Captain Kirk

Gebruikers van de WordPressplug-in WPML zijn getroffen door een datalek waarbij een aanvaller hun namen, e-mailadressen en sitekeys in handen kreeg. Dit weekend werd er op de website van WPML ingebroken. WPML is een plug-in waarmee WordPress-sites eenvoudig in verschillende talen kunnen worden aangeboden. De ontwikkelaars claimen dat WPML op meer dan 600.000 websites draait. Het datalek kwam aan het licht nadat de aanvaller naar gebruikers een e-mail verstuurde waarin hij beweerde dat WPML onveilig is en vol beveiligingslekken zit. De buitgemaakte sitekeys worden door websites gebruikt om updates van WPML.org te ontvangen. De ontwikkelaars van de plug-in benadrukken dat de aanvaller met de sitekeys geen updates of andere aanpassingen naar de websites van gebruikers kan pushen. Alle gebruikers krijgen het advies om hun account op WPML.org te resetten. Naar aanleiding van de inbraak heeft WPML.org de website geüpdatet, alles herbouwd en opnieuw geïnstalleerd. Verder is toegang tot het beheergedeelte via tweefactorauthenticatie beveiligd en de toegang die de webserver tot het bestandssysteem heeft beperkt. In een verklaring op de eigen website stelt het WPML-ontwikkelteam dat de aanval door een ex-werknemer is uitgevoerd die een oud ssh-wachtwoord zou hebben gebruikt. De aanval zou niet via een exploit in WordPress, WPML of ander plug-in zijn uitgevoerd. Later deze week komt het ontwikkelteam met meer informatie over de inbraak. bron: security.nl

Vorig jaar hebben onderzoekers bij het Zero Day Initiative (ZDI) een recordaantal kwetsbaarheden in pdf-lezers van Adobe en Foxit gemeld. Het ging om bijna 500 beveiligingslekken die werden gerapporteerd. Het ZDI beloont onderzoekers voor dergelijke meldingen en informeert vervolgens de fabrikant. De fabrikant is zo in staat om een beveiligingsupdate te ontwikkelen. ZDI hanteert wel een deadline van 120 dagen waarin fabrikanten, na te zijn ingelicht, met een patch moeten komen, anders worden details van het beveiligingslek openbaar gemaakt. In 2018 publiceerde het ZDI advisories over 1444 kwetsbaarheden die onderzoekers hadden gemeld. 427 advisories meer dan in 2017. Van de 1444 kwetsbaarheden waren er 1286 gepatcht op het moment dat de advisory verscheen. Voor 158 kwetsbaarheden was er op het moment dat de advisory werd gepubliceerd geen patch beschikbaar. De meeste kwetsbaarheden werden in de pdf-lezers van Adobe en Foxit gerapporteerd. In het geval van Foxit ging het om 257 beveiligingslekken, gevolgd door Adobe met 238 kwetsbaarheden. Adobe biedt ook nog andere programma's aan, maar het ZDI meldt dat 96 procent van de Adobe-advisories over Adobe Reader of Acrobat Reader ging. Volgens Dustin Childs van het ZDI komt deze aandacht voor pdf-lezers door het toegenomen gebruik van pdf-bestanden in actieve exploits. "Het pdf-formaat blijft bij actieve aanvallen worden gebruikt en het einde is nog niet in zicht. Gezien dat dit bestandsformaat door veel applicaties op veel besturingssystemen wordt weergegeven, is het geen verrassing waarom het een aantrekkelijk doelwit blijft. Ontwikkelaars moeten dan ook defense-in-depth-maatregelen nemen om gehele klassen van kwetsbaarheden voor pdf's te verhelpen om een enigszins acceptabel beveiligingsniveau te hebben", stelt Childs. Het werkelijke aantal gevonden kwetsbaarheden in de pdf-lezers ligt veel hoger, aangezien het hier alleen gaat om kwetsbaarheden die onderzoekers bij het ZDI rapporteerden. Er zijn ook nog andere bedrijven die organisaties belonen voor het melden van kwetsbaarheden. Daarnaast kunnen onderzoekers met hun bevindingen ook direct bij de softwareontwikkelaar aankloppen. bron: security.nl

Adobe heeft een opensourcetool gelanceerd waarmee organisaties de voor het internet zichtbare kant van hun netwerk in kaart kunnen brengen. De tool heet Marinus en maakt gebruik van dns-records, tls-certificaten, open poorten, http-headers en andere informatie om te zien welke informatie er over het netwerk van de organisatie is te vinden. Aanvallers maken bij het verkennen van een potentieel doelwit ook gebruik van dergelijke informatie om bijvoorbeeld zwakke of interessante plekken te vinden. Via Marinus kunnen organisaties zien of er bijvoorbeeld subdomeinen zijn die risico lopen om te worden overgenomen, of dat er bepaalde diensten onbedoeld zijn blootgesteld. Ook detecties door VirusTotal worden door de tool weergegeven. Verder kan de tool een visuele weergave van het netwerk geven. Om met Marinus aan de slag te gaan zijn er drie onderdelen vereist. Zo moet er een Mongo-database aanwezig zijn voor het opslaan van data. Daarnaast zijn er één of meerdere servers vereist voor het draaien van de Python-scripts die de data verzamelen en in de Mongo-database opslaan. Als laatste vereist Marinus een server om de interactieve NodeJS-website te draaien die voor het weergeven van de data wordt gebruikt. Adobe werkte twee jaar aan Marinus en de softwareontwikkelaar heeft nu besloten een opensourceversie van het programma uit te brengen. Daarnaast kijkt Adobe of het mogelijk is om de tool met de Shodan-zoekmachine en Google Compute te integreren. bron: security.nl

De populaire browserextensie Ghostery heeft een betaald abonnement geïntroduceerd dat gebruikers nieuwe opties geeft om hun "digitale voetafdruk" in de gaten te houden. Ghostery is een extensie voor verschillende browsers die trackers, webbugs, trackingpixels en advertenties blokkeert. Zo'n vier miljoen Chrome- en Firefox-gebruikers hebben de extensie geïnstalleerd. Voor 2 dollar per maand kunnen gebruiker nu van "Ghostery Plus" gebruikmaken. Het abonnement biedt nieuwe features, zoals historische statistieken over trackers en advertenties. Verder komen betalende gebruikers in aanmerking voor "priority support" en andere features die nog in ontwikkeling zijn. Volgens de ontwikkelaars van Ghostery is het betaalmodel nodig om te kunnen overleven. Daarnaast zou het moeten helpen bij het investeren in meer geavanceerde producten en technologieën. "We denken dat 2019 het jaar wordt waar privacy-as-a-service een levensvatbaar businessmodel wordt", aldus het Ghostery-team. De extensie werd in 2017 door het Duitse softwarebedrijf Cliqz overgenomen. Cliqz ontwikkelt browsers en browserextensies met geïntegreerde zoekmachines. Daarbij claimt het targeting, het gericht tonen van advertenties, en privacy te combineren. bron: security.nl

In de Chrome Web Store van Google is een malafide Chrome-extensie aangetroffen die creditcardgegevens van gebruikers steelt. De extensie, met de naam "‘Reader Flash", was sinds februari 2018 in de Chrome Web Store te vinden en sindsdien door zo'n vierhonderd mensen gedownload. De extensie wordt verspreid via websites. JavaScript dat de aanvallers aan de websites toevoegen detecteert of bezoekers Google Chrome gebruiken. Wanneer dit het geval is worden ze doorgestuurd naar een website die stelt dat de gebruiker Flash moet installeren. De "installatieknop" wijst vervolgens naar de malafide extensie in de Chrome Web Store. Na de installatie monitort de extensie de invoer van de gebruiker. Zodra die op een website zijn creditcardgegevens invoert worden die onderschept en naar de aanvallers teruggestuurd. Google heeft de extensie inmiddels uit de Chrome Web Store verwijderd, zo meldt securitybedrijf Eleven Paths. bron: security.nl

In het populaire contentplatform Drupal zijn twee ernstige kwetsbaarheden gepatcht waardoor aanvallers in het ergste geval websites hadden kunnen overnemen. Via de beveiligingslekken kan een aanvaller op afstand code uitvoeren en het onderliggende systeem overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). De kwetsbaarheden zijn aanwezig in Drupal core. Het contentplatform maakt gebruik van de third-party PEAR Archive_Tar library. Deze library bevat een kwetsbaarheid waardoor het op afstand uitvoeren van code mogelijk is. Het tweede beveiligingslek wordt veroorzaakt doordat sommige Drupalcode de invoer van gebruikers onvoldoende valideert, waardoor het uitvoeren van willekeurige PHP-code mogelijk is. Beheerders van een Drupalsite krijgen het advies om te updaten naar Drupal 7.62, 8.5.9 of 8.6.6. Versies van Drupal 8 voor versienummer 8.5.x zijn end-of-life en ontvangen geen beveiligingsupdates meer. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet. bron: security.nl

Op internet wordt een verzameling van 773 miljoen unieke e-mailadressen en ruim 21 miljoen unieke wachtwoorden aangeboden die uit verschillende datalekken afkomstig zijn. Dat laat onderzoeker Troy Hunt weten. De gegevens zijn bij mogelijk duizenden gehackte websites buitgemaakt en werden als één verzameling op een hackingforum aangeboden. Op de lijst van gehackte websites staan ook meerdere Nederlandse websites. De verzameling bestaat volgens Hunt uit meer dan 12.000 verschillende bestanden en is bij elkaar meer dan 87GB groot. De onderzoeker ontdekte in de gegevensverzameling ook zijn eigen persoonlijke data. De dataset bevat zowel gehashte als gekraakte wachtwoorden. Hierdoor kunnen aanvallers proberen om met een combinatie van e-mailadressen en wachtwoorden bij andere diensten in te loggen. In de praktijk blijken er nog altijd gebruikers te zijn die voor meerdere diensten hetzelfde wachtwoord gebruiken en zijn daardoor kwetsbaar voor dit soort aanvallen. Hunt heeft de e-mailadressen aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Verder zijn de ruim 21 miljoen wachtwoordhashes aan de "Pwned Passwords" verzameling van Hunt toegevoegd. De beveiligingsonderzoeker besloot vorig jaar miljoenen gehashte wachtwoorden voor iedereen beschikbaar te maken. Op deze manier kunnen websites gebruikers waarschuwen als ze een wachtwoord gebruiken dat in de dataset voorkomt. De lijst bevat inmiddels meer dan 551 miljoen wachtwoordhashes. bron: security.nl

Onderzoekers hebben bij 277 webwinkels besmette advertentiecode aangetroffen die creditcardgegevens van klanten heeft gestolen. Het afgelopen jaar wisten criminelen bij duizenden webshops zogeheten "creditcardskimmers" aan de betaalpagina toe te voegen. Dit gebeurde doordat de criminelen toegang tot de webwinkels wisten te krijgen of een derde partij compromitteerden waar de webshops gebruik van maakten. Onlangs ontdekten onderzoekers van anti-virusbedrijf Trend Micro bij 277 webwinkels een creditcardskimmer. Het ging volgens de onderzoekers om bekende cosmetica-, gezondheids- en kledingmerken, alsmede ticket-, reis- en vluchtboekingsdiensten. Namen van de getroffen webshops zijn niet openbaar gemaakt. Verder onderzoek wees uit dat de skimmercode niet direct aan de betaalpagina was toegevoegd, maar aan de code van een advertentiedienst waar de webwinkels gebruik van maakten. Het gaat om Adverline, een Frans online advertentiebedrijf. In het geval van Adverline was de kwaadaardige code toegevoegd aan een JavaScript-library die voor "retargeting" advertenties wordt gebruikt. Via retargeting kunnen webwinkels bezoekers taggen, zodat die specifieke advertenties te zien krijgen om ze weer naar de webwinkel te krijgen. De aanvallers hadden de JavaScript-library aangepast waardoor die ook een creditcardskimmer bevatte die automatisch werd geladen. Opgevangen creditcardgegevens werden vervolgens naar een remote server gestuurd. Hoe de aanvallers toegang tot de JavaScript-library van Adverline wisten te krijgen is niet bekendgemaakt. De kwaadaardige code is inmiddels door het advertentiebedrijf verwijderd. bron: security.nl

De op privacy gerichte zoekmachine DuckDuckGo maakt bij bepaalde zoekopdrachten voortaan gebruik van Apple Maps. Het gaat om kaart- en adresgerelateerde zoekopdrachten op zowel mobiel als desktop. Door de integratie met Apples MapKit JS framework kan de zoekmachine naar eigen zeggen verbeterde adreszoekopdrachten, aanvullende visuele features, verbeterde satellietbeelden en up-to-date kaartgegevens bieden. Als gebruikers bijvoorbeeld zoeken naar "pizza" in een bepaalde stad verschijnt er een kaart van pizzarestaurants in de betreffende gemeente. Volgens DuckDuckGo biedt Apple Maps een "waardevolle combinatie" van kaartgegevens en privacy. De zoekmachine benadrukt dat ook bij de integratie van Apple Maps er geen persoonlijke identificeerbare informatie zoals ip-adressen naar Apple of andere derde partijen wordt verstuurd. In het geval van lokale zoekopdrachten zullen de locatiegegevens die de browser naar de zoekmachine stuurt direct na gebruik worden verwijderd. "Je bent nog steeds anoniem wanneer je kaart- of adresgerelateerde zoekopdrachten op DuckDuckGo uitvoert", aldus de zoekmachine, die verder stelt dat het samen met Apple een nieuwe standaard voor vertrouwen op internet heeft gezet. bron: security.nl

WordPress zal de komende tijd waarschuwingen laten zien aan beheerders van wie de website op een verouderde versie van PHP draait. Dat heeft WordPress-ontwikkelaar Felix Arntz via een blogposting bekendgemaakt. Vanaf april zal WordPress alleen nog PHP versie 5.6 of nieuwer ondersteunen. WordPress 5.1 zal daarom aan webmasters en beheerders een waarschuwing laten zien en helpen met het upgraden van de gebruikte PHP-versie wanneer nodig. De waarschuwing is onderdeel van Site Health Check, een project waarmee WordPress de stabiliteit en prestaties van het gehele WordPress-ecosysteem wil verbeteren. De PHP-waarschuwing zal verschijnen bij alle PHP-versies lager dan 5.6. Volgens Gary Pendergast van WordPress draait 85 procent van de websites met WordPress 5.0 op PHP-versie 5.6 of nieuwer. De laagste PHP-versie die nog steeds beveiligingsupdates ontvangt is op dit moment versie 7.1. WordPress gaat nu de minimale vereiste naar PHP versie 5.6 verhogen. Het is uiteindelijk de bedoeling dat door WordPress ondersteunde PHP-versies ook nog steeds beveiligingsupdates ontvangen. De waarschuwing die WordPress zal laten zien wijst naar deze pagina met informatie over het updaten van PHP. Naast het updaten van PHP heeft Pendergast voorgesteld om de minimaal vereiste MySQL-versie aan te passen naar versie 5.5. Van alle websites die op WordPress 5.0 draaien maakt 98,5 procent gebruik van MySQL 5.5 of nieuwer. WordPress is het populairste contentmanagementsysteem (cms) op internet. Het wordt volgens cijfers van W3Techs door zo'n 33 procent van alle websites op internet gebruikt en heeft onder cms-platformen een marktaandeel van 60 procent. bron: security.nl

Microsoft stopt over precies één jaar de ondersteuning van Windows 7. Gebruikers zullen dan geen beveiligingsupdates meer ontvangen. Grote organisaties kunnen echter tegen betaling een apart onderhoudscontract afsluiten waarbij nieuwe kwetsbaarheden nog wel worden gepatcht. Windows 7 werd op 22 oktober 2009 door Microsoft gelanceerd en bevatte verschillende beveiligingsverbeteringen, zoals een aangepaste User Account Control (UAC), BitLocker To Go, AppLocker en DirectAccess. Volgens marktvorser StatCounter heeft Windows 7 op de desktop nog een marktaandeel van bijna 36 procent. Net Applications houdt het op een kleine 41 procent. In Nederland draait Windows 7 nog op zo'n 19 procent van de desktops. Microsoft heeft de afgelopen jaren veelvuldig gewaarschuwd dat de ondersteuning van Windows 7 op 14 januari 2020 zal eindigen. Dit om een herhaling van de "XPocalypse" te voorkomen. Op 8 april 2014 stopte Microsoft de support van Windows XP, maar twee jaar later had het platform nog altijd een aanzienlijk marktaandeel van zo'n 10 procent. Op dit moment draait zo'n 3 a 4 procent van de desktops op Windows XP, wat nog altijd miljoenen computers zijn die geen beveiligingsupdates ontvangen. "Ik zie een aanzienlijk verschil in het aantal malwarebesmettingen tussen bedrijven die Windows 10 / Office 2016 draaien en bedrijven met Windows 7 en oudere versies van Office. Misschien kun je je upgradeproject starten door machines te updaten als een standaard reactie op een malware-incident? Of de beslissing nemen dat het beter voor de onderneming is om te betalen voor updates dan het betalen van ransomware", zegt Rob VandenBrink van het Internet Storm Center (ISC). bron: security.nl

De Duitse mededingingsautoriteit is van plan om het verzamelen van data door Facebook aan banden te leggen. De toezichthouder wil dat het verzamelen van gebruikersgegevens in Duitsland deels verboden wordt, zo meldt Bild am Sonntag op basis van onderzoek dat de toezichthouder heeft uitgevoerd. Het gaat specifiek om gegevens die Facebook met externe partijen zoals Twitter, websites en apps uitwisselt, alsmede met de eigen dochterbedrijven waaronder WhatsApp en Instagram. Deze partijen maken gebruik van Like-knoppen en Facebook Login, waardoor Facebook gebruikersgegevens ontvangt die het weer aan het Facebookprofiel van de gebruiker kan koppelen. Ook worden op deze manier gegevens verzameld van mensen die geen gebruiker zijn. Facebook maakt op deze manier misbruik van haar positie om gegevens van mensen te verzamelen, zonder dat die hiervoor toestemming hebben gegeven of weten wat er precies met hun gegevens gebeurt, aldus de mededingsautoriteit. Volgens de Duitse krant zal het Bundeskartellamt de komende weken haar plan presenteren waar Facebook allemaal aan moet voldoen. Een woordvoerster van de sociale netwerksite is het niet eens met de mening van de mededingingsautoriteit en zegt het huidige beleid te zullen verdedigen. bron: security.nl

De Ryuk-ransomware die onlangs het productieproces van verschillende Amerikaanse kranten platlegde en een hostingprovider en waterleidingbedrijf trof wordt door andere malware op systemen geïnstalleerd. Deze malware wordt Trickbot genoemd en verspreidt zich via Office-documenten die van malafide macro's zijn voorzien. Dat laat securitybedrijf FireEye in een analyse weten. De Ryuk-ransomware verschilt van veel andere ransomware doordat aanvallers de malware handmatig installeren. De aanvallers proberen ook zoveel mogelijk systemen binnen een getroffen organisatie te infecteren. Vervolgens worden hoge bedragen gevraagd voor het ontsleutelen van getroffen systemen. Vorig jaar augustus meldde securitybedrijf Check Point dat aanvallers via de Ryuk-ransomware al 640.000 dollar van slachtoffers hadden ontvangen. Hoe slachtoffers met de Ryuk-ransomware besmet raakten is niet in alle gevallen duidelijk. Vorig jaar rapporteerde securitybedrijf Barkly dat de Trickbot- en Emotet-malware bij de verspreiding waren betrokken. Deze malware-exemplaren weten systemen via besmette e-mailbijlagen te infecteren. Iets dat nu ook door securitybedrijven Kryptos Logic, FireEye en CrowdStrike wordt gemeld. FireEye stelt dat het een infectie heeft waargenomen waarbij een kwaadaardige Excel-bijlage de Trickbot-malware op systemen installeerde. Deze infecties leidden vervolgens tot de besmetting door de Ryuk-ransomware. De kwaadaardige e-mailbijlage werd op grote schaal onder Amerikaanse organisaties verspreid, waaronder overheidsinstanties, financiële dienstverleners, productiebedrijven en dienstenaanbieders. Zodra gebruikers de Excel-bijlage openden werd gevraagd om macro's in te schakelen. Wanneer dit werd gedaan kon de Trickbot-malware op het systeem worden gedownload en geïnstalleerd. Organisaties en gebruikers worden al lange tijd gewaarschuwd voor het inschakelen van macro's in Office-documenten. Toch blijkt in de praktijk dat aanvallen via dit soort bijlagen succesvol blijven. bron: security.nl

Google heeft op meer dan 170.000 Androidtoestellen root-malware ontdekt die het apparaat probeert te rooten om zo advertenties te laten zien, Google-accounts aan te maken en clickfraude te plegen. Het gaat onder andere om verschillende games en een nieuws-app die met de Zen-malware zijn besmet. De succesvolste van deze apps is op meer dan 170.000 toestellen aangetroffen, voornamelijk in Brazilië en India. De Zen-malware probeert het toestel te rooten om zo root-permissies te verkrijgen. Deze permissies worden gebruikt voor het inschakelen van een serivce die Google-accounts aanmaakt. Daarnaast gebruikt de malware de root-permissies om zichzelf op de systeempartitie te installeren. Dit maakt het lastiger voor gebruikers om de malafide app te verwijderen. Google stelt dat de gebruikte root-aanval alleen werkt tegen ongepatchte toestellen met Android 4.3 of eerder. Toestellen met Android 4.4 of nieuwer zijn via Verified Boot tegen de aanval beschermd. Eenmaal actief voert de malware clickfraude uit. Hierbij worden clicks van de gebruiker op advertenties gesimuleerd, waarvoor de malwaremakers betaald krijgen. Verder laat de malware grote aantallen advertenties zien. De malware is onder andere aangetroffen in apps met de naam "World News", "Zombie City" en "Counter Terrorist Elite Combat". De apps bootsen populaire games na, maar zijn volgens Google van een zeer slechte kwaliteit. Daarnaast gaat het om originele apps die opnieuw verpakt zijn, alleen aangevuld met de malware. Het enige directe verschil voor de gebruiker is dat deze versies meer advertenties laten zien. Google stelt dat alle malafide apps met de Zen-malware op toestellen worden verwijderd waar Google Play Protect actief is. bron: security.nl

Met de lancering van Firefox 69 later dit jaar zal Mozilla de ondersteuning van Adobe flash Player standaard in de browser uitschakelen. Op dit moment heeft iets meer dan de helft van de Firefox-gebruikers Flash Player geïnstalleerd, zo blijkt uit cijfers van Mozilla zelf. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is, heeft Adobe besloten om de ondersteuning van de browserplug-in in 2020 te beëindigen. Mozilla kondigde eerder al aan dat het Flash Player voor de meeste gebruikers in 2019 standaard zal uitschakelen. Bij het bezoeken van websites die van Flash gebruikmaken krijgen gebruikers dan geen melding meer te zien of ze de plug-in willen inschakelen. Het zal echter nog wel mogelijk blijven om Flash Player via instellingen van de browser te activeren. Begin 2020 zal de ondersteuning volledig uit de browser worden verwijderd. Alleen gebruikers van de Firefox Extended Support Release (ESR) zullen Flash tot het einde van 2020 kunnen blijven gebruiken. Zodra Adobe geen beveiligingsupdates meer voor Flash uitbrengt zal geen enkele versie van Firefox de plug-in meer laden. Het was nog onbekend in welke versie Mozilla zou beginnen met het standaard blokkeren van de Flash-ondersteuning. De browserontwikkelaar heeft nu bekendgemaakt dat dit in Firefox 69 zal gebeuren, die voor 3 september van dit jaar gepland staat. Flash Player wordt gebruikt voor het weergeven van video's en andere content, maar inmiddels is de functionaliteit op steeds meer websites door html5 vervangen. De afgelopen jaren zijn met name browserontwikkelaars bezig geweest met het uitfaseren van Flash Player. Zo moeten gebruikers van Google Chrome elke keer dat een website Flash-content wil inschakelen dit apart toestaan. Chrome, dat over een ingebouwde versie van Flash Player beschikt, zal de plug-in eind 2020 helemaal uit de browser verwijderen. bron: security.nl

Daar zitten we allemaal wel eens mee. Dus altijd fijn als andere je kunnen helpen. En domme vragen bestaan niet Succes met de wifi in je tuin.

In principe is AVG genoeg. Dit is een actieve scanner. Dat wil zeggen dat hij op de achtergrond je systeem in de gaten blijft houden. Normaal moet je geen tweede virusscanner op je pc zetten. Dit veroorzaakt problemen. Met uitzondering van Malwarebytes. Dit is meer een on-demand-scanner. Deze kun je wel naast een andere scanner op je op je gebruiken. Alleen zul je zelf Malwarebytes iedere keer voor een scan meten activeren. Ik gebruik Malwarebytes naast mijn standaard virusscanner en een keer in een bepaalde tijd laat ik Malwarebytes de pc grondig scannen. Zo loop je het minste risico op problemen. Met betrekking tot je smart. Ik zou het enkel laten bij één scanner. Al moet ik zeggen dat ik zelf oog AVG heb draaien maar hem soms wel wat opdringerig qua advertenties vind.

De populaire securitytool Metasploit heeft voor het eerst sinds 2011 een grote update ontvangen die allerlei nieuwe features introduceert en het gebruiksgemak vergroot. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Het nu gelanceerde Metasploit 5.0 biedt gebruikers een ingebouwde optie om hun payload, die op een aangevallen systeem wordt uitgevoerd, zo aan te passen dat het bestand niet door anti-virussoftware wordt herkend. Gebruikers hoeven daardoor geen externe tools meer te installeren zoals voorheen het geval was. Verder kunnen Metasploit-gebruikers nu zelfs de benodigde PostgreSQL-database draaien, worden modules in Python en Go ondersteund en zijn de prestaties verbeterd. Zo wordt het programma nu sneller geladen en kan er sneller naar modules worden gezocht. Alle nieuwe features zijn in de release notes te vinden. Metasploit 5.0 is te downloaden via GitHub. Softwareontwikkelaars die binnen hun eigen producten van het framework gebruikmaken zullen op de beschikbaarheid van versie 5 worden gewezen, aldus Rapid7. bron: security.nl

Een beveiligingslek in Internet Explorer waarvoor Microsoft eind december een noodpatch uitbracht wordt inmiddels door meer cybercriminelen aangevallen. Via de kwetsbaarheid in Internet Explorer 9, 10 en 11 kan een aanvaller het systeem volledig overnemen als er een kwaadaardige of gehackte website wordt bezocht, of de gebruiker een besmette advertentie te zien krijgt. De kwetsbaarheid, die wordt aangeduid met de code CVE-2018-8653, was een zogeheten zero-day. Het ging om een beveiligingslek dat actief werd aangevallen voordat Microsoft hiervan wist en met een beveiligingsupdate kwam. Onderzoekers van Google hadden gezien dat aanvallers het lek in Internet Explorer bij aanvallen gebruikten en waarschuwden vervolgens Microsoft, dat op 19 december een noodpatch uitbracht om gebruikers te beschermen. Zoals vaker gebeurt hebben cybercriminelen ook in dit geval aan de hand van de beveiligingsupdate achterhaald waar de kwetsbaarheid zich precies bevindt en een exploit ontwikkeld om hier misbruik van te maken. "Cybercriminelen hadden minder dan een maand nodig om het door Microsoft bekendgemaakte lek als wapen te gebruiken", zo stelt Philippe Laulheret van anti-virusbedrijf McAfee. De exploit voor de kwetsbaarheid kan bijvoorbeeld aan exploitkits worden toegevoegd, die vaak in combinatie met besmette advertenties worden gebruikt. Windows-gebruikers van wie het systeem up-to-date is lopen geen risico. Gezien de noodpatch rond de feestdagen verscheen kan het zijn dat nog niet alle organisaties de update hebben uitgerold. Internet Explorer heeft op de desktop volgens StatCounter nog een wereldwijd marktaandeel van 5,4 procent. Net Applications houdt het echter op een marktaandeel van bijna 11 procent. In Nederland zou nog 8 procent van de internetgebruikers met IE browsen. bron: security.nl

Aanvallers zijn erin geslaagd om de dns-instellingen van domeinen van bedrijven, overheidsinstanties en telecomproviders wereldwijd aan te passen en zo gevoelige gegevens te stelen. Daarvoor waarschuwen securitybedrijf FireEye en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. In de dns-records van een domeinnaam staan bijvoorbeeld het ip-adres van de webserver of mailserver vermeld. Bij de aanvallen waar FireEye en het US-CERT voor waarschuwen weten aanvallers via gestolen inloggegevens op het beheerderspaneel van de dns-aanbieder in te loggen. Vervolgens wijzigen de aanvallers de records van het domein, bijvoorbeeld het ip-adres van de webmailserver. Het verkeer van gebruikers gaat hierdoor eerst naar het ip-adres van de aanvallers, die het vervolgens naar het juiste ip-adres doorsturen. De aanvallers maken hierbij gebruik van een via Let's Encrypt gegenereerd certificaat. "Het Let's Encrypt-certificaat laat de browsers een verbinding zonder certificaatfouten opzetten, aangezien Let's Encrypt Authority X3 wordt vertrouwd. De verbinding wordt doorgestuurd naar een loadbalancer, die een verbinding met het echte domein opzet. De gebruiker heeft de aanpassingen niet door en merkt mogelijk alleen een kleine vertraging", aldus Muks Hirani van FireEye. Door deze opzet weten de aanvallers gebruikersnamen en wachtwoorden te stelen van gebruikers die bijvoorbeeld op de webmail van hun organisatie inloggen. Ook komt het voor dat de aanvallers de nameserver-records van de domeinnaam aanpassen of een "dns redirector" gebruiken. Dit is een machine van de aanvallers die op dns-verzoeken reageert. "Een groot aantal organisaties is door deze dns-manipulaties en frauduleuze ssl-certificaten getroffen. Het gaat om telecom- en internetproviders, internetinfrastructuurproviders, overheden en gevoelige commerciële entiteiten", zo stelt Hirani. Getroffen organisaties bevinden zich in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika. Organisaties krijgen het advies om multifactorauthenticatie voor hun dns-beheerdersportaal te gebruiken en aanpassingen van A- en NS-records te valideren. Verder kunnen organisaties zoeken naar ssl-certificaten die op hun domeinnaam betrekking hebben en die in laten trekken. Tevens wordt het valideren van de source ip-adressen in de logbestanden van Exchange en Outlook Web Acces aangeraden. bron: security.nl

Linux-systemen zijn kwetsbaar door drie kwetsbaarheden in systemd en beveiligingsupdates zijn nog niet beschikbaar. Systemd biedt een verzameling tools waarmee Linux-systemen zijn te beheren, waaronder een systeem- en servicemanager. Een kwetsbaarheid in systemd-journald, een systeemservice die loggegevens verzamelt en opslaat, maakt het mogelijk voor een lokale aanvaller om toegang tot systeemgegevens of een lokale rootshell te krijgen. Wanneer er gebruik wordt gemaakt van systemd-journal-remote is het mogelijk voor een kwaadwillende om op afstand verhoogde rechten te verkrijgen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC stelt verder dat meerdere Linuxdistributies kwetsbaar zijn. "Echter zijn er nog geen updates beschikbaar om de kwetsbaarheden daadwerkelijk te verhelpen. De updates worden in de aankomende dagen verwacht." In afwachting van de updates wordt aangeraden om in ieder geval systemd-journal-remote uit te schakelen, zodat de kwetsbaarheden niet op afstand zijn te misbruiken. De beveiligingslekken werden door securitybedrijf Qualys gevonden. In de advisory over de kwetsbaarheden stelt het bedrijf dat alle systemd-gebaseerde Linuxdistributies kwetsbaar zijn, maar dat de lekken niet in SUSE Linux Enterprise 15, openSUSE Leap 15.0 en Fedora 28 en 29 zijn te misbruiken vanwege de manier waarop de user space van deze distributies is gecompileerd. bron: security.nl

De volgende grote versie van Windows 10 zal gigabytes aan schijfruimte voor beveiligingsupdates, feature-updates, systeemcache en tijdelijke bestanden reserveren. Op deze manier moeten belangrijke functies van het besturingssysteem blijven werken en blijft het systeem beschermd, zo meldt Microsoft. Volgens Microsofts Jesse Rajwan kunnen applicaties en het besturingssysteem onbetrouwbaar worden wanneer er geen ruimte meer is. Ook heeft Windows Update ruimte nodig voor het downloaden en installeren van updates. Met de lancering van Windows 10 versie 1903 zal het besturingssysteem daarom schijfruimte reserveren. Deze nieuwe optie wordt automatisch geïntroduceerd op systemen die standaard met Windows 10 versie 1903 geleverd worden, of op systemen waar er een schone installatie van deze versie plaatsvindt. Microsoft verwacht dat er begonnen zal worden met het reserveren van 7 gigabyte aan schijfruimte. Deze hoeveelheid is dan niet meer beschikbaar voor applicaties of de gebruiker. Dit getal kan echter in de loop van de tijd veranderen, gebaseerd op hoe het systeem wordt gebruikt. Afhankelijk van diagnostische data of feedback van gebruikers zal Microsoft mogelijk ook besluiten om de gereserveerde schijfruimte aan te passen. In de nieuwste testversie van Windows 10, met buildnummer 18312, is het nu mogelijk om deze nieuwe "reserved storage" feature te testen. Windows 10 versie 1903 zal naar verwachting in maart of april van dit jaar verschijnen. bron: security.nl

De publieke dns van Google ondersteunt nu ook versleuteld dns-verkeer, wat de privacy van gebruikers zou moeten beschermen. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken van internetgebruikers en de antwoorden daarop, waarin informatie over het op te vragen domein staat vermeld, zijn standaard onversleuteld. Een aanvaller kan deze verzoeken zo inzien en aanpassen. Ook kan de informatie in de dns-verzoeken privacygevoelig zijn. Dns over tls moet dit voorkomen door een versleutelde verbinding voor dns-verzoeken en -antwoorden op te zetten. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Het is echter ook mogelijk om een andere dns-provider te kiezen. Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Google is naar eigen zeggen de grootste publieke dns-aanbieder ter wereld. Ruim acht jaar geleden begon Google met het aanbieden van een eigen dns-dienst, die het adres 8.8.8.8 heeft. "Toen, net als nu, was een deel van onze missie om de veiligheid en nauwkeurigheid van dns voor alle gebruikers ter wereld te verbeteren. Tegenwoordig is er een toegenomen bewustzijn om de communicatie van gebruikers met hun dns-server te beschermen tegen vervalste antwoorden en hun privacy tegen netwerksurveillance te beschermen", zegt Googles Marshall Vale. Gebruikers van Android 9 (Pie) kunnen dns-over-tls nu al gebruiken. Linux-gebruikers kunnen de stubby resolver van dnsprivacy.org gebruiken om met de dns-over-tls-dienst van Google te communiceren. Voor overige systemen wijst Google naar deze instructies. bron: security.nl

Een beveiligingslek in het populaire gameplatform Steam kon aanvallers de controle over computers geven als gebruikers alleen een link zouden openen. Valve, de ontwikkelaar van Steam, heeft de kwetsbaarheid inmiddels verholpen en de onderzoeker die het probleem meldde met 7500 dollar beloond. De kwetsbaarheid bevond zich in de manier waarop de chatfunctie van Steam met zogeheten "rich chat content" omging. De aanval die onderzoeker Thomas Shadwell ontwikkelde maakte gebruik van kwetsbaarheden in de beveiliging van de Steam-chatclient als het om deze content gaat. Zodoende kon hij toegang tot functies krijgen die normaliter zijn afgeschermd en door Steam worden gebruikt om bestanden op de computer van de gebruiker te openen. Zo was het bijvoorbeeld mogelijk om cmd.exe aan te roepen en vervolgens kwaadaardige commando's uit te voeren, zoals het downloaden en installeren van malware. De enige vereiste was dat een gebruiker een link van de aanvaller opende. De aanvaller zou deze link naar een Steam-gebruiker kunnen sturen of op een gameforum kunnen plaatsen. De kwetsbaarheid werd op 14 september aan Valve gerapporteerd en drie weken later verholpen. Shadwell ontving vervolgens 7500 dollar van Valve. Begin januari vroeg de onderzoeker aan Valve of zijn bugmelding openbaar mocht worden gemaakt, waar hij afgelopen maandag toestemming voor kreeg. Vorig jaar werd er ook een kwetsbaarheid in Steam verholpen waardoor een aanvaller systemen van gebruikers had kunnen overnemen. Steam heeft wereldwijd meer dan 150 miljoen gebruikers. bron: security.nl

Een probleem met de laatste versie van de beveiligingssoftware Malwarebytes zorgt ervoor dat computers met Windows 7 volledig vastlopen en alleen het uitschakelen van de pc de enige oplossing is. De oorzaak van het probleem is echter nog onbekend en Malwarebytes vraagt dan ook de hulp van gebruikers. Malwarebytes behoort tot de populairste beveiligingssoftware onder Windows-gebruikers. Op het forum van Malwarebytes doen dan ook verschillende gebruikers hun beklag. Zo laat één gebruiker weten dat alle kantoorsystemen met de vastlopers te maken hebben. Andere gebruikers uiten hun onvrede omdat het probleem al bijna een maand speelt en er nog geen definitieve oplossing voorhanden is. Het bedrijf wijst getroffen gebruikers naar verschillende workarounds die een hoog succesratio hebben. Zo wordt aangeraden om de Windows Web Protection van Malwarebytes uit te schakelen of een eerdere versie van de software te installeren. "dit> bron: security.nl