaanse overheid eerder dit jaar voor waarschuwde gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Dat laat securitybedrijf Secureworks in een analyse weten. Emotet is malware waarmee criminelen gegevens voor internetbankieren, wachtwoorden en andere informatie stelen. De initiële infectie door Emotet begint met een e-mail, die als bijlage bijvoorbeeld een Office-document met een kwaadaardige macro heeft. Zodra de gebruiker de macro activeert wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module waardoor de malware andere systemen binnen het netwerk kan aanvallen. Hiervoor maakt Emotet gebruik van Microsofts Server Message Block (SMB)-protocol. Zodra het systeem waar de malware via SMB verbinding mee maakt om een wachtwoord vraagt, gebruikt Emotet een lijst met zo'n 1000 wachtwoorden om toegang te krijgen. Wanneer de inlogpoging succesvol is wordt de machine besmet en probeert de malware zich verder binnen het netwerk te verspreiden. In oktober raakten nog 600 computers van een Amerikaanse openbare bibliotheek met Emotet besmet, alsmede 620 machines van een Amerikaanse gemeente. Een bijkomend risico van Emotet is dat gebruikers niet meer op hun account kunnen inloggen. Sommige organisaties staan een beperkt aantal inlogpogingen op een account toe, waarna de toegang wordt geblokkeerd. "Het account lockout-secenario is een echt risico en een potentiële kopzorg voor organisaties", aldus Symantec. Secureworks heeft de lijst van de ongeveer 1000 wachtwoorden die Emotet gebruikt openbaar gemaakt. Het securitybedrijf merkt op dat Emotet het belang van een goed wachtwoordbeleid aantoont. "Het verschil voor organisaties tussen het hebben van een sterk wachtwoordbeleid tegenover een zwak of helemaal geen wachtwoordbeleid wordt in het geval van Emotet gemeten in termen van honderden besmette computers, tientallen uren incident response en zelfs honderdduizenden dollars", zegt analist Mike McLellan. bron: security.nl

Windows 10 verstuurt uitgebreide informatie over het systeem en het gebruik naar Microsoft en dit is lastig voor gebruikers om uit te schakelen, zo stelt de Duitse overheid in een vandaag verschenen rapport. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is bezig met een onderzoek naar de beveiligingsmaatregelen van Windows 10. Op deze manier wil de overheidsinstantie de security van het besturingssysteem bepalen en kijken of er risico's zijn bij het gebruik van Windows 10. Ook moet het een framework en aanbevelingen opleveren om het besturingssysteem op een veilige manier te gebruiken en extra te beveiligen. Het onderzoek bestaat uit verschillende onderdelen, waarbij als eerste naar de manier werd gekeken waarop Windows 10 gegevens verzamelt en doorstuurt. Dit deel van het onderzoek is nu openbaar gemaakt. In het onderzoeksrapport wordt een overzicht gegeven van de onderdelen waarmee Windows 10 gegevens verzamelt en hoe deze data wordt verwerkt. Ook de manier waarop gegevens naar Microsoft worden verstuurd komt aan bod. Verder geeft het 63 pagina's tellende rapport een aanpak voor het monitoren van telemetrie-activiteiten. Uitschakelen Windows 10-gebruikers kunnen verschillende telemetrieniveaus instellen, zodat er meer of minder gegevens worden verzameld en verstuurd. Het besturingssysteem biedt echter geen standaardoptie om het verzamelen helemaal uit te schakelen. Via verschillende maatregelen kan dit echter wel worden gedaan. "Hoewel het technisch mogelijk is om het verzamelen en versturen van telemetriegegevens door Windows te voorkomen, is het lastig voor doorsnee gebruikers om te implementeren", aldus het BSI. De overheidsinstantie merkt verder op dat andere geïnstalleerde applicaties zoals Internet Explorer en Microsoft Office de mogelijkheid hebben om telemetriegegevens zonder de centrale telemetrie-service van Windows 10 te verzamelen en naar Microsoft te versturen. Voor de meer technische gebruikers heeft het BSI een apart document gepubliceerd waarin wordt beschreven hoe de telemetrie-activiteiten van het besturingssysteem zijn uit te schakelen (pdf). Gebruikers moeten hiervoor verschillende registersleutels aanpassen en services uitschakelen. Ook het instellen van firewallregels en het aanpassen van het hosts-bestand zijn nodig. Verder kunnen gebruikers netwerkgebaseerde maatregelen toepassen, waaronder het blokkeren van bepaalde domeinen via een http-proxy en het doorvoeren van dns-aanpassingen. Tevens meldt het BSI wat de gevolgen of bijwerkingen van de aanpassingen zijn. Privacyrisico Vorige week verschenen de resultaten van een Data Protection Impact Assessment (DPIA) naar de producten en diensten van Microsoft dat het ministerie van Justitie en Veiligheid had laten uitvoeren. Daarin werd gesteld dat gegevens die Windows 10 Enterprise en Microsoft Office van en over gebruikers verzamelen en in een database in de Verenigde Staten opslaan een risico voor de privacy van gebruikers vormen. Naar aanleiding van de onderzoeksresultaten stelde Microsoft dat het begin volgend jaar met een verbeterplan komt zodat het gebruik van haar producten voor de Nederlandse overheid binnen de context van de AVG en andere wet- en regelgeving mogelijk is. bron: security.nl

Adobe heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor ernstig beveiligingslek in Flash Player waardoor in het ergste geval systemen volledig kunnen worden overgenomen. Technische details over de kwetsbaarheid zijn al openbaar gemaakt. In het geval Adobe bekend is met aanvallen die misbruik maken van een kwetsbaarheid wordt dit specifiek in de beveiligingsbulletins vermeld. Dat is nu niet het geval, maar de kans op misbruik en aanvallen is wel aanwezig. Gebruikers krijgen dan ook het advies om de update zo snel als mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Dit geldt zowel voor Mac- als Windows-gebruikers. Updaten naar Flash Player 31.0.0.153 kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Aanvallen op Flash Player-gebruikers vinden niet alleen plaats via de browser, ook wordt er gebruik gemaakt van Office-documenten. Eerder dit jaar werden verschillende zeroday-aanvallen waargenomen waarbij doelwitten een Office-document kregen toegestuurd dat een Flash-object bevatte. Dit object wordt automatisch uitgevoerd zodra de gebruiker het document opent. Op deze manier kunnen ook gebruikers die Flash Player in de browser hebben geblokkeerd of uitgeschakeld worden aangevallen. bron: security.nl

De adresbalk van Safari was door een beveiligingslek te spoofen, waardoor aanvallers overtuigende phishingaanvallen tegen Apple-gebruikers hadden kunnen uitvoeren. De kwetsbaarheid werd al in juli van dit jaar door Apple verholpen, maar details over het beveiligingslek zijn nu openbaar gemaakt. Het probleem deed zich voor bij de kleine Latijnse letter "dum". Deze letter werd in Safari als een normale "d" weergegeven. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Zo is het mogelijk om een domein als "xn--iclou-rl3s.com" te registreren, dat alleen door Safari als "icloud.com" werd weergegeven. Bij andere browsers was de werkelijke domeinnaam wel te zien. Dit wordt ook wel een "homograph" aanval genoemd. Een aanvaller had zodoende voor allerlei domeinen met een "d" een phishingvariant kunnen maken, zoals Linkedin.com, Adobe.com, Wordpress.com, Dropbox.com, Godaddy.com en Reddit.com. Ook had een aanvaller al deze phishingvarianten van een geldig tls-certificaat kunnen voorzien. Apple werd begin april door securitybedrijf Tencent ingelicht, waarna het probleem begin juli in macOS, iOS, tvOS en watchOS werd gepatcht. bron: security.nl

Aanvallers combineren een kwetsbaarheid in Drupal en Linux om kwetsbare Drupal-webservers over te namen. Daarvoor waarschuwt securitybedrijf Imperva. Drupal is een contentmanagementsysteem dat door 2 procent van alle websites op internet wordt gebruikt, aldus cijfers van W3Techs. In maart van dit jaar werd er een zeer ernstige kwetsbaarheid in Drupal gepatcht waardoor aanvallers kwetsbare websites kunnen overnemen. Dit beveiligingslek wordt ook wel "Drupalgeddon 2" genoemd. Kort na het uitkomen van de beveiligingsupdate maakten aanvallers hier misbruik van om kwetsbare websites over te nemen. Via het Drupal-lek kunnen aanvallers hun eigen code met de rechten en gebruiker van de webapplicatie uitvoeren. Aanvallers willen graag langere tijd toegang tot een systeem behouden, zodat het opnieuw besmet kan worden als de kwaadaardige code wordt verwijderd. In het geval van op Linux-gebaseerde systemen wordt vaak een communicatiekanaal via SSH geopend, zegt Nadav Avital van Imperva. Wanneer er geen SSH-service is geïnstalleerd moet de aanvaller dit zelf doen. "Meestal heeft de webserver minimale permissies en kan geen nieuwe services installeren", aldus Avital. Bij de nu waargenomen aanvallen zoeken de aanvallers dan ook naar root-wachtwoorden in de configuratiebestanden, zodat SSH wel kan worden geïnstalleerd. Wanneer er geen root-wachtwoorden worden gevonden proberen de aanvallers drie verschillende exploits voor de Dirty COW-kwetsbaarheid. Dirty COW is de naam voor een uit 2016 stammende Linux-kwetsbaarheid waardoor een lokale gebruiker zijn rechten kan verhogen. Op deze manier kan een aanvaller root worden en zo alsnog SSH installeren. "Beheerders moeten er dan ook voor zorgen dat zowel hun webapplicatie als het besturingssysteem van de host volledig zijn gepatcht", merkt Avital op. bron: security.nl

Er is een nieuwe versie van de op privacy gerichte zoekmachine Startpage verschenen die gebruikers een verbeterde proxy biedt om zoekresultaten anoniem de bezoeken. StartPage is een Nederlandse zoekmachine die sinds 2009 bestaat en in 2016 samenging met de metazoekmachine Ixquick. De zoekmachine zegt geen persoonlijke informatie van gebruikers op te slaan of met derden te delen. "Wij kunnen geen profiel van je samenstellen en wij kunnen ook nooit gedwongen worden om persoonlijke gegevens over te dragen aan enige overheid, simpelweg omdat we geen gegevens hebben om te overhandigen", aldus Startpage op de eigen pagina. Nu is er een nieuwe versie gelanceerd die snellere resultaten biedt en over meer toegankelijke functies beschikt. Een andere belangrijke optie is de vernieuwde 'Anonieme Weergave'-proxy waarmee gebruikers websites anoniem kunnen bezoeken, zonder dat ze worden gevolgd en geprofileerd. De nieuwe proxy is sneller en effectiever dan de vorige proxy. Zodra gebruikers een website via de Anonieme Weergave-proxy bezoeken ziet deze website alleen Startpage. Volgens de zoekmachine is er een verschil met andere proxies die risicovolle JavaScript uitschakelen of helemaal toestaan. Veel websites vereisen JavaScript om te functioneren, maar het wordt ook gebruikt om internetgebruikers te volgen. In plaats van JavaScript volledig uit te schakelen gebruikt de Startpage.com Proxy verschillende technieken om noodzakelijke JavaScriptcode toe te staan, maar worden gevaarlijke elementen herschreven en geherdefinieerd. "Hiermee worden allerlei browser en 'device fingerprinting' trackingstechnieken voorkomen. Sites blijven er goed uitzien, terwijl je volledig anoniem blijft. Dat is iets wat veel VPNs niet kunnen bieden", zo laat de zoekmachine weten. bron: security.nl

Contactlensleverancier Vision Direct heeft klanten die recent een bestelling hebben geplaatst gewaarschuwd dat hun creditcardgegevens mogelijk zijn gestolen. Creditcardgegevens en andere persoonlijke informatie die van 3 november tot en met 8 november op VisionDirect.co.uk werden ingevoerd zijn gestolen, zo meldt het bedrijf in een waarschuwing op de eigen website. Beveiligingsonderzoeker Willem de Groot laat echter op Twitter weten dat ook andere websites van Vision Direct zijn getroffen, waaronder de Nederlandse, Belgische, Spaanse en Franse websites. We hebben Vision Direct dan ook om opheldering gevraagd en zullen dit artikel updaten zodra er meer bekend is. Aanvallers wisten kwaadaardige code op VisionDirect.co.uk te plaatsen die ingevoerde data buitmaakte, aldus onderzoeker Troy Mursch. Het gaat om namen, factuuradressen, e-mailadressen, wachtwoorden, telefoonnummer en creditcardgegevens zoals kaartnummer, verloopdatum en CVV-code. De contactlensleverancier laat weten dat informatie die al in de database was opgeslagen geen risico heeft gelopen. Alle klanten die in de betreffende periode op hun account hebben ingelogd krijgen het advies om contact met hun bank of creditcardmaatschappij op te nemen en hun advies te volgen. Klanten van wie Vision Direct denkt dat de gegevens zijn gestolen krijgen een e-mail met een uitleg om hun wachtwoord te wijzigen. Hoe de aanvallers toegang tot de website of websites wisten te krijgen is niet bekendgemaakt. Vision Direct stelt dat er een onderzoek is ingesteld en het met de autoriteiten samenwerkt. bron: security.nl

CCC en OpenWRT hekelen routerrichtlijnen Duitse overheid De veiligheidsrichtlijnen die de Duitse overheid vorige week voor routerfabrikanten publiceerde zijn een farce en schieten ernstig te kort, zo stellen de Duitse hackersvereniging CCC en de ontwikkelaars van OpenWrt, populaire opensourcefirmware voor routers. Afgelopen vrijdag kwam het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met technische beveiligingsrichtlijnen voor routers. Doordat routers zo'n belangrijke rol in de netwerken van mensen spelen is het belangrijk dat de apparaten veilig zijn, aldus het BSI. Door het publiceren van de richtlijnen wil de Duitse overheidsinstantie fabrikanten zover zien te krijgen dat ze veilige producten gaan aanbieden. Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten. De richtlijnen zijn echter onvoldoende, aldus de CCC en OpenWrt. Zo hebben gebruikers nog steeds geen zinvolle manier om veilige en duurzame apparaten van risicovolle routers te onderscheiden of de mogelijkheid om de veiligheid in hun eigen handen te nemen. Bij het opstellen van de regels heeft het BSI met allerlei partijen overlegd. Tijdens verschillende inspraakmomenten hebben de CCC en OpenWrt voor toevoegingen gepleit, maar die zijn niet in de richtlijnen opgenomen. De beide organisaties willen dat er alleen routers mogen worden verkocht waarop duidelijk staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt. Door deze twee principes toe te voegen zou elke gebruiker kunnen zien hoe lang de router op een veilige manier is te gebruiken en de optie hebben om veilige, gratis firmware te installeren als de fabrikant geen updates meer uitbrengt, aldus OpenWrt en de CCC. "Het feit dat de richtlijn niet voorschrijft om veilige firmware zoals OpenWrt te kunnen installeren doet ons twijfelen over hoe serieus de Duitse overheid it-security neemt", aldus Hauke Mehrtens van het OpenWrt-project. Volgens Mirko Vogt van de CCC beschikken alle lampen en wasmachines tegenwoordig over kleurenschema's waardoor mensen eenvoudig kunnen zien hoeveel stroom ze verbruiken. Bij routers, die voor grote aanvallen op internet kunnen worden gebruikt, ontbreken dergelijke onderscheidingscriteria, waardoor onveilige routers op grote schaal binnen thuis- en bedrijfsnetwerken zullen blijven worden uitgerold. bron: security.nl

De 'Nationale Wasstraat' (NaWas) beschermt 2,5 miljoen van de in totaal 5,8 miljoen geregistreerde .nl-domeinen tegen ddos-aanvallen. Dat melden de Nationale Beheersorganisatie Internet Providers (NBIP) en de Stichting Internet Domeinregistratie Nederland (SIDN) in een vandaag verschenen rapport (pdf). De NaWas is een centraal opgestelde hoeveelheid anti-ddos-apparatuur waar verkeer kan worden langs geleid als een provider wordt aangevallen. Het aanvalsverkeer wordt door de NaWas gefilterd en het schone verkeer doorgestuurd. De oplossing is bedoeld voor internetproviders voor wie het zelf kopen en onderhouden van anti-ddos-apparatuur onhaalbaar of niet rendabel is. "Middels onze Nationale Wasstraat, de NaWas, hebben we sinds 2014 voor een groot deel van de Nederlandse internetsector elke ddos-aanval kunnen mitigeren", zo liet het NBIP in een rapport over ddos-aanvallen in de eerste helft van 2018 weten. De organisatie registreerde in de eerste zes maanden van dit jaar 555 aanvallen. In de eerste helft van 2017 ging het nog om 420 geregistreerde ddos-aanvallen. Tijdens de eerste zes maanden van dit jaar zag de NBIP geen bijzondere, complexe aanvallen. Wel werden er een aantal grote aanvallen gezien van meer dan 40 Gbps. In 2017 werden geen aanvallen van deze omvang waargenomen. Van de aanvallen in de eerste helft van 2018 duurde 81,6 procent minder dan een uur en 37 procent minder dan een kwartier. Schatting van schade In het vandaag verschenen rapport maken NBIP en SIDN een schatting van de schade die ddos-aanvallen hadden kunnen veroorzaken wanneer er geen bescherming aanwezig zou zijn. Dit zou voor de op NaWas aangesloten ondernemingen 425 miljoen euro zijn. Volgens Michiel Henneke van de SIDN gaat het hier om een schatting en heeft het onderzoek daarmee een indicatief karakter en doet het geen exacte uitspraak. "Het Centraal Planbureau concludeerde in oktober al dat de exacte schade die DDoS aanricht moeilijk te kwantificeren is. Zo is het lastig te beoordelen of het gedurende een dag niet beschikbaar zijn van een website leidt tot uitstel of afstel van een zakelijke transactie", aldus Henneke. NBIP en SIDN stellen dat er in Nederland bijna geen onderzoek wordt gedaan naar de financiële impact van ddos-aanvallen. Het onderzoek van beide organisaties moet dan ook een startpunt voor verder onderzoek bieden. bron: security.nl

Nu mensen steeds meer apparaten in huis op internet aansluiten speelt de router een steeds belangrijkere rol. Al het interne netwerk- en internetverkeer loop namelijk via het apparaat. Een aanvaller die toegang tot een router weet te krijgen, heeft zo toegang tot allerlei persoonlijke data. Routers moeten dan ook goed zijn beveiligd. Aanleiding voor het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, om technische beveiligingsrichtlijnen voor routers op te stellen. De richtlijnen zijn met name op fabrikanten gericht en beschrijven minimale beveiligingsmaatregelen waar routers voor particulieren over moeten beschikken. Met de publicatie van de richtlijn hoopt het BSI om routers beter bestand tegen aanvallen te maken. Zo moeten routers updates kunnen ontvangen, maar is een automatische updatefunctie niet verplicht. Verder moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Daarnaast mag dit preset-wachtwoord bijvoorbeeld niet zijn afgeleid van het MAC-adres of andere kenmerken van de router. Volgens het BSI zijn de richtlijnen een belangrijke stap richting een it-beveiligingslabel. bron: security.nl

Doe even wat Abbs je adviseert: even je scanner uit en dan Farbar installeren.

Met de feestdagen in aantocht heeft Mozilla een op privacy gerichte cadeaugids gepubliceerd die de privacy en security van allerlei producten behandelt. De afgelopen maanden hebben onderzoekers van de opensource-ontwikkelaar tal van producten beoordeeld op zaken als het automatisch aanbieden van beveiligingsupdates, het versleutelen van persoonlijke informatie, duidelijkheid van het privacybeleid en andere zaken. In totaal zijn er uitgebreide reviews van 70 producten gemaakt verdeeld over zes categorieën: toys & games, smart home, entertainment, wearables, gezondheid & beweging en huisdieren. 32 producten werden beoordeeld met een badge omdat ze voldoen aan de minimale veiligheidsstandaarden die door Mozilla, de Internet Society en Consumer International zijn opgesteld. Om een badge te ontvangen moeten producten van encryptie gebruikmaken, over automatische beveiligingsupdates beschikken, beveiligingslekken beheren, bijvoorbeeld via bug bounty programma's, en gebruikers verplichten om het standaardwachtwoord te wijzigen wanneer er een wachtwoord is verplicht. Onder andere de Nintendo Switch, Sony PS4, Microsoft Xbox One, Amazon Echo & Dot, Google Home en Apple iPad ontvingen een badge. Verder kunnen gebruikers via de cadeaugids aangeven hoe "creepy" ze een product vinden en of ze het overwegen te kopen. Mozilla stelt dat de meeste cadeaugidsen zich op prijs en prestaties richten en niet op privacy, wat volgens de ontwikkelaar een grote tekortkoming is. "Elke dag verschijnen er meer en meer berichten over gebrekkige met internet verbonden apparaten. Deze apparaten kunnen onze locaties volgen zonder dat we dit weten, ze verkopen onze data aan allerlei adverteerders en zijn vaak te hacken en manipuleren", aldus Mozillas Ashley Boyd. Met de cadeaugids "Privacy Not Included" wil Mozilla een een discussie over online privacy en security op gang brengen en gebruikers meer controle over hun eigen data geven. bron: security.nl

Windows 10 krijgt meer opties voor het pauzeren van beveiligingsupdates en andere updates, zo heeft Microsoft bij de lancering van een nieuwe testversie van het besturingssysteem aangekondigd. De softwaregigant zegt dat het naar aanleiding van gebruikersfeedback twee nieuwe features aan de testversie heeft toegevoegd die gebruikers meer controle over hun updates moeten geven. Ten eerste is de optie om updates te pauzeren direct zichtbaar in het Windows Update-menu. Voorheen moesten gebruikers eerst naar de geavanceerde opties voordat de functie zichtbaar was. Daarnaast kunnen gebruikers nu instellen dat beschikbare updates na een bepaald aantal dagen of op een specifieke dag worden geïnstalleerd. Sommige updates, zoals die voor de ingebouwde anti-virussoftware Windows Defender, worden altijd geïnstalleerd, ongeacht of er voor het pauzeren van updates is gekozen. Een andere aanpassing die met Windows Update samenhangt is het moment wanneer het systeem mag worden herstart, bijvoorbeeld om de installatie van beveiligingsupdates af te ronden. Op dit moment kunnen gebruikers hun "Gebruikstijden" instellen. Windows 10 zal op deze momenten geen herstart van het systeem uitvoeren. De nieuwste testversie van Windows 10 beschikt over een optie waarbij de Gebruikstijden automatisch door het besturingssysteem worden aangepast aan de hand van het computergebruik. Dit moet voorkomen dat gebruikers met een reboot te maken krijgen als ze zijn vergeten hun Gebruikstijden aan te passen. Deze week besloot Microsoft de uitrol van de Windows 10 October 2018 Update te hervatten, nadat de eerste versie bij verschillende gebruikers voor problemen had gezorgd. Tevens publiceerde Microsoft een uitgebreide blogposting waar het ingaat op de kwaliteit van de updates die het uitbrengt. Zo blijkt dat het aantal "klantenincidenten" en telefoontjes naar de helpdesk de afgelopen jaren is afgenomen, terwijl het aantal Windows 10-installaties toenam. Ondanks deze trends laat de softwaregigant weten dat het meer gaat doen om problemen in de toekomst te voorkomen. De nieuwe features voor Windows Update zijn in de Windows 10 Insider Preview Build 18282 beschikbaar. Wanneer ze in de definitieve versie verschijnen is nog niet bekend. bron: security.nl

Een beveiligingslek in gps-horloges van verschillende fabrikanten maakt het mogelijk om kinderen in real-time te volgen en hun omgeving af te luisteren zonder dat dit zichtbaar is. Het gaat om horloges van fabrikant miSafes alsmede 53 andere merken. Zowel securitybedrijf Pen Test Partners dat het probleem ontdekte als de BBC lukte het niet om in contact met miSafes te komen. De kwetsbaarheid is nog altijd niet opgelost en ouders wordt dan ook aangeraden om het gebruik van gps-horloges te heroverwegen. De gps-horloges beschikken over een bijbehorende app waarmee ouders de locatie van hun kinderen op hun eigen smartphone kunnen zien. Ook is het mogelijk om de omgeving van het kind op te nemen, een bericht te versturen of het kind te bellen. Het probleem wordt veroorzaakt door de programmeerinterface waar de app gebruik van maakt. De app verstuurt een "id" om informatie over het bijbehorende gps-horloge in de app weer te geven. Onderzoekers ontdekten dat ze door het opgeven van een ander "id" informatie van een ander gps-horloge kregen. Op deze manier is het bijvoorbeeld mogelijk om van alle gps-horloges de locatie op te vragen. Ook kon het telefoonnummer van het kind en de ouders worden achterhaald. De gps-horloges maken gebruik van een whitelist van geautoriseerde telefoonnummers die het kind kunnen bellen. Het is echter mogelijk om deze whitelist te omzeilen en kinderen via een ander nummer te bellen. Ook kan via het aanpassen van een "id" de monitormode worden ingeschakeld en is zo de omgeving van het kind af te luisteren. Tevens lukte het de onderzoekers om de naam van het kind, alsmede zijn geboortedatum, geslacht, gewicht, lengte en foto op te vragen. Ondanks herhaaldelijke pogingen lukte het niet om miSafes te benaderen. Daardoor lopen naar schatting 30.000 kinderen die miSafes-horloges gebruiken risico. Het probleem is echter niet beperkt tot miSafes. Er zijn 53 andere merken met soortgelijke problemen ontdekt. Namen van deze bedrijven zijn echter niet genoemd. Het gaat onder andere om horloges die onder verschillende namen worden aangeboden. Het totaal aantal kwetsbare gps-horloges bedraagt naar schatting meer dan 1 miljoen. Misbruik van de kwetsbaarheden vereist volgens de onderzoekers basale programmeervaardigheden en verschillende gratis tools. Ouders krijgen daarom het advies om het gebruik van gps-horloges te heroverwegen. Amazon en eBay zouden de horloges inmiddels niet meer aanbieden. bron: security.nl

Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine. Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik. Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren. "Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen. Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch. bron: security.nl

Het afgelopen weekend zijn zo'n 700 WordPress-sites gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in. Via het beveiligingslek kunnen aanvallers adminaccounts en backdoors aan websites toevoegen. Nadat aanvallers toegang hadden gekregen wijzigden ze de site url van deze gehackte WordPress-sites naar een ander domein. De site url laat WordPress weten waar de website zich bevindt. Door de aanpassing wordt er kwaadaardige content op de gehackte WordPress-sites geladen. Bij de aanval van dit weekend was het ingestelde domein echter offline, waardoor het lang duurde voordat de gehackte WordPress-sites konden worden geladen en leek de website kapot, aangezien er geen content van het opgegeven domein beschikbaar was. Dat laat securitybedrijf Sucuri weten. De beveiliger ontdekte via de eigen scanner zo'n 700 gehackte websites, maar het werkelijke aantal kan veel hoger liggen. De WordPress GDPR Compliance-plug-in is op meer dan 100.000 websites geïnstalleerd. Bij verschillende van de getroffen websites is de site url inmiddels aangepast. Er wordt een script van PasteBin geladen dat gebruikers doorstuurt naar een zogeheten "tech support scam". De scamsite laat bezoekers weten dat er een probleem met hun computer is en ze het opgegeven telefoonnummer moeten bellen. Het telefoonnummer is van oplichters die toegang tot de computer van het slachtoffer proberen te krijgen en uiteindelijk geld vragen voor het oplossen van het niet bestaande probleem. Het script op Pastebin is inmiddels meer dan 2 miljoen keer geladen. De GDPR Compliance-plug-in wordt via WordPress.org aangeboden. Tal van gebruikers laten in recensies weten dat hun websites via de kwetsbaarheid zijn gehackt. De ontwikkelaars melden op hun eigen website dat alle WordPress-sites die van de plug-in gebruikmaken en niet meteen de beveiligingsupdate hebben geïnstalleerd moeten controleren of ze gehackt zijn. Eventueel onbekende adminaccounts moeten worden verwijderd. Verder wordt geadviseerd om een complete back-up van de website van voor 6 november 2018 terug te zetten en daarna meteen de update te installeren. bron: security.nl

Facebook heeft een beveiligingslek in het platform gepatcht waardoor persoonlijke informatie over gebruikers en hun vrienden konden lekken. Door de kwetsbaarheid was het mogelijk om in naam van gebruikers zoekopdrachten bij Facebook uit te voeren en zo persoonlijke informatie op te vragen. Zo kon bijvoorbeeld worden opgevraagd of de gebruiker vrienden in een bepaald land of met een bepaalde naam had, of de gebruiker berichten met bepaalde woorden erin had geschreven of vrienden had die dit hadden gedaan. Ook was het mogelijk om te kijken of gebruikers vrienden in bepaalde landen hadden die een bepaalde religie aanhingen. Verder kon worden bekeken welke artikelen en berichten gebruikers hadden geliket. Om de aanval uit te voeren moest een Facebookgebruiker wel eerst een website openen waar de aanvaller JavaScript kon uitvoeren. Vervolgens moest er op een willekeurige plek op deze website worden geklikt, waarna de zoekopdracht bij Facebook werd uitgevoerd. De kwetsbaarheid werd ontdekt door onderzoekers van securitybedrijf Imperva die Facebook in mei informeerden, waarna de sociale netwerksite het probleem verhielp. bron: security.nl

Microsoft heeft de uitrol van de Windows 10 October 2018 Update hervat, nadat de eerste versie bij sommige gebruikers voor problemen zorgde. De update introduceert extra privacyinstellingen en beveiligingsverbeteringen. De eerste versie die op 2 oktober verscheen kon er in bepaalde gevallen ervoor zorgen dat bestanden bij gebruikers verdwenen. Daarop werd besloten om de uitrol tijdelijk te staken. In een blogposting laat Microsoft weten dat alle problemen zijn verholpen. Ook is er gekeken naar feedback en diagnostische data van systemen die de October Update hadden geïnstalleerd en zijn er geen verdere gevallen van dataverlies waargenomen. Daarop is besloten om de uitrol te hervatten. Als eerste kunnen "gevorderde" gebruikers de update handmatig downloaden door op beschikbare updates te zoeken. Vervolgens zal de October Update de komende weken en maanden gefaseerd aan andere gebruikers worden aangeboden. Microsoft stelt dat de April Update die eerder dit jaar verscheen de snelst uitgerolde Windows 10-update tot nu toe is. Met de October Update wordt echter een voorzichtigere aanpak gehanteerd. "We zullen de Windows October Update via Windows Update gaan aanbieden als de data laat zien dat je apparaat er klaar voor is en je een goede ervaring zal hebben", aldus Microsofts John Cable. Als blijkt dat een computer een probleem met de October Update heeft, bijvoorbeeld als er nog applicaties incompatibel zijn, wordt de update niet aangeboden totdat het probleem is verholpen. Zelfs wanneer gebruikers zelf op updates controleren zal de October Update niet worden aangeboden. Microsoft zegt dat het van plan is om een "Windows update status dashboard" toe te voegen om meer informatie over problemen te geven die ervoor zorgen dat een update wordt geblokkeerd. Twee keer per jaar brengt de softwaregigant een grote feature-update voor Windows 10 uit. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. bron: security.nl

Tijdens de patchdinsdag van november heeft Microsoft een actief aangevallen kwetsbaarheid in Windows gedicht. Via het beveiligingslek konden aanvallers die al toegang tot een systeem hadden hun rechten verhogen. In totaal verhielp Microsoft 62 kwetsbaarheden in IE, Edge, Windows, Microsoft Office, ChakraCore, .NET Core Skype for Business en verschillende andere pakketten. Het actief aangevallen beveiligingslek werd op 17 oktober door anti-virusbedrijf Kaspersky Lab ontdekt en aan Microsoft gerapporteerd. De kwetsbaarheid werd gebruikt bij de installatie van malware, zodat die lastiger te verwijderen zou zijn. Het beveiligingslek alleen is niet voldoende om een systeem te compromitteren. Een aanvaller moet al in staat zijn om code op het systeem uit te voeren. Een niet nader aantal genoemd gebruikers in het Midden-Oosten was doelwit van de aanval. Verder stelt Microsoft dat er een kwetsbaarheid in de Windows Advanced Local Procedure Call (ALPC) is gepatcht waarvan de details voor het uitkomen van de update al bekend waren. Via het beveiligingslek kan een aanvaller ook zijn rechten op een al gecompromitteerd systeem verhogen. Er zijn echter geen aanvallen waargenomen die misbruik van het lek maken. Tevens zijn er meerdere kwetsbaarheden in Microsoft Outlook gepatcht. Via een speciaal geprepareerd RWZ-bestand had een aanvaller willekeurige code op het systeem kunnen uitvoeren en dit in het ergste geval volledig kunnen overnemen. Voor het uitvoeren van de aanval was het wel vereist dat het RWZ-bestand binnen Outlook werd geopend. Ook een kwetsbaarheid in Windows Search waardoor systemen konden worden overgenomen behoort tot het verleden. Om het lek te misbruiken moest een aanvaller een speciaal gepreprareerd bericht naar de Windows Search-service sturen. Het beveiligingslek kon zowel door een lokale aanvaller als remote aanvaller worden aangevallen. In dit laatste geval moest de aanvaller wel geauthenticeerd zijn. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft beveiligingsupdates voor Acrobat en Reader uitgebracht die een kwetsbaarheid verhelpen waardoor een hash van het NTLM-wachtwoord van de gebruiker kon lekken. Proof-of-conceptcode om het beveiligingslek te demonstreren is openbaar, maar Adobe is niet bekend met daadwerkelijke aanvallen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. Hoewel Adobe de kwetsbaarheid als "belangrijk" heeft bestempeld en niet als "ernstig", krijgen gebruikers toch het advies om snel naar de nieuwste versie te updaten, waarbij als voorbeeld binnen 72 uur wordt gegeven. De nieuwste versies zijn Acrobat DC of Acrobat Reader versie 2019.008.20081, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30106, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30457 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

51 landen waaronder Nederland hebben een verklaring getekend die voor een veiliger internet moet zorgen. De Verenigde Staten, Groot-Brittannië, China, Rusland, Iran en Israël besloten de Paris Call for Trust and Security in Cyberspace niet te ondertekenen. Naast landen hebben ook allerlei bedrijven en organisaties zich achter de verklaring geschaard, waaronder Facebook, Google en Microsoft. Deelnemende partijen zeggen zich in te zullen zetten om kwaadaardige activiteiten op internet tegen te gaan, de integriteit van het internet te beschermen, verstoring van verkiezingsprocessen te voorkomen, schending van intellectueel eigendom te bestrijden, verspreiding van kwaadaardige programma's en technieken te voorkomen, de veiligheid van digitale producten en diensten te versterken, activiteiten van niet-statelijke actoren aan te pakken en internationale standaarden te versterken. Volgens de opstellers van de verklaring kan de groei van cybercrime en kwaadaardige activiteiten zowel de privégegevens van mensen als bepaalde vitale infrastructuren in gevaar brengen. Om de rechten van mensen te respecteren en mensen op dezelfde manier te beschermen zoals in de fysieke wereld het geval is, moeten landen samenwerken, zowel met elkaar als met bedrijven, academici en burgerorganisaties. "De Paris Call is een belangrijke stap richting digitale vrede, het creëren van een sterker fundament voor vooruitgang", zegt Microsofts Brad Smith. Hij merkt op dat de techsector de eerste en voornaamste verantwoordelijke is om de technologie en de mensen die ervan gebruikmaken te beschermen. "Dit is echter een probleem waarbij overheden, bedrijven en de burgermaatschappij moeten samenkomen. Dat is de enige manier om mensen te beschermen tegen cyberdreigingen die soms van militair niveau zijn." bron: security.nl

Microsoft ontvangt dagelijks pentestrapporten van onderzoekers, klanten en industriepartners waarin staat vermeld dat een bepaald product kwetsbaar voor aanvallen is, maar in veel gevallen ontbreken specifieke details waardoor onduidelijk is of het om een nieuw beveiligingslek gaat, zo meldt de softwaregigant. Pentesters controleren op verzoek van organisaties en bedrijven de veiligheid van hun systemen en netwerken. Via de rapporten van pentesters kunnen eventueel gevonden problemen worden verholpen. Het is echter belangrijk om deze pentestrapporten in de context van de klant zijn omgeving te zien, zo stelt Christa Anderson van het Microsoft Security Center. Veel rapporten die Microsoft ontvangt claimen dat een product kwetsbaar voor een aanval is, maar bevatten geen specifieke details over de aanvalsvector of een demonstratie van hoe de kwetsbaarheid kan worden misbruikt. Vaak zijn er daarnaast beschermingsmaatregelen beschikbaar waarmee het gevonden beveiligingsrisico kan worden vermeden, aldus Microsoft. Het gaat dan bijvoorbeeld om maatregelen waarmee bruteforce-aanvallen zijn te voorkomen. Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen is het daarom belangrijk om eerst naar de omgeving, gebruikte configuraties en beschikbare beveiligingsmaatregelen te kijken. Als dan alsnog blijkt dat het om een nieuwe kwetsbaarheid gaat waarvoor geen bescherming is vraagt Microsoft om het rapport en de proof-of-concept exploit op te sturen. bron: security.nl