Captain Kirk

Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine. Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik. Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren. "Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen. Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch. bron: security.nl

Het afgelopen weekend zijn zo'n 700 WordPress-sites gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in. Via het beveiligingslek kunnen aanvallers adminaccounts en backdoors aan websites toevoegen. Nadat aanvallers toegang hadden gekregen wijzigden ze de site url van deze gehackte WordPress-sites naar een ander domein. De site url laat WordPress weten waar de website zich bevindt. Door de aanpassing wordt er kwaadaardige content op de gehackte WordPress-sites geladen. Bij de aanval van dit weekend was het ingestelde domein echter offline, waardoor het lang duurde voordat de gehackte WordPress-sites konden worden geladen en leek de website kapot, aangezien er geen content van het opgegeven domein beschikbaar was. Dat laat securitybedrijf Sucuri weten. De beveiliger ontdekte via de eigen scanner zo'n 700 gehackte websites, maar het werkelijke aantal kan veel hoger liggen. De WordPress GDPR Compliance-plug-in is op meer dan 100.000 websites geïnstalleerd. Bij verschillende van de getroffen websites is de site url inmiddels aangepast. Er wordt een script van PasteBin geladen dat gebruikers doorstuurt naar een zogeheten "tech support scam". De scamsite laat bezoekers weten dat er een probleem met hun computer is en ze het opgegeven telefoonnummer moeten bellen. Het telefoonnummer is van oplichters die toegang tot de computer van het slachtoffer proberen te krijgen en uiteindelijk geld vragen voor het oplossen van het niet bestaande probleem. Het script op Pastebin is inmiddels meer dan 2 miljoen keer geladen. De GDPR Compliance-plug-in wordt via WordPress.org aangeboden. Tal van gebruikers laten in recensies weten dat hun websites via de kwetsbaarheid zijn gehackt. De ontwikkelaars melden op hun eigen website dat alle WordPress-sites die van de plug-in gebruikmaken en niet meteen de beveiligingsupdate hebben geïnstalleerd moeten controleren of ze gehackt zijn. Eventueel onbekende adminaccounts moeten worden verwijderd. Verder wordt geadviseerd om een complete back-up van de website van voor 6 november 2018 terug te zetten en daarna meteen de update te installeren. bron: security.nl

Facebook heeft een beveiligingslek in het platform gepatcht waardoor persoonlijke informatie over gebruikers en hun vrienden konden lekken. Door de kwetsbaarheid was het mogelijk om in naam van gebruikers zoekopdrachten bij Facebook uit te voeren en zo persoonlijke informatie op te vragen. Zo kon bijvoorbeeld worden opgevraagd of de gebruiker vrienden in een bepaald land of met een bepaalde naam had, of de gebruiker berichten met bepaalde woorden erin had geschreven of vrienden had die dit hadden gedaan. Ook was het mogelijk om te kijken of gebruikers vrienden in bepaalde landen hadden die een bepaalde religie aanhingen. Verder kon worden bekeken welke artikelen en berichten gebruikers hadden geliket. Om de aanval uit te voeren moest een Facebookgebruiker wel eerst een website openen waar de aanvaller JavaScript kon uitvoeren. Vervolgens moest er op een willekeurige plek op deze website worden geklikt, waarna de zoekopdracht bij Facebook werd uitgevoerd. De kwetsbaarheid werd ontdekt door onderzoekers van securitybedrijf Imperva die Facebook in mei informeerden, waarna de sociale netwerksite het probleem verhielp. bron: security.nl

Microsoft heeft de uitrol van de Windows 10 October 2018 Update hervat, nadat de eerste versie bij sommige gebruikers voor problemen zorgde. De update introduceert extra privacyinstellingen en beveiligingsverbeteringen. De eerste versie die op 2 oktober verscheen kon er in bepaalde gevallen ervoor zorgen dat bestanden bij gebruikers verdwenen. Daarop werd besloten om de uitrol tijdelijk te staken. In een blogposting laat Microsoft weten dat alle problemen zijn verholpen. Ook is er gekeken naar feedback en diagnostische data van systemen die de October Update hadden geïnstalleerd en zijn er geen verdere gevallen van dataverlies waargenomen. Daarop is besloten om de uitrol te hervatten. Als eerste kunnen "gevorderde" gebruikers de update handmatig downloaden door op beschikbare updates te zoeken. Vervolgens zal de October Update de komende weken en maanden gefaseerd aan andere gebruikers worden aangeboden. Microsoft stelt dat de April Update die eerder dit jaar verscheen de snelst uitgerolde Windows 10-update tot nu toe is. Met de October Update wordt echter een voorzichtigere aanpak gehanteerd. "We zullen de Windows October Update via Windows Update gaan aanbieden als de data laat zien dat je apparaat er klaar voor is en je een goede ervaring zal hebben", aldus Microsofts John Cable. Als blijkt dat een computer een probleem met de October Update heeft, bijvoorbeeld als er nog applicaties incompatibel zijn, wordt de update niet aangeboden totdat het probleem is verholpen. Zelfs wanneer gebruikers zelf op updates controleren zal de October Update niet worden aangeboden. Microsoft zegt dat het van plan is om een "Windows update status dashboard" toe te voegen om meer informatie over problemen te geven die ervoor zorgen dat een update wordt geblokkeerd. Twee keer per jaar brengt de softwaregigant een grote feature-update voor Windows 10 uit. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. bron: security.nl

Tijdens de patchdinsdag van november heeft Microsoft een actief aangevallen kwetsbaarheid in Windows gedicht. Via het beveiligingslek konden aanvallers die al toegang tot een systeem hadden hun rechten verhogen. In totaal verhielp Microsoft 62 kwetsbaarheden in IE, Edge, Windows, Microsoft Office, ChakraCore, .NET Core Skype for Business en verschillende andere pakketten. Het actief aangevallen beveiligingslek werd op 17 oktober door anti-virusbedrijf Kaspersky Lab ontdekt en aan Microsoft gerapporteerd. De kwetsbaarheid werd gebruikt bij de installatie van malware, zodat die lastiger te verwijderen zou zijn. Het beveiligingslek alleen is niet voldoende om een systeem te compromitteren. Een aanvaller moet al in staat zijn om code op het systeem uit te voeren. Een niet nader aantal genoemd gebruikers in het Midden-Oosten was doelwit van de aanval. Verder stelt Microsoft dat er een kwetsbaarheid in de Windows Advanced Local Procedure Call (ALPC) is gepatcht waarvan de details voor het uitkomen van de update al bekend waren. Via het beveiligingslek kan een aanvaller ook zijn rechten op een al gecompromitteerd systeem verhogen. Er zijn echter geen aanvallen waargenomen die misbruik van het lek maken. Tevens zijn er meerdere kwetsbaarheden in Microsoft Outlook gepatcht. Via een speciaal geprepareerd RWZ-bestand had een aanvaller willekeurige code op het systeem kunnen uitvoeren en dit in het ergste geval volledig kunnen overnemen. Voor het uitvoeren van de aanval was het wel vereist dat het RWZ-bestand binnen Outlook werd geopend. Ook een kwetsbaarheid in Windows Search waardoor systemen konden worden overgenomen behoort tot het verleden. Om het lek te misbruiken moest een aanvaller een speciaal gepreprareerd bericht naar de Windows Search-service sturen. Het beveiligingslek kon zowel door een lokale aanvaller als remote aanvaller worden aangevallen. In dit laatste geval moest de aanvaller wel geauthenticeerd zijn. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft beveiligingsupdates voor Acrobat en Reader uitgebracht die een kwetsbaarheid verhelpen waardoor een hash van het NTLM-wachtwoord van de gebruiker kon lekken. Proof-of-conceptcode om het beveiligingslek te demonstreren is openbaar, maar Adobe is niet bekend met daadwerkelijke aanvallen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. Hoewel Adobe de kwetsbaarheid als "belangrijk" heeft bestempeld en niet als "ernstig", krijgen gebruikers toch het advies om snel naar de nieuwste versie te updaten, waarbij als voorbeeld binnen 72 uur wordt gegeven. De nieuwste versies zijn Acrobat DC of Acrobat Reader versie 2019.008.20081, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30106, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30457 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

51 landen waaronder Nederland hebben een verklaring getekend die voor een veiliger internet moet zorgen. De Verenigde Staten, Groot-Brittannië, China, Rusland, Iran en Israël besloten de Paris Call for Trust and Security in Cyberspace niet te ondertekenen. Naast landen hebben ook allerlei bedrijven en organisaties zich achter de verklaring geschaard, waaronder Facebook, Google en Microsoft. Deelnemende partijen zeggen zich in te zullen zetten om kwaadaardige activiteiten op internet tegen te gaan, de integriteit van het internet te beschermen, verstoring van verkiezingsprocessen te voorkomen, schending van intellectueel eigendom te bestrijden, verspreiding van kwaadaardige programma's en technieken te voorkomen, de veiligheid van digitale producten en diensten te versterken, activiteiten van niet-statelijke actoren aan te pakken en internationale standaarden te versterken. Volgens de opstellers van de verklaring kan de groei van cybercrime en kwaadaardige activiteiten zowel de privégegevens van mensen als bepaalde vitale infrastructuren in gevaar brengen. Om de rechten van mensen te respecteren en mensen op dezelfde manier te beschermen zoals in de fysieke wereld het geval is, moeten landen samenwerken, zowel met elkaar als met bedrijven, academici en burgerorganisaties. "De Paris Call is een belangrijke stap richting digitale vrede, het creëren van een sterker fundament voor vooruitgang", zegt Microsofts Brad Smith. Hij merkt op dat de techsector de eerste en voornaamste verantwoordelijke is om de technologie en de mensen die ervan gebruikmaken te beschermen. "Dit is echter een probleem waarbij overheden, bedrijven en de burgermaatschappij moeten samenkomen. Dat is de enige manier om mensen te beschermen tegen cyberdreigingen die soms van militair niveau zijn." bron: security.nl

Microsoft ontvangt dagelijks pentestrapporten van onderzoekers, klanten en industriepartners waarin staat vermeld dat een bepaald product kwetsbaar voor aanvallen is, maar in veel gevallen ontbreken specifieke details waardoor onduidelijk is of het om een nieuw beveiligingslek gaat, zo meldt de softwaregigant. Pentesters controleren op verzoek van organisaties en bedrijven de veiligheid van hun systemen en netwerken. Via de rapporten van pentesters kunnen eventueel gevonden problemen worden verholpen. Het is echter belangrijk om deze pentestrapporten in de context van de klant zijn omgeving te zien, zo stelt Christa Anderson van het Microsoft Security Center. Veel rapporten die Microsoft ontvangt claimen dat een product kwetsbaar voor een aanval is, maar bevatten geen specifieke details over de aanvalsvector of een demonstratie van hoe de kwetsbaarheid kan worden misbruikt. Vaak zijn er daarnaast beschermingsmaatregelen beschikbaar waarmee het gevonden beveiligingsrisico kan worden vermeden, aldus Microsoft. Het gaat dan bijvoorbeeld om maatregelen waarmee bruteforce-aanvallen zijn te voorkomen. Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen is het daarom belangrijk om eerst naar de omgeving, gebruikte configuraties en beschikbare beveiligingsmaatregelen te kijken. Als dan alsnog blijkt dat het om een nieuwe kwetsbaarheid gaat waarvoor geen bescherming is vraagt Microsoft om het rapport en de proof-of-concept exploit op te sturen. bron: security.nl

De nieuwe generatie adblockers die advertenties op slimme wijze zouden moeten blokkeren zijn kwetsbaar voor aanvallen waardoor een aanvaller legitieme content bij andere gebruikers kan laten blokkeren. Ook introduceren deze adblockers allerlei ernstige kwetsbaarheden, zoals clickfraude en cross-site request forgery (CSRF), aldus onderzoekers van Stanford University en het Helmholtz Center for Information Security (pdf). Traditionele adblockers maken gebruik van filterlijsten om advertenties te blokkeren. De nieuwe generatie perceptuele adblockers kijkt naar visuele kenmerken van advertenties of andere aanwijzingen op een website zoals de vermelding van de tekst "sponsored". Volgens de ontwikkelaars van deze adblockers zou dit een einde moeten maken aan de wapenwedloop tussen websites, adverteerders en uitgevers aan de ene kant en adblockers aan de andere kant. Op dit moment reageren uitgevers en advertentiebedrijven op de filterlijsten van adblockers, waarna adblockers weer een update voor de filterlijst uitbrengen. Via slimme adblockers die naar visuele kenmerken op een pagina kijken zou het gebruik van een filterlijst niet meer nodig zijn en worden alle advertenties geblokkeerd. Het onderzoek van de onderzoekers laat echter zien dat ook deze perceptuele adblockers niet waterdicht zijn. Door het AdChoices-logo dat bij veel advertenties wordt getoond iets aan te passen konden de conceptuele adblockers worden omzeild. Een aanval met veel grotere gevolgen noemen de onderzoekers "AdBlocker Privilege Hijacking". Hierbij uploadt een kwaadwillende gebruiker materiaal dat ervoor zorgt dat legitiem materiaal van een andere gebruiker als advertentie wordt gezien. Hierdoor wordt dit legitieme materiaal vervolgens bij alle andere gebruikers van de adblocker geblokkeerd. De onderzoekers waarschuwen ook dat adblockers die naar het gedrag van een pagina kijken ook aanvallen zoals clickfraude, cross-site request forgery en distributed denial of service (ddos) mogelijk kunnen maken. Ontwikkelaars van dergelijke adblockers moeten hier dan ook rekening mee houden. Volgens de onderzoekers is het onderzoek niet bedoeld om de voordelen van adblocking te bagatelliseren of perceptuele adblockers onderuit te halen, maar is het juist bedoeld om de gevonden kwetsbaarheden in de praktijk te voorkomen. bron: security.nl

Het op privacy en security gerichte besturingssysteem Tails is dit jaar zo'n 22.000 keer per dag gebruikt, zo hebben de ontwikkelaars in een terugblik op 2018 laten weten. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat de privacy en anonimiteit van gebruikers wil beschermen. Zo loopt het internetverkeer standaard via het Tor-netwerk en laat het geen sporen na op de computer waarop het wordt gebruikt. Dit jaar lag de focus vooral op het vergroten van het gebruiksgemak voor gebruikers. Zo werd elke nieuwe feature met echte gebruikers getest. Ook werd het mogelijk om automatisch bij het starten van Tails aanvullende software te laten installeren en werd het versleutelingsprogramma VeraCrypt in de desktop geïntegreerd. Verder werd het besturingssysteem van een schermvergrendeling voorzien. Een andere belangrijke ontwikkeling waren de reproduceerbare "builds". Tails is opensourcesoftware, wat inhoudt dat gebruikers inzage in de broncode hebben. Er was voorheen echter geen garantie dat het ISO-bestand van Tails ook daadwerkelijk op deze broncode was gebaseerd. Met zogeheten reproduceerbare "builds" is het mogelijk gemaakt om te verifiëren dat de broncode ook voor het ISO-bestand is gebruikt. Dit jaar slaagde Tails er ook in om de inkomsten te diversificeren. Het aandeel van donaties van personen steeg van 17 procent naar 34 procent. De rest van de inkomsten is afkomstig van stichtingen, de Amerikaanse overheid en bedrijven. De ontwikkelaars merken op dat de grotere inbreng van privépersonen de organisatie robuuster en onafhankelijker maakt. De ontwikkeling van Tails kost jaarlijks 200.000 euro. Vorige maand startte Tails een donatiecampagne om 120.000 euro op te halen. bron: security.nl

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in, zo laat securitybedrijf Wordfence weten. Deze plug-in helpt websites en webwinkels om aan de nieuwe Europese privacywetgeving te voldoen. Meer dan 100.000 WordPress-sites hebben de plug-in geïnstalleerd. Ruim drie weken gingen er berichten rond dat er mogelijk een kwetsbaarheid in de plug-in aanwezig was waardoor websites werden gecompromitteerd. Afgelopen woensdag 7 november werd de plug-in door WordPress wegens een kwetsbaarheid uit de officiële repository voor WordPress-plug-ins verwijderd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller adminaccounts en backdoors toevoegen om WordPress-sites zo verder te compromitteren. Op dezelfde dag dat de plug-in werd verwijderd brachten de ontwikkelaars versie 1.4.3 uit die het probleem verhelpt. Aanvallers maken echter misbruik van de kwetsbaarheid om websites te compromitteren die een kwetsbare versie van de plug-in draaien. Verschillende webmasters melden dat er via het beveiligingslek beheerderaccounts zijn aangemaakt en backdoors zijn geüpload. Eigenaren van een WordPress-site met de GDPR Compliance-plug-in krijgen dan ook het dringende advies om naar versie 1.4.3 te updaten en te controleren of er geen onbekende adminaccounts zijn aangemaakt. Ook moet er worden gekeken of de aanvallers geen gebruik hebben gemaakt van WP-Cron om een backdoor te installeren die zichzelf kan vervangen wanneer verwijderd. bron: security.nl

Een beveiligingslek in het populaire gamingplatform Steam maakte het mogelijk om de cd-keys van elk spel te bemachtigen, zo ontdekte onderzoeker Artem Moskowsky. Steam is een platform voor de pc waarop gebruikers games en software kunnen aanschaffen. Het heeft naar eigen zeggen meer dan 125 miljoen gebruikers. Via cd-keys kunnen gebruikers games op Steam activeren. De kwetsbaarheid bevond zich in SteamWorks, een verzameling gratis tools waarmee ontwikkelaars allerlei functionaliteiten van Steam binnen hun eigen spel of software kunnen implementeren. Steam biedt een programmeerinterface (API) waarmee ontwikkelaars beschikbaar gemaakte cd-keys kunnen ophalen. Op deze manier kunnen gebruikers de games activeren waarvoor ze een cd-key hebben verkregen. Deze interface is ook voor gebruikers toegankelijk. Bij het ophalen van cd-keys voor games die een gebruiker niet bezit geeft de interface een foutmelding. Door het aanpassen van een parameter kon Moskowsy deze beperking omzeilen en cd-keys opvragen voor games die hij niet in zijn bezit had, zo laat de onderzoeker tegenover ZDNet weten. Door het aanpassen van andere parameters zou het uiteindelijk mogelijk zijn geweest om de cd-keys van elk spel op te vragen. Valve, de ontwikkelaar van Steam, organiseert via HackerOne een beloningsprogramma voor onderzoekers die kwetsbaarheden vinden en willen rapporteren. HackerOne is een platform dat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor hackers en onderzoekers laat organiseren en handelt de coördinatie tussen de bugmelder en softwareleverancier af. Moskowsky rapporteerde het probleem bij HackerOne op 7 augustus, waarna het binnen een paar dagen werd verholpen. Voor zijn bugmelding ontving hij een beloning van 15.000 dollar en een bonus van 5.000 dollar. Op 14 augustus vroeg de onderzoeker of de bugmelding openbaar mocht worden gemaakt, waar op 31 oktober toestemming voor werd gegeven. bron: security.nl

Een kwetsbaarheid in Adobe ColdFusion waarvoor in september een beveiligingsupdate verscheen wordt actief aangevallen en kan aanvallers toegang tot kwetsbare servers geven. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Op 11 september publiceerde Adobe een beveiligingsupdate voor het serverplatform die meerdere kwetsbaarheden verhielp waardoor een aanvaller op afstand code had kunnen uitvoeren. Twee weken later meldde Adobe in het beveiligingsbulletin dat bij de update hoort dat één van de verholpen kwetsbaarheden actief werd aangevallen. Securitybedrijf Volexity laat weten dat het omstreeks deze periode een aanval detecteerde waarbij een ColdFusion-server werd gehackt omdat de door Adobe beschikbare update niet was geïnstalleerd. De aanvallers konden via het lek de China Chopper-webshell installeren. Vorige maand publiceerden de Five Eyes-landen nog een rapport over China Chopper. Dit is een webshell die aanvallers op gehackte webservers installeren waarmee ze op het systeem kunnen inloggen. De tool wordt al sinds 2012 bij aanvallen ingezet. Na ontdekking van de aanval onderzocht Volexity meer ColdFusion-webservers, waarvan er meerdere gehackt bleken te zijn. Het is echter niet duidelijk via welk beveiligingslek deze servers werden gecompromitteerd. Het is niet de eerste keer dat ColdFusion-servers worden aangevallen. In het verleden zijn gebruikers van het platform vaker het doelwit van aanvallen geweest. Beheerders van dergelijke servers krijgen dan ook het advies om beschikbare updates meteen te installeren en logbestanden op verdachte activiteiten te monitoren. bron: security.nl

Volgende maand verschijnt er een nieuwe versie van Google Chrome die gebruikers voor onduidelijke abonnementsdiensten gaat waarschuwen. Volgens Google worden elke maand miljoenen Chrome-gebruikers geconfronteerd met pagina's die op onduidelijke wijze een abonnement proberen af te laten sluiten. Gebruikers hoeven in dit geval vaak alleen een mobiel nummer op te geven om zich te abonneren. Voor gebruikers is het vaak niet duidelijk dat het om een abonnement gaat of wat de kosten zijn, totdat men de telefoonrekening ontvangt. Google wil dan ook dat het voor gebruikers duidelijk wordt wanneer er een abonnement wordt aangeboden en hoeveel dit per maand gaat kosten. De internetgigant wil dan ook dat abonnementsdiensten gebruikers beter informeren en duidelijk vermelden wat bijvoorbeeld de kosten zijn. Wanneer Chrome straks pagina's detecteert waarbij deze informatie ontbreekt krijgen gebruikers een waarschuwing te zien dat de pagina in kwestie geld in rekening kan brengen. De maatregel wordt zowel in de mobiele als desktopversie van Chrome 71 doorgevoerd, die voor december gepland staat. Google gaat webmasters via de Search Console waarschuwen als dergelijke onduidelijke abonnementspagina's op hun websites zijn aangetroffen. bron: security.nl

Internetgebruikers in Nederland zijn het doelwit geworden van aanvallen met kwaadaardige InPage-documenten, die vervolgens een verouderde versie van VLC media player gebruikten om het systeem verder te compromitteren. InPage is een tekstverwerker die talen als Arabisch, Farsi en Urdu ondersteunt. Het programma wordt vooral gebruikt om documenten in Urdu op te stellen, de officiële nationale taal van Pakistan. Bij de aanvallen die Microsoft zag werd er een kwaadaardig InPage-document naar doelwitten gemaild. Dit document maakt misbruik van een kwetsbaarheid die minstens al sinds september 2016 wordt aangevallen. Het is onbekend of het beveiligingslek inmiddels al is gedicht. Wanneer gebruikers met een kwetsbare InPage-versie het kwaadaardige document openen wordt er een legitieme, maar verouderde versie van VLC media player op het systeem geplaatst. Deze versie is kwetsbaar voor dll-hijacking, ook wel dll-preloading genoemd. Bij dergelijke aanvallen wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap. Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo via het programma het kwaadaardige dll-bestand laten uitvoeren en de computer infecteren. Het kwaadaardige dll-bestand dat via VLC media player wordt gestart maakt verbinding met een command en control-server die de uiteindelijke malware op het systeem downloadt en installeert. Deze malware geeft de aanvallers volledige controle over het systeem. Microsoft zag de meeste aanvallen in Pakistan, maar ook in Nederland zijn aanvallen waargenomen. Onder andere overheidsinstellingen waren het doelwit van de aanvallers. In welke landen laat Microsoft niet weten. bron: security.nl

Het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven voor aanvallen op JBoss-applicatieservers via de JBoss Verify en EXploitation-tool (JexBoss). JexBoss is een opensourcetool die door penetratietesters en securityprofessionals wordt gebruikt voor het testen van JBoss-applicatieservers op kwetsbaarheden. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Javagebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. Via JexBoss is het mogelijk om naar kwetsbare JBoss/WildFly-servers te zoeken en die vervolgens te compromitteren. Op deze manier kan er worden geprobeerd om andere systemen in het netwerk aan te vallen. In 2016 waarschuwden Cisco en de FBI al dat de aanvallers achter de SamSam-ransomware JexBoss gebruikten om organisaties binnen te dringen en systemen met ransomware te infecteren. De tool wordt zowel voor legitieme als malafide doeleinden gebruikt. In de waarschuwing van het ministerie wordt uitgelegd hoe JexBoss werkt en hoe aanvallers er gebruik van maken om de onderliggende server over te nemen. Afsluitend worden verschillende adviezen gegeven om het risico van JexBoss tegen te gaan, zoals het up-to-date houden van besturingssystemen, webservers en applicaties, het gebruik van accounts met verminderde rechten, het beveiligen van adminconsoles, het bekijken van serverlogs op aanvallen en het testen van systemen en applicaties op kwetsbaarheden. bron: security.nl

Het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro heeft 200.000 dollar uitgeloofd voor kwetsbaarheden in OpenSSH, Windows SMB en ISC Bind waardoor een aanvaller op afstand code kan uitvoeren. Het ZDI beloont onderzoekers voor het melden van kwetsbaarheden in allerlei software. Vervolgens waarschuwt het ZDI de kwetsbare softwareleverancier zodat die een beveiligingsupdate kan ontwikkelen en gebruikt het de informatie over de kwetsbaarheid om eigen klanten te beschermen. In juli werd het Targeted Incentive Programma door het bedrijf aangekondigd. Een speciaal beloningsprogramma voor belangrijke software. In eerste instantie werden er beloningen uitgeloofd voor kwetsbaarheden in Joomla, Drupal, WordPress, NGINX, Apache-webserver en Microsoft IIS. Sinds de lancering van het programma heeft het ZDI geen enkele inzending ontvangen die in aanmerking voor één van de hoofdprijzen kwam. Nu is het programma aangepast en hebben Joomla, Drupal en WordPress plaats gemaakt voor OpenSSH, Windows SMB en ISC Bind. Kwetsbaarheden in deze software waardoor een aanvaller op afstand code kan uitvoeren worden elk met 200.000 dollar beloond. Onderzoekers kunnen beveiligingslekken in de software tot en met de eerste maanden van 2019 inzenden. bron: security.nl

Cisco heeft eigenaren van een Small Business Switch gewaarschuwd voor een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand als beheerder kan inloggen. De kwetsbaarheid ontstaat doordat de software in bepaalde gevallen een gebruikersaccount met verhoogde rechten inschakelt, zonder de beheerders van het systeem hierover te waarschuwen. De Small Business Switches van Cisco beschikken standaard over een gebruiker met verhoogde rechten die voor de initiële login wordt gebruikt en niet van het systeem kan worden verwijderd. Een beheerder kan het account echter uitschakelen door een ander gebruikersaccount van verhoogde rechten te voorzien. Wanneer alle door de gebruiker ingestelde accounts met het rechtenniveau 15 van het systeem zijn verwijderd, wordt het standaardaccount weer ingeschakeld zonder dat de switch hier melding van maakt. In deze gevallen kan een aanvaller op het systeem inloggen en als beheerder opdrachten uitvoeren. Cisco heeft nog geen beveiligingsupdate beschikbaar gesteld, maar er is wel een workaround, namelijk het instellen van tenminste één gebruiker met rechtenniveau 15. Het beveiligingslek is aanwezig in de Cisco Small Business 200, 300 en 500 series switches, de Cisco 250 en 350 series switches en de Cisco 350, 350X en 550X series switches. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. bron: security.nl

De voornaamste functie van anti-virussoftware is het voorkomen van malware, maar een virusscanner moet ook in staat zijn om een eventuele infectie te verwijderen. Het Oostenrijkse testlab AV-Comparatives voert elk jaar een test uit waarbij anti-virusprogramma's alleen op het verwijderen van malware worden getest. Tijdens de normale tests van AV-Comparatives waarbij de detectie van malware wordt getest doen normaal 18 anti-virusbedrijven mee. De test met het verwijderen van malware is echter optioneel en anti-virusbedrijven kunnen aangeven dat ze niet mee willen doen, iets wat acht bedrijven ook deden. Voor de test, die van februari tot oktober plaatsvond, werd er gewerkt met 40 verschillende malware-exemplaren. De test is bedoeld voor eindgebruikers die een infectie oplopen en een pakket zoeken om de malware te verwijderen. De virusscanners werden dan ook pas na de infectie op het systeem geïnstalleerd en geüpdatet. Wanneer dit niet mogelijk bleek werd het systeem in veilige modus herstart. Als ook dit niet werkte werd er uitgeweken naar een 'rescue disk' van de anti-virusleverancier. Na de installatie werd er een volledige scan van het systeem uitgevoerd. AV-Comparatives herstartte hierna het systeem en controleerde handmatig of de malware en alle onderdelen waren verwijderd. Hiervoor konden de virusscanners verschillende punten krijgen. Hoe minder sporen er van de malware achterbleven des te hoger de score. Ook werd er gekeken naar de eenvoud waarmee de malware was te verwijderen. Als het systeem in veilige modus of via een rescue disk moest worden opgeschoond leverde dit een lagere score op. De virusscanners konden maximaal 100 punten voor het verwijderen van de malware scoren. Kaspersky Lab zet met 99 punten de hoogste score neer, gevolgd door Avast, Avira en Bitdefender met elk 94 punten. F-Secure en Vipre eindigen met respectievelijk 75 en 78 punten onderaan. Van de anti-virusbedrijven die aan de test deelnamen bieden Avira, Emsisoft, ESET, Kaspersky Lab en Vipre gratis verwijdertools aan. In het geval van Avast en Tencent zijn de virusscanners zelf al gratis. bron: security.nl

Cryptobeurs Gate.io heeft StatCounter van de website verwijderd nadat bekend werd dat aanvallers de meetdienst hadden gehackt en gebruikt voor het aanvallen van gebruikers van Gate.io. StatCounter is een populaire dienst waarmee websites het aantal bezoekers kunnen meten. Hiervoor moeten websites de JavaScriptcode van StatCounter aan hun eigen website toevoegen. Iets dat door meer dan 688.000 websites is gedaan, zo blijkt uit cijfers van de zoekmachine PublicWWW. Anti-virusbedrijf ESET maakte dinsdag bekend dat aanvallers de JavaScriptcode van StatCounter hadden aangepast. De aangepaste code had het voorzien op Gate.io-gebruikers die bitcoins wilden overmaken. Zodra gebruikers een transactie uitvoerden werd het bitcoin-adres door de JavaScriptcode aangepast, waardoor bitcoins naar een wallet van de aanvallers gingen. Gate.io is een redelijk populaire cryptobeurs, met name in China. StatCounter heeft nog altijd niet op het incident gereageerd. De kwaadaardige code is echter op dinsdag 6 november verwijderd, aldus ESET. Vanwege het beveiligingsincident heeft Gate.io besloten om StatCounter van de website te verwijderen, zo meldt de cryptobeurs op Twitter en de eigen website. StatCounter claimt dat meer dan 2 miljoen websites van de dienst gebruikmaken. bron: security.nl

Het Amerikaanse Cyber Command, een afdeling van het Pentagon die zich met cyberoperaties bezighoudt, heeft voor het eerst malware naar VirusTotal geüpload, de online virusscandienst van Google. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Geüploade bestanden kunnen met anti-virusleveranciers en premium VirusTotal-klanten worden gedeeld. Door het uploaden van niet-geclassificeerde malware wil het Cyber Command samenwerken met de publieke sector. Het gaat specifiek om malware die het Cyber Command zelf heeft ontdekt en waarvan het delen de grootste impact heeft op het "verbeteren van de wereldwijde cybersecurity", zo laat de organisatie op de eigen website weten. De malware die het Cyber Command uploadt is via deze pagina op VirusTotal te vinden. Een aantal jaren geleden lanceerde de FBI nog een portaal voor het uploaden van malware. bron: security.nl

Een nieuwe kwetsbaarheid in Oracles virtualisatiesoftware VirtualBox maakt een guest-to-host escape mogelijk. Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen. In afwachting van een patch kunnen gebruikers zich echter beschermen door een standaardinstelling te wijzigen. VirtualBox biedt gebruikers de mogelijkheid om op hun eigen systeem, de host, een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt. Met behulp van de kwetsbaarheid kan een aanvaller met root- of adminrechten op het guest-systeem code met verminderde rechten op het host-systeem uitvoeren. Dit houdt in dat de aanvaller het guest-systeem al moet hebben gecompromitteerd, bijvoorbeeld via malware. Aanpassen standaardconfiguratie De kwetsbaarheid is aanwezig in de door VirtualBox gesimuleerde Intel PRO/1000 MT Desktop (82540EM) netwerkadapter wanneer die in de Network Address Translation (NAT) mode staat ingesteld. Dit is de standaardconfiguratie van VirtualBox. Door het aanpassen van deze standaardconfiguratie kunnen gebruikers zich tegen aanvallen beschermen. De netwerkadapter moet dan naar "PCNet" of naar "Paravirtualized" worden aangepast. De volgende patchronde van Oracle staat gepland voor 15 januari 2019. Het is onduidelijk of Oracle voor deze kwetsbaarheid van dit schema zal afwijken. bron: security.nl

Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol. Dit is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbare implementatie wordt door verschillende routerfabrikanten gebruikt, waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear. Onderzoekers van securitybedrijf 360 Netlab vonden 116 verschillende routers die onderdeel van het botnet zijn. Zodra de aanvallers toegang tot een router verkrijgen wordt er proxysoftware geïnstalleerd. De proxy ontvangt vervolgens instructies om verkeer naar de mailservers van Outlook, Hotmail en Yahoo! door te sturen. Eerder dit jaar waarschuwde ook internetgigant Akamai dat tienduizenden thuisrouters via een UPnP-lek als proxy werden gebruikt. Gebruikers kunnen zich onder andere beschermen door UPnP uit te schakelen of een firewall in te stellen die al het inkomende verkeer naar UDP-poort 1900 blokkeert. bron: security.nl

Google heeft de afgelopen 2 jaar via een eigen fuzzer meer dan 9.000 bugs in opensourcesoftware gevonden en aan de betreffende ontwikkelaars gerapporteerd. OSS-Fuzz, zoals de fuzzer wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de bugs die Google vond en rapporteerde ging het zowel om beveiligingslekken als stabiliteitsproblemen. Naast OSS-Fuzz gebruikt Google ook verschillende interne tools om bugs in zowel de eigen als opensourcecode te vinden. Voorheen werden gevonden problemen handmatig bij het betreffende opensourceproject gemeld. Dit proces was echter vrij complex, aldus Google. Daarom gaat de internetgigant nu alle fuzzingtools verenigen en automatiseren. Opensourceprojecten die binnen OSS-Fuzz geïntegreerd worden zullen straks zowel door interne als externe fuzzingtools van Google worden bekeken. Dit moet ervoor zorgen dat bugs sneller worden gevonden. De komende weken gaat Google verschillende belangrijke opensourceprojecten benaderen of ze OSS-Fuzz binnen hun project willen integreren. Om opensourceprojecten bij de integratie te helpen biedt Google een bedrag van tussen de 1.000 en 20.000 dollar. bron: security.nl

Microsoft heeft beveiligingsadvies gepubliceerd over het gebruik van softwarematige encryptie door BitLocker, nu onderzoekers kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial hebben ontdekt. De kwetsbaarheden zorgen ervoor dat een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de ssd-schijf kan krijgen. BitLocker is de encryptiesoftware van Microsoft die standaard met Windows 10 Pro, Enterprise en Education wordt geleverd, alsmede bij Windows 8.1 Pro en Enterprise en Windows 7 Enterprise en Ultimate. BitLocker zal standaard de hardwarematige versleuteling van de harde schijf gebruiken als het over deze functionaliteit beschikt. Beheerders die softwarematige encryptie op zelfversleutelende harde schijven willen afdwingen kunnen dit doen middels een Group Policy. Nadat de harde schijf via hardwarematige encryptie is versleuteld moet die eerst worden ontsleuteld voordat de softwarematige encryptie kan worden toegepast. Alleen het instellen van de Group Policy is niet voldoende om bestaande data opnieuw te versleutelen, zo laat Microsoft weten. Het is niet nodig om de harde schijf na het aanpassen van de BitLocker-instellingen te formatteren of applicaties opnieuw te installeren. bron: security.nl