Captain Kirk

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere kwetsbaarheden verhelpt en alle door Symantec uitgegeven tls-certificaten blokkeert, wat voor waarschuwingen op sommige websites kan zorgen. Het gaat om de certificaten die websites gebruiken voor het opzetten van een beveiligde verbinding en om zich tegenover gebruikers te identificeren. Symantec maakte bij het uitgeven van tls-certificaten verschillende fouten waarop browserontwikkelaars besloten om het vertrouwen in de certificaten van het bedrijf op te zeggen. Wanneer een browser een niet vertrouwd certificaat tegenkomt krijgen gebruikers een waarschuwing te zien. Om de overlast voor websites en internetgebruikers te beperken werd besloten om de blokkade gefaseerd door te voeren. Eerst werden alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer vertrouwd. Met de lancering van Firefox 64 heeft Mozilla besloten om ook alle resterende certificaten te blokkeren. Eerder besloot Google Chrome deze maatregel door te voeren. Uit onderzoek van begin oktober bleek dat meer dan 3.000 Nederlandse websites nog van Symantec-certificaten gebruikmaakten. Bij een certificaatwaarschuwing van de browser kunnen gebruikers de achterliggende website nog steeds bezoeken, maar dit wordt afgeraden omdat het bijvoorbeeld om een man-in-the-middel-aanval zou kunnen gaan. Verder heeft Mozilla met de nieuwe Firefox-versie 11 beveiligingslekken in de browser gepatcht. Twee van deze kwetsbaarheden zijn als ernstig beoordeeld. Een aanvaller kan bij dergelijke kwetsbaarheden in het ergste geval een systeem volledig overnemen. Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is in dit geval voldoende. Er is geen verdere interactie van de gebruiker vereist. Updaten naar Firefox 64 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Nederland is een belangrijke aanbieder van servers waar het Tor-anonimiteitsnetwerk gebruik van maakt. Dat laat het Tor Project weten, de organisatie die voor het netwerk verantwoordelijk is. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo'n 500 van deze servers staan in Nederland, waarmee we op de vierde plek staan van landen die Tor-servers hosten. Alleen in Duitsland, de Verenigde Staten en Frankrijk staan meer Tor-servers. Als er een overzicht wordt gemaakt op basis van de hoeveelheid verkeer die elke Tor-server in een bepaald land aankan staat Nederland op de derde plek en is Duitsland nog steeds koploper. Volgens Iain Learmonth van het Tor Project is het analyseren en meten van het netwerk van essentieel belang om de gezondheid en diversiteit van het Tor-netwerk in kaart te brengen. Dit helpt bij het reageren op overheidscensuur en het aanpassen van Tor Browser en andere apps op veranderende netwerkomstandigheden. Learmonth merkt daarbij op dat het analyseren van een anonimiteitssysteem met grote voorzichtigheid moet worden gedaan, zodat de privacy van gebruikers geen risico loopt en de cijfers nuttig zijn voor onderzoekers en ontwikkelaars. bron: security.nl

Tijdens de laatste patchdinsdag van 2018 heeft Microsoft een kwetsbaarheid in de Windows-kernel gepatcht die actief werd aangevallen voordat er een beveiligingsupdate beschikbaar was. Via het beveiligingslek kon een aanvaller die al toegang tot een systeem had zijn rechten verhogen. In totaal werden er 39 kwetsbaarheden gedicht, waarvan er 10 als ernstig zijn aangemerkt. Het aangevallen beveiligingslek in de Windows-kernel werd in oktober door anti-virusbedrijf Kaspersky Lab ontdekt en op 29 oktober aan Microsoft gerapporteerd. Volgens de virusbestrijder maken verschillende groepen misbruik van de kwetsbaarheid. Het beveiligingslek geeft een aanvaller de mogelijkheid om zijn rechten op een al gecompromitteerd systeem te verhogen en code in kernelmode uitvoeren. Het lek is echter ook te combineren met andere kwetsbaarheden waardoor het mogelijk zou zijn om een remote aanval tegen internetgebruikers uit te voeren en uit de sandbox van browsers zoals Google Chrome en Microsoft Edge te ontsnappen. Verder is er een kwetsbaarheid in het .NET Framework opgelost waardoor een denial of service mogelijk was. Details over dit beveiligingslek waren al voor het verschijnen van de beveiligingsupdate bekend, maar volgens Microsoft is er geen misbruik van gemaakt. Overige gepatchte beveiligingslekken bevonden zich onder andere in Internet Explorer, Microsoft Edge, Windows, Microsoft Office, ChakraCore, Microsoft Exchange Server en Microsoft Visual Studio. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft beveiligingsupdates voor Adobe Reader en Acrobat uitgebracht die in totaal 87 kwetsbaarheden verhelpen, waarvan er 39 als ernstig zijn aangemerkt. Het is daarmee de op twee na grootste patchronde in de geschiedenis van de pdf-lezers. In juli van dit jaar zette Adobe een nieuw "record" met een update voor 104 beveiligingslekken in Adobe Acrobat en Reader. Twee jaar eerder verscheen er een patch voor 92 kwetsbaarheden. Via de beveiligingslekken kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardige pdf-document is in dit geval voldoende. De resterende kwetsbaarheden zijn door Adobe als "belangrijk" bestempeld en maakten het mogelijk om informatie te achterhalen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20064, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30110, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30461 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

Bij een extern onderzoek naar oudere en nieuwe moederborden van Supermicro zijn geen aangepaste malafide chips aangetroffen, zo heeft de hardwarefabrikant in een brief aan klanten laten weten. Mediabedrijf Bloomberg zorgde in oktober voor grote ophef door te beweren dat het Chinese leger erin was geslaagd om aangepaste chips op moederborden van Supermicro te plaatsen die als backdoor fungeren. De moederborden werden vervolgens gebruikt voor servers die onder andere bij Apple en Amazon zouden zijn aangetroffen. Apple, Amazon en Supermicro ontkenden het verhaal. De hardwarefabrikant voerde meteen een eigen onderzoek uit waarbij geen aangepaste chips werden aangetroffen. Daarnaast liet het bedrijf een onderzoek door een extern onderzoeksbureau uitvoeren. Ook dat onderzoek heeft geen bewijs voor aangepaste hardware opgeleverd. Supermicro heeft klanten nu over de onderzoeksbevindingen ingelicht, zo meldt persbureau Reuters. Bij het onderzoek werden moederborden getest die op dit moment worden verkocht en die in het verleden aan Apple en Amazon zijn geleverd, aldus bronnen. Ook de software en ontwerpbestanden werden gecontroleerd. Supermicro heeft het verhaal van Bloomberg altijd ontkend en stelt dat de uitkomsten van het externe onderzoek geen verrassing zijn. Amazon, Apple en Supermicro riepen Bloomberg in oktober op om het verhaal in te trekken, aangezien er geen bewijs voor de aangepaste chips is getoond. Volgens een bron zou Supermicro ook nog naar juridische opties kijken. bron: security.nl

De privégegevens van 52,5 miljoen gebruikers van het sociale netwerk Google Plus waren door een fout in een programmeerinterface (API) voor apps en ontwikkelaars toegankelijk, zo heeft Google bekendgemaakt. Het probleem werd veroorzaakt door een fout in een software-update die in november werd geïntroduceerd. Een week na de introductie werd het probleem door Google zelf gevonden en verholpen. Via de fout konden apps profielgegevens van gebruikers opvragen die niet openbaar waren. Daarnaast hadden de apps toegang tot profielgegevens die gebruikers met elkaar hadden gedeeld, maar niet openbaar hadden gemaakt. Volgens Google zijn er geen aanwijzingen dat apps of ontwikkelaars misbruik van de fout hebben gemaakt. Google gaat alle getroffen gebruikers informeren. In oktober bleek dat Google een ander datalek in het sociale netwerk had verzwegen dat 500.000 gebruikers raakte. Vanwege dit datalek werd besloten om Google Plus voor eindgebruikers in augustus 2019 te sluiten. Google stelt dat het nieuwe datalek aanleiding is om deze datum naar april 2019 te vervroegen. Tevens zullen in de komende 90 dagen alle programmeerinterfaces uit de lucht worden gehaald. bron: security.nl

Chinese autoriteiten hebben een 22-jarige verdachte gearresteerd die verantwoordelijk zou zijn voor de uitbraak van WeChat ransomware in China. De man is op 5 december In Dongguan in het zuiden van China opgepakt. Hij wordt ervan verdacht ransomware te hebben gemaakt en verspreid. Meer dan 100.000 computers in China zijn besmet geraakt, meldt de Chinese omroep CGTN. De ransomware is onderzocht door het Chinese cybersecuritybedrijf Huorong Security. De malware was aanvankelijk verstopt in een populair Chinees softwarepakket voor programmeurs en zou vervolgens in ongeveer 50 programma's zijn ingebouwd. Als een van die programma's werd geïnstalleerd, werden alle .gif, .temp en .exe-bestanden op de pc van het slachtoffer versleuteld. Ook werden login-gegevens van diverse Chinese internetdiensten gestolen. De ransomware dankt zijn naam aan de manier waarop het losgeld betaald moet worden. Het slachtoffer moet omgerekend 14 euro betalen om de bestanden weer terug te krijgen. Het bedrag kan met behulp van een QR-code via de betaaldienst WeChat van het bedrijf Tencent betaald worden. De man liep tegen de lamp omdat de QR-code is verbonden aan een persoonlijk account. Medewerkers van Tencent hebben de verdachte op die manier kunnen identificeren en de gegevens aan de politie overhandigd. bron: security.nl

De officiële Linux-website linux.org is afgelopen vrijdag enige tijd gecompromiteerd geweest. De beheerder Mike McLagan wijt het incident aan openbare whois-informatie het ontbreken van tweefactor-authenticatie op zijn domein beheerdersaccount. Een cybervandaal wist afgelopen vrijdag in te breken op het registrar-account van McLagan bij Network Solutions. Daar wist de vandaal de DNS-gegevens van linux.org aan te passen en om te leiden naar een eigen website. Bezoekers van de Linux-site kregen vrijdag enige uren de boodschap 'G3T 0WNED L1NUX N3RDZ' te zien, inclusief een onsmakelijke foto en een protest tegen transgenders, waarschijnlijk omdat een van de Linux-ontwikkelaars transgender is. Tegenover The Register verklaart McLagan dat de data op de server onaangetast is. Wel werden naast linux.org ook linux.com, linuxonline.com en linuxhq.com offline gehaald door de hacker. McLagan wijt het incident onder meer aan de openbare whois-gegevens waarin een e-mailadres van de administratief beheerder staat. Hij vermoedt dat de hacker is binnengedrongen in die Yahoo-mailbox die in de whois staat en zo een nieuw wachtwoord bij Network Solutions-accounts heeft aangevraagd. McLagan steekt de hand ook in eigen boezem en zegt dat met het gebruik van multifactor-authenticatie dit nooit zou zijn gebeurd. bron: security.nl

Onderzoekers van het bedrijf Proofpoint waarschuwen voor sextortion-mails waarbij gebruik wordt gemaakt van social engineering. In de e-mails naar potentiële slachtoffers worden de ontvangers geconfronteerd met de mededeling dat de verzender van het bericht toegang heeft tot de pc van het slachtoffer dankzij een keylogger of spyware en dat er op de pc naaktfoto's of ander gevoelig materiaal is gevonden en gedownload. Om de mail geloofwaardiger te maken, wordt er soms een door een eerder datalek verkregen wachtwoord van het slachtoffer getoond. De informatie wordt vaak nog aangevuld met via social media verkregen persoonlijke informatie zoals bijvoorbeeld de naam van een partner, werkgever of het beroep van het slachtoffer. De ontvanger van de mail wordt vervolgens afgeperst. Het slachtoffer kan de zogenaamde publicatie van privégegevens voorkomen als er 500 dollar in bitcoins of DASH wordt betaald. Ransomware In de mail wordt gelinkt naar een video die van de computer van het slachtoffer zou zijn gedownload. De videolink leidt de ontvanger van de mail echter naar een .tk-adres geleid waar AZORult malware wordt gebruikt om GandCrab ransomware bij het slachtoffer te installeren. Proofpoint zegt de mail-campagne al maandenlang te volgen. Afgelopen week steeg het aantal mails in de Verenigde Staten aanzienlijk. "Deze aanval combineert verschillende social engineering methodes waarbij kwetsbare en geschrokken slachtoffers worden verleid om op de link te klikken om te controleren of de aanvaller echt gevoelig materiaal in handen heeft van het slachtoffer", stelt Proofpoint. Niet klikken De onderzoekers stellen dat ontvangers van sextortion mails er vanuit moeten gaan dat de afzender geen gevoelig materiaal in handen heeft. Zij geven het advies nooit op de zogenaamde controle-links in de mail te klikken om besmetting met malware of ransomware te voorkomen. bron: security.nl

Heb je in al die jaren al eens een nieuw modem van Telenet ontvangen? Iets zegt mij dat daar ook nog een hobbel kan zitten. Dit is wat Telenet beloofd: Afhankelijk van je internetabonnement biedt Telenet een maximale internetsnelheid via kabel aan tot 400 Mbps1 gemeten tot aan de modem. (zie hier) Met andere woorden: tot aan je modem kan de snelheid die zij beloven juist zijn en voldoen zij in hun ogen aan de belofte. Toch wanneer je modem verouderd is of een mankement heeft, kan dit de snelheid aardig naar beneden halen. Ik zit zelf ook in Nederland en weet dus niet precies hoe dit bij jullie is geregeld. Ook ik zit al enige jaren bij dezelfde provider maar heb in de loop der jaren geregeld een nieuwe modem ontvangen. de beloofde snelheid van mijn provider is de minimum snelheid die ik mag verwachten. Daar dat kan weer per provider schelen. Ik zou er inderdaad nog maar eens een belletje aan wagen.

China zit mogelijk achter de grootschalige hack van hotelketen Marriott International. Bij de hack die vorige week in de publiciteit kwam, zijn 500 miljoen klantgegevens gelekt. De eerste onderzoeken naar het beveiligingsincident wijzen richting China. De hulpmiddelen, technieken en procedures die bij de aanval zijn gebruikt, werden al eerder gebruikt bij aanvallen die aan Chinese hackers zijn toegeschreven. Ook zijn er aanwijzingen dat het om een spionage-operatie gaat. De aanvallers handelden niet uit financiële motieven, melden twee anonieme bronnen aan Business Insider. Het onderzoek is echter nog niet afgerond en er wordt dan ook nog rekening gehouden met andere scenario's. Een woordvoerster van de hotelketen weigert commentaar te geven op de eerste onderzoeksresultaten. Ook de Chinese ambassade in Washington heeft niet gereageerd. De klantgegevens die bij de hack zijn uitgelekt, bevatten onder meer namen, paspoortnummers, adressen, telefoonnummers, geboortedata en e-mailadressen. Van een aantal klanten zijn ook versleutelde creditcardgegevens gestolen, aldus Marriott International. bron: security.nl

Onderzoekers van drie universiteiten hebben een algoritme ontwikkeld dat op basis van deep learning-technieken in staat is in 0,05 seconde tekstgebaseerde captchas op te lossen. De nieuwe captcha-oplosser met kunstmatige intelligentie is ontwikkeld door mensen van de universiteit van Lancaster, de Northwest University en de universiteit van Peking. Captchas die zijn opgebouwd uit cijfers en letters wist het nieuwe algoritme binnen 0,05 seconde op te lossen met behulp van een desktop pc. Opmerkelijk is dat de gebruikte techniek, Generative Adversarial Network (GAN) geheten, veel sneller leert dan andere captcha generator programma's. Door gebruik te maken van een machine-learning automatische captcha generator konden de onderzoekers de software veel sneller captchas laten leren. Er waren slechts 500 echte captchas nodig in plaats van miljoenen die een dergelijke generator normaal nodig zou hebben. "We tonen voor het eerst aan dat een tegenstander heel snel en zonder veel moeite een aanval op tekstgebaseerde captchas kan uitvoeren", reageert Zheng Wang, hoofddocent aan de School of Computing and Communications van de Lancaster University. "Dit is wel eng omdat het betekent dat de eerste beveiligingslaag van veel websites niet meer voldoende is", zo vertelt hij aan Helpnetsecurity. "Bovendien leveren captchas zo juist een enorme kwetsbaarheid op die op veel manieren uitgebuit kan worden." Kwaadwillenden zouden dit bijvoorbeeld kunnen gebruiken om DoS-aanvallen uit te voeren of voor het versturen van spam of phishing-mails. Website die nog gebruikmaken van tekstgebaseerde captchas zouden daarom alternatieve methoden moeten overwegen waarbij meerdere beveiligingslagen worden ingezet, zoals gebruikspatronen, locatie van de gebruiker of zelfs biometrische gegevens. bron: security.nl

In Duitsland worden steeds meer bedrijven het slachtoffer van Emotet-malware. Onder andere het Federale Bureau voor Informatiebeveiliging in Duitsland (BSI) waarschuwt nu voor de malware. De organisatie ziet de afgelopen dagen een toenemend aantal meldingen van ernstige security-incidenten als gevolg van Emotet-infecties. In een aantal gevallen is er door storingen in de algehele IT-infrastructuur spake van miljoenen euro's schade en zijn kritieke bedrijfsprocessen platgelegd. Emotet begint met een e-mail die afkomstig lijkt van collega's of zakelijke partner, met als bijlage een Office-document met een kwaadaardige macro. Zodra de gebruiker de macro activeert, wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module die de malware in staat stelt andere systemen binnen het netwerk aan te vallen. Emotet verzamelt eerst informatie over zijn slachtoffers, zoals wie met wie binnen een bedrijf communiceert, ook wel Outlook Harvesting genoemd. De nieuwste versies van Emotet gebruiken zelfs de inhoud van bestaande e-mails. De malware verstuurt namelijk een aantal weken e-mailinhoud uit de mailboxen van geïnfecteerde systemen naar de daders. Deze informatie stelt de daders perfect in staat de malware weer verder te verspreiden aangezien de ontvangers phishingmails krijgen die zeer authentiek ogen. Zo zijn de e-mails van afzenders waarmee de ontvanger recent mee in contact is geweest. "Emotet is naar onze mening een voorbeeld van een zeer professionele Advanced Persistent Threat (APT)-aanval", zegt BSI-president Arne Schönbohm op Heise Online. Emotet-malware gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Het maakt hierbij gebruik van de NSA exploit EternalBlue. bron: security.nl

Google heeft deze week Google Chrome 71 voor Windows, Linux en Mac uitgebracht. De nieuwe versie van de browser bevat onder meer oplossingen voor in totaal 43 security issues. Google rapporteert niet heel uitgebreid over de verholpen security issues totdat de meeste gebruikers de update hebben geïnstalleerd, zoals te lezen valt op de releasepagina. Naast het verhelpen van de security issues zijn er in de nieuwe Chrome-versie (71.0.3578.80) ook een aantal andere zaken verbeterd. Een van die vernieuwde aspecten is het mechanisme om advertenties te blokkeren. In Chrome 71 worden voortaan 'te agressieve of misleidende' advertenties en pop-ups geblokkeerd. Volgens ZDNet treedt de browser nu ook op tegen websites die met behulp van valse trucs abonnementen aan gebruikers proberen te verkopen. In zo'n geval krijgt de bezoeker een waarschuwing te zien. bron: security.nl

Adobe Systems heeft woensdag een update uitgebracht voor Flash Player nadat een kritieke kwetsbaarheid in de software actief werd misbruikt. De kwetsbaarheid is aan het licht gebracht door onderzoekers van Gigamon en het Chinese 360 Core Security, zegt SC Magazine. Op 29 november is een gerichte aanval uitgevoerd op 'Polyclinic No.2' in Moskou, een Russische staatsinstelling voor gezondheidszorg. De aanval bestond uit phishing-mails die vergezeld werden van een bestand '22.docx' en '33.docx' waarin Russische taal voorkomt. Het document lijkt een sollicitatiebrief te zijn met een vragenlijst van de Russische kliniek. De bijlage bevat ook een RAR-bestand met daarin verscholen de Flash-exploit. De aanval wordt door ingewijden 'Operation Poison Needles' genoemd. Als het bestand wordt geactiveerd, geeft het de aanvallers toegang tot de geïnfecteerde systemen. Ook krijgen geïnfecteerde systemen een achterdeur waarmee de criminelen andere malware kunnen verspreiden. De update van Adobe verhelpt het lek dat voorkomt in Flash Player 31.0.0.153 en eerdere versies van Flash Player Desktop Runtime. Ook komt het voor in Flash Player voor Google Chrome, Flash Player voor Microsoft Edge, Internet Explorer 11 en het installatiebestand Adobe Flash Player Installer 31.0.0.108 en ouder. bron: security.nl

In Kubernetes, de populairste software voor cloud container orkestratie, is voor het eerst een kritieke kwetsbaarheid ontdekt. Het gaat om een fout die grote gevolgen kan hebben. De kwetsbaarheid CVE-2018-1002105 wordt ook wel Kubernetes 'privilege escalation'-fout genoemd. Met een speciaal vervaardigde opdracht kunnen gebruikers, die rechten hebben om een verbinding tot stand te brengen via de Kubernetes API-server naar een backend-server, willekeurige verzoeken via dezelfde verbinding rechtstreeks naar die backend-server verzenden. Die verzoeken worden geautoriseerd met de TLS-gegevens van de Kubernetes API-server. Als die verbinding eenmaal tot stand is gebracht, kan een aanvaller willekeurige verzoeken via de netwerkverbinding rechtstreeks naar die backend-server sturen. In standaardconfiguraties kunnen alle gebruikers (al dan niet geautoriseerd) die weten hoe ze een Kubernetes cluster moeten bedienen, de controle over de backend-server krijgen. schrijft ZDnet. Volgens Github komt de kwetsbaarheid in een aantal versies van Kubernetes voor. Bovendien is er geen eenvoudige manier om te ontdekken of iemand van de kwetsbaarheid misbruik heeft gemaakt. bron: security.nl

Microsoft heeft een waarschuwing gegeven voor twee rootcertificaten van koptelefoonfabrikant Sennheiser waarvan de privésleutel is te achterhalen, waardoor gebruikers op verschillende manieren kunnen worden aangevallen. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd. Dit is de Trusted Root CA store. Browsers en Windows maken hier gebruik van om te kijken of door websites en software aangeboden certificaten zijn te vertrouwen. Gebruikers met beheerdersrechten kunnen certificaten aan de database toevoegen en verwijderen. Securitybedrijf Secorvo Security ontdekte bij een onderzoek naar de Trusted Root CA store twee onverwachte rootcertificaten, afkomstig van Sennheiser (pdf). De Sennheiser HeadSetup-software bleek de certificaten te installeren. Door een implementatiefout blijkt het mogelijk om de privésleutel van één van de "clandestien geïnstalleerde rootcertificaten" te bemachtigen, aldus de onderzoekers. Een aanvaller kan zo certificaten uitgeven die worden vertrouwd op systemen waar de Sennheiser-rootcertificaten zijn geïnstalleerd. Microsoft laat weten dat de rootcertificaten in kwestie onbeperkt zijn en gebruikt kunnen worden om extra certificaten uit te geven, die voor het signeren van software en serverauthenticatie zijn te gebruiken. Sennheiser werd op 23 juli over het probleem ingelicht en heeft nu een update voor de HeadSetup en HeadSetup Pro software uitgebracht die de certificaten verwijdert. Daarnaast heeft Microsoft de Certificate Trust List bijgewerkt om deze certificaten niet meer te vertrouwen. bron: security.nl

Vraag- en antwoordsite Quora is gecompromitteerd. Mogelijk zijn er gegevens van 100 miljoen Quora-gebruikers uitgelekt. Daarvoor waarschuwt Adam D'Angelo, CEO en mede-oprichter van Quora, op het eigen blog. Afgelopen vrijdag werd ontdekt dat een derde partij ongeautoriseerde toegang tot een van de Quora systemen heeft verkregen. Hoe dit precies is gebeurd, wordt nog onderzocht. Er wordt rekening mee gehouden dat er namen, e-mailadressen, versleutelde wachtwoorden en data van gelinkte netwerken van mogelijk 100 miljoen gebruikers zijn uitgelekt. Ook niet-publieke vragen en directe berichten van en aan gebruikers zijn mogelijk in handen van de kwaadwillenden gekomen. Quora zegt gebruikers van wie de data is uitgelekt, te zullen informeren. Zij zullen een nieuw wachtwoord moeten aanmaken. Ook geeft het platform aan zo transparant mogelijk te willen zijn over gecompromitteerde systemen, over het onderzoek dat is gestart naar de oorzaak van de hack en wat gebruikers zelf kunnen doen. "Het is onze verantwoordelijkheid om ervoor te zorgen dat dergelijke incidenten niet plaatsvinden en daarin hebben we gefaald", schrijft D'Angelo. "Om het vertrouwen van gebruikers te behouden, moeten we heel hard werken om dit in de toekomst te voorkomen." bron: security.nl

Onderzoekers van IT-beveiliger NCC Group, het moederbedrijf van Fox-IT, hebben een relatief eenvoudige manier ontdekt om te voorkomen dat malware zichzelf verspreidt in een Windows Active Directory-netwerk. Op verzoek van een niet nader genoemde klant ontwikkelde het bedrijf een onschuldige versie van de NotPetya ransomware, de Eternalglueworm, en verspreidde die op het netwerk van de klant. De klant wilde op deze manier de niet schadelijke malware observeren en leren hoe ze zich beter tegen gevaarlijke besmettingen kunnen beschermen, aldus The Register. Terwijl de worm zich door het bedrijfsnetwerk verspreidde ontdekte de NCC Group een relatief eenvoudige oplossing die beschermt tegen NotPetya-besmettingen. Bij de klant werd de Active Directory zo ingesteld dat het account ‘gevoelig’ is en dus niet kan worden ‘gedelegeerd’. Volgens een bericht op Microsoft Technet kunnen accountgegevens van een ‘gevoelig account’ niet door een vertrouwde applicatie naar andere computers of diensten op het netwerk worden doorgestuurd. “We ontdekten dat deze configuratie de verspreiding van NotPetya aanzienlijk zou hebben belemmerd”, zegt een woordvoerder van NCC tegen The Register. NotPetya verspreidde zich in 2017 met als meest bekende slachtoffer containerbedrijf Maersk. bron: security.nl

Wifitracking is gebonden aan strenge privacyregels en daarom in zeer weinig gevallen toegestaan. Dat meldt de Autoriteit Persoonsgegevens (AP) naar aanleiding van vragen over dit onderwerp. Wifitracking is het volgen van mensen via hun mobiele apparatuur. Daarbij wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken zoals stations. Volgens de AP gaat het echter bijna altijd om verwerking van persoonsgegevens en is het daarom aan strenge regels gebonden. "Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden", verklaart AP-bestuursvoorzitter Aleid Wolfsen. "Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy." Ook als de gegevens geanonimiseerd worden verwerkt en bewaard, is de Algemene Verordening Gegevensbescherming van toepassing, aldus de AP. De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking. "Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid", stelt de autoriteit. Maar zelfs dan zijn er vaak andere minder ingrijpende alternatieven. bron: security.nl

Een fan van de Zweedse Youtuber PewDiePie heeft ongeveer 50.000 printers gehackt om mensen op te roepen om het videokanaal van de vlogger te gaan volgen. Iemand met de Twitter-alias TheHackerGiraffe beweert honderden duizenden printers wereldwijd te hebben gescand op zoek naar open poort 9100. Hij maakte daarbij gebruik van een bestaande kwetsbaarheid bij zowel wifi- als netwerkprinters. Bij 50.000 printers is het gelukt om daadwerkelijk binnen te komen en een document te printen waarin de lezer wordt gevraagd om het videokanaal van PewDiePie op Youtube te gaan volgen. De Zweedse vlogger beheert al enige tijd het Youtube-kanaal met de meeste volgers (ruim 73 miljoen). Maar het Indiase muzieklabel T-Series zit hem de hielen met 72 miljoen volgers. TheHackerGiraffe is de actie gestart om PewDiePie aan meer volgers te helpen en zo zijn voorsprong te behouden. In een reactie aan The Verge vertelt TheHackerGiraffe dat mensen onderschatten wat voor desastreuze gevolgen zo’n kwetsbaarheid kan hebben. “Hackers hadden dit ook kunnen misbruiken om bestanden te stelen, malware te installeren, fysieke schade aan printers aan te richten, of in complete netwerken binnendringen.” bron: security.nl

Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door SamSam ransomware. En misschien is dat wel het topje van de ijsberg, zegt IT-beveiligingsbedrijf Fox-IT. Dat er geen duidelijk beeld is van het aantal SamSam-slachtoffers komt omdat deze ransomware anders werkt dan voorgaande ransomware-aanvallen. “De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen om zo meer schade aan te richten”, aldus Fox-IT. Volgens de onderzoekers gaan de makers van SamSam heel geraffineerd te werk. “Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups en worden de bestanden vergrendeld.” Ook zijn de bedragen die als losgeld worden gevraagd, veel hoger dan bij voorgaande ransomware-varianten, oplopend tot enkele tonnen. Vorige week werden in de VS nog twee Iraanse verdachten aangeklaagd die mogelijk verantwoordelijk zijn voor het maken en verspreiden van de ransomware. Toen werd geschat dat ongeveer 1 procent van de slachtoffers zich in Nederland zou bevinden. Een woordvoerder van Fox-IT zei maandag op BNR dat er in Nederland waarschijnlijk 41.000 Windows-servers draaien met het Remote Desktopprotocol (RDP) die mogelijk het doelwit van de criminelen kunnen worden. bron: security.nl

Aanvallers gebruiken een UPnP-lek in allerlei populaire thuisrouters om de SMB-poorten voor het internet te openen, zodat de achtergelegen machines in het netwerk kunnen worden aangevallen. Hierdoor zouden naar schatting 1,7 miljoen machines mogelijk risico lopen, zo laat internetgigant Akamai weten. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbaarheid wordt veroorzaakt doordat de routers bepaalde diensten via hun WAN-interface voor het internet beschikbaar stellen, terwijl deze diensten eigenlijk alleen voor de apparaten op het LAN toegankelijk zouden moeten zijn. Via deze blootgestelde diensten kan een aanvaller NAT-vermeldingen aan de router toevoegen en in sommige gevallen machines achter de router benaderen. In andere gevallen kan een aanvaller "Internet-routable hosts" aan de NAT-tabel toevoegen, waardoor de router als een proxy-server fungeert. In april waarschuwde Akamai al voor aanvallen waarbij kwetsbare routers als proxy werden gebruikt. Nu meldt de internetgigant dat aanvallers poort 139 en 445 op de router openzetten. Dit zijn de poorten die door Microsoft SMB worden gebruikt. De WannaCry-ransomware verspreidde zich bijvoorbeeld via een kwetsbaarheid in Microsofts SMB-service. Akamai speculeert dat de aanvallers de SMB-poorten openzetten om machines via hetzelfde beveiligingslek aan te vallen. Volgens Akamai zijn er 277.000 routers met een kwetsbare UPnP-implementatie en zijn bij 45.000 routers daarvan de SMB-poorten opengezet. Op basis van het aantal unieke ip-adressen dat per router werd waargenomen schat Akamai dat 1,7 miljoen achterliggende machines mogelijk risico lopen. Eigenaren van een kwetsbare router krijgen het advies om UPnP uit te schakelen of een nieuwe router te kopen. In deze pdf staat een overzicht van kwetsbare modellen. bron: security.nl

Malware die zich via het populaire tekenprogramma AutoCAD verspreidt om zo allerlei waardevolle documenten te stelen is nog steeds succesvol, zo waarschuwt securitybedrijf Forcepoint in een analyse. Al in 2000 werd de eerste AutoCAD-malware ontdekt. In 2012 bleek dat dergelijke malware ook voor cyberspionage wordt ingezet. De aanvallen zijn mogelijk doordat AutoCAD bij het openen van een tekening ook een aanvullend script kan uitvoeren, vergelijkbaar met macro's in Microsoft Office-documenten. Bij de nu waargenomen aanvallen maken de aanvallers gebruik van AutoCAD-tekeningen die bij andere slachtoffers zijn gestolen, alleen zijn voorzien van een kwaadaardig script. Zodra de malware actief is kan die ook de directories van andere AutoCAD-projecten op de computer infecteren. Op deze manier kan de malware zich verder verspreiden als medewerkers binnen een organisatie of met leveranciers bestanden uitwisselen. Infecties zijn in de Verenigde Staten, China, India, Turkije en verschillende Europese landen waargenomen. Het gaat onder andere om bedrijven in de automobiel- en energiesector. Onderzoekers van Forcepoint stellen dat het automatisch uitvoeren van de kwaadaardige scripts alleen plaatsvindt als de scripts zich op een bepaalde plek bevinden. Daarnaast laat AutoCAD ook een waarschuwing zien. "Enige social engineering is waarschijnlijk dan ook vereist", aldus de onderzoekers. De aanvalscampagne die ze ontdekten zou al sinds 2014 actief zijn. Organisaties die met AutoCAD werken krijgen het advies om het automatisch laden van onbetrouwbare bronnen uit te schakelen, instellen dat er bij het laden van een module altijd een pop-up verschijnt en dat verborgen bestanden zichtbaar worden gemaakt. bron: security.nl

Dell heeft klanten gewaarschuwd dat hun gegevens mogelijk zijn gestolen nadat er "ongeautoriseerde activiteit" op het netwerk is waargenomen. Het zou gaan om namen, e-mailadressen en gehashte wachtwoorden. Dell ontdekte op 9 november een aanval waarbij werd geprobeerd om gegevens te stelen van klanten op Dell.com. "Hoewel het mogelijk is dat een deel van deze informatie van Dells netwerk is weggehaald, heeft ons onderzoek geen definitief bewijs gevonden dat er iets is gestolen", aldus een verklaring van de computergigant. Creditcard- en andere klantgegevens zouden geen doelwit zijn geweest. Na ontdekking van de aanval heeft Dell een forensisch onderzoeksbedrijf ingeschakeld en de autoriteiten ingelicht. Tevens is van alle klanten het wachtwoord gereset en krijgen klanten van Dell het advies om hun wachtwoord, als ze dat ook voor andere websites gebruiken, ook daar te wijzigen. Verdere details over aanval zijn niet door Dell gegeven. bron: security.nl