Captain Kirk

Chrome krijgt een optie waarmee gebruikers zelf kunnen aangeven of ze de browser automatisch op hun Google-account willen laten inloggen als ze op een Google-dienst inloggen. Google kreeg felle kritiek te verduren vanwege een aanpassing in Chrome 69 waardoor de browser automatisch op het Google-account wordt ingelogd als gebruikers bijvoorbeeld op Gmail inloggen. Het zou ervoor kunnen zorgen dat gebruikers eenvoudiger hun gegevens synchroniseren, waardoor al hun data naar Google wordt gestuurd. Met de lancering van Chrome 70 volgende maand krijgen gebruikers een optie in de browser waardoor ze kunnen aangeven dat Chrome niet automatisch op het Google-account wordt ingelogd wanneer ze op een Google-dienst inloggen. Na de ophef over het automatisch inloggen bleek dat Chrome ook Google-cookies niet verwijdert als gebruikers alle cookies verwijderen. Gebruikers blijven zo op hun Google-account ingelogd, ook als ze denken alle sessiegegevens te hebben verwijderd. Google stelt dat het ook dit gedrag zal aanpassen, zodat alle cookies daadwerkelijk worden verwijderd en de gebruiker wordt uitgelogd. bron: security.nl

Mozilla heeft vandaag een dienst gelanceerd die internetgebruikers voor datalekken waarschuwt. Firefox Monitor, zoals de dienst heet, is gebaseerd op de bekende zoekmachine Have I Been Pwned. Via deze zoekmachine kunnen gebruikers in meer dan 5 miljard gestolen records zoeken of hun data ooit bij een website is gestolen. Firefox Monitor maakt gebruik van de database van Have I Been Pwned. Zodra een door de gebruiker opgegeven e-mailadres in de database voorkomt verschijnt er een waarschuwing en een advies om het wachtwoord te wijzigen. Ook wordt aangeraden om een wachtwoordmanager zoals 1Password, LastPass of Dashlane te gebruiken. Net als Have I Been Pwned biedt ook Firefox Monitor de mogelijkheid voor gebruikers om hun e-mailadres te registreren, zodat ze waarschuwingen voor nieuwe datalekken kunnen ontvangen. bron: security.nl

Internetgebruikers vergeten uit te loggen bij Facebook en Google, waardoor de techbedrijven gebruikers ook nauwkeurig op andere websites kunnen volgen, zo blijkt uit onderzoek van de Consumentenbond onder 1800 mensen. Deelnemers aan het onderzoek werd gevraagd om hun privacyinstellingen te controleren en welke maatregelen worden genomen om online tracking tegen te gaan. Na genoeg alle deelnemers aan het onderzoek (95 procent) hebben geen adblocker op de smartphone geïnstalleerd en op de pc is dit 81 procent. Verder blijkt dat 87 procent van de Androidtelefoons met een Facebook-app continu de locatie met Facebook deelt, ook als de app niet in gebruik is. Bij iPhone-gebruikers is dit 38 procent. Het delen van de locatiegegevens kan leiden tot locatie-advertenties. Ook loggen gebruikers niet uit bij Facebook (60 procent) en Google (40 procent), zodat ze op andere websites kunnen worden gevolgd. "Die mensen blijven ingelogd bij Google en Facebook, ook als zij ándere websites bezoeken. Die sites hebben vaak de advertentiesystemen van Google en Facebook geïntegreerd. Die kunnen ingelogde personen stilletjes volgen bij het internetten en aan veronderstelde 'interesses' koppelen", aldus de Consumentenbond. Verder laat het onderzoek zien dat gebruikers de privacyinstellingen van hun Google-account niet aanpassen, waardoor Google allerlei data van gebruikers opslaat, zoals locatie, gebruikte zoekopdrachten en gezochte afbeeldingen. bron: security.nl

Cisco heeft een beveiligingsupdate uitgebracht voor een zeer ernstige kwetsbaarheid in de Video Surveillance Manager waardoor een aanvaller op afstand als root had kunnen inloggen. De Video Surveillance Manager is een platform voor het beheren van videosurveillancesystemen. Het gaat dan bijvoorbeeld om het archiveren en taggen van camerabeelden. De software bleek over een ongedocumenteerd, standaard, vast wachtwoord voor het root-account te beschikken. Een aanvaller had zo als root op het systeem kunnen inloggen en willekeurige commando's als root kunnen uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Gebruikers krijgen dan ook het advies om de update zo snel als mogelijk te installeren. bron: security.nl

Opera heeft een desktopbrowser gelanceerd die over een ingebouwde cryptowallet beschikt. Het is daarmee naar eigen zeggen de eerste desktopbrowser met een dergelijke feature. In juli lanceerde Opera ook al een browser voor Android met ingebouwde cryptowallet. Via de cryptowallet is het mogelijk om Web 3.0- en Dapp-transacties op de computer via de Androidtelefoon te signeren. Dapp staat voor "decentralized apps". Volgens Opera zijn steeds meer ontwikkelaars geïnteresseerd in het ontwikkelen van apps die van cryptovaluta gebruikmaken en willen ze gedecentraliseerde netwerken voor een deel van hun apps gebruiken. Gebruikers kunnen de desktopversie van Opera pairen met de cryptowallet van de mobiele versie. Als een Dapp of een website vraagt om een transactie of bericht te signeren, verschijnt er een prompt op de telefoon die via een vingerafdruk moet worden bevestigd. Gebruikers hoeven geen aparte wallet voor de desktop in te stellen. De walletsleutels blijven op de hardware van de telefoon en worden niet verstuurd. De cryptowallet in Opera voor Android is een zogeheten "user-controlled" wallet, wat inhoudt dat de sleutels voor het beheren van het geld op de telefoon zijn opgeslagen en nergens anders. De desktopversie van Opera met ingebouwde cryptowallet is beschikbaar gemaakt voor testers. Wanneer de uiteindelijke versie verschijnt is nog niet bekend. bron: security.nl

Western Digital heeft een beveiligingslek in de My Cloud-dienst dat al meer dan een jaar bekend was eindelijk gedicht. Via My Cloud kunnen gebruikers vanaf het internet bestanden op hun harde schijf thuis benaderen. Een beveiligingslek dat twee onderzoekers los van elkaar hadden ontdekt en aan Western Digital gerapporteerd maakte het mogelijk om de authenticatie te omzeilen en zonder het opgeven van een wachtwoord als beheerder in te loggen. De kwetsbaarheid was al op 10 april 2017 door een onderzoeker van het Nederlandse securitybedrijf Securify aan de harde schijffabrikant gemeld. Aangezien Western Digital niet met een update kwam besloot de onderzoeker de details vorige week openbaar te maken. Ook onderzoekers van Exploitee.rs ontdekten het lek en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas. Western Digital kwam vorige week met een blogpost waarin het op de openbaarmaking reageerde. Volgens het bedrijf moest een aanvaller al toegang tot het lokale netwerk van de gebruiker hebben om de kwetsbaarheid uit te buiten of moest de gebruiker de standaardinstellingen hebben aangepast door remote toegang toe te staan. Afgelopen vrijdag verscheen de firmware-update om het probleem te verhelpen. De update is handmatig te installeren en zal als onderdeel van een over-the-air upgrade worden aangeboden. bron: security.nl

De op privacy en security gerichte laptopfabrikant Purism heeft een eigen usb-beveiligingssleutel gelanceerd, die ook kan worden gebruikt om te controleren of laptops tijdens het verzendproces zijn onderschept en aangepast. De Librem Key fungeert als een tweede factor tijdens het inloggen. Gebruikers moeten naast hun wachtwoord ook de beveiligingssleutel aansluiten om toegang tot een systeem of account te krijgen. Ook is het mogelijk om GPG-sleutels op de sleutel op te slaan, zodat ze beschermd zijn tegen aanvallers die de laptop compromitteren. Wanneer de opgeslagen GPG-sleutels nodig zijn moet de gebruiker de sleutel aansluiten en zijn pincode invoeren, waarna het mogelijk is om te versleutelen, ontsleutelen, signeren of authenticeren. Er zijn verschillende fabrikanten van usb-beveiligingssleutels. Zo kondigde Google onlangs een eigen usb-beveiligingssleutel aan. De Librem Key is op open hardware, vrije firmware en vrije gebruikersapplicaties gebaseerd. Verder is de sleutel zo ontwikkeld dat die met de producten van Purism is te integreren. Zo kan de Librem Key worden aangesloten om automatisch de harde schijf te ontsleutelen, automatisch de laptop te vergrendelen wanneer de sleutel wordt verwijderd en kan er via de sleutel worden ingelogd. Een andere feature die de sleutel biedt is de integratie met het "Heads BIOS" van Purism, die tegen manipulatie bestand zou moeten zijn. Via Heads is het mogelijk om aan te tonen dat het BIOS niet is aangepast. BIOS staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Manipulatie van het BIOS kan grote gevolgen voor de veiligheid van het systeem hebben. De Librem Key beschikt over een feature waarmee het mogelijk is om te controleren of het BIOS is aangepast. De sleutel laat afhankelijk van de uitkomst een groen of rood licht zien. Verder biedt Purism de optie om tijdens de productie van een laptop die met een Librem Key te koppelen. Beide producten worden dan los van elkaar verzonden. Klanten kunnen zo meteen controleren of hun laptop tijdens het verzendproces is onderschept en aangepast. bron: security.nl

Microsoft heeft een verklaring gegeven waarom sommige gebruikers van Windows 7 bij de recente installatie van beveiligingsupdates en de maandelijkse verzamelupdates tegen problemen aanliepen. Gebruikers konden de maandelijkse verzamelupdates van augustus en september niet installeren, alsmede de beveiligingsupdates van september. De foutmelding "error 0x8000FFFF" verscheen dan. Het probleem wordt veroorzaakt doordat deze gebruikers een update missen die Microsoft in oktober 2016 uitbracht. Update KB 3177467 is een zogeheten "servicing stack update" voor Windows 7 Service Pack 1. Het gaat hier om updates die de betrouwbaarheid van het updateproces moeten verbeteren. De update werd dan ook als "critical" aangemerkt. "Omdat het niet als een beveiligingsupdate was gecategoriseerd, hebben veel organisaties de update gemist en besloten alleen de standaard maandelijkse beveiligingsupdates te installeren, in plaats van de volledige service stack-update", zegt Microsofts John Wilcox. Het ontbreken van KB 3177467 zorgde ervoor dat de updates van augustus en september niet konden worden geïnstalleerd. "We testen onze maandelijkse patches op volledig gepatchte, up-to-date systemen. Dat is waarom we dit probleem niet tijdens het testen of bij onze previewpartners hebben gezien", gaat Wilcox verder. Om herhaling te voorkomen heeft het Microsoft Windows Servicing en Delivery team alle release notes aangepast met de vermelding om de laatste servicing stack-update te installeren voordat de andere updates worden geïnstalleerd. Daarnaast gaat Microsoft toekomstige servicing stack-updates als critical beveiligingsupdate aanmerken. Gebruikers die met foutmelding error 0x8000FFFF te maken krijgen wordt aangeraden eerst KB 3177467 te installeren en daarna de updates van augustus en september. bron: security.nl

Google is onder vuur komen te liggen nu bekend is geworden dat wanneer Chrome-gebruikers op een Google-dienst inloggen zoals Gmail, de browser automatisch op het Google-account wordt ingelogd. Dit wordt zonder toestemming en duidelijke kennisgeving aan gebruikers gedaan. De synchronisatiefeature die gebruikersgegevens naar Google stuurt wordt niet automatisch door Chrome ingeschakeld. Dat vereist een aanvullende stap van gebruikers. "Dus in theorie zouden je gegevens lokaal moeten blijven", parafraseert Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, het Chrome-team. Green stelt dat de aanpassing grote gevolgen voor de privacy en het vertrouwen in Chrome en Google heeft. Zo noemt hij de gebruikersinterface van Chrome-sync een "dark pattern" die gebruikers zo ver probeert te krijgen dat ze hun gegevens synchroniseren. Ook heeft de beslissing van Google gevolgen voor de privacy. "De Chrome-ontwikkelaars claimen dat met "sync" uitgeschakeld, er geen privacygevolgen zijn. Dit is misschien waar, maar wanneer er om meer informatie werd gevraagd wist niemand het zeker te weten." Een ander kritiekpunt is dat de nieuwe werking van Chrome niet in het privacybeleid stond vermeld. Google heeft inmiddels aangegeven dat het dit gaat aanpassen. Toch heeft Green het vertrouwen in het bedrijf opgegeven en laat hij in een blogposting weten dat hij stopt met het gebruik van Chrome. De hoogleraar staat niet alleen in zijn kritiek. Ook beveiligingsexpert en voormalig Google-beveiligingstopman Michal Zalewski haalt uit naar de beslissing. bron: security.nl

Een bug in Twitter heeft ervoor gezorgd dat externe ontwikkelaars mogelijk toegang tot de privéberichten van gebruikers hebben gekregen, zo heeft de microbloggingdienst zelf bekendgemaakt. De bug zat in een programmeerinterface (API) die door externe ontwikkelaars wordt gebruikt voor het ontwikkelen van communicatietools voor bedrijven. Bedrijven kunnen via deze tools met hun klanten op Twitter communiceren. De bug zorgde ervoor dat privéberichten van gebruikers onbedoeld naar een andere ontwikkelaar werden gestuurd. Twitter stelt dat de bug zich alleen in bepaalde gevallen voordeed en van mei 2017 tot 10 september 2018 op het platform aanwezig was. De microbloggingdienst heeft 335 miljoen gebruikers. Minder dan 1 procent is door de bug getroffen. Alle gedupeerde gebruikers zullen door Twitter worden gewaarschuwd via een melding in de app en op Twitter.com. Verder zegt Twitter dat het met externe ontwikkelaars samenwerkt om ervoor te zorgen dat ze onterecht verkregen data verwijderen. bron: security.nl

Het Zero Day Initiative (ZDI), onderdeel van anti-virusbedrijf Trend Micro, heeft voor de tweede keer dit jaar een beveiligingslek in Windows onthuld waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller kwaadaardige code op het systeem kan uitvoeren. De kwetsbaarheid bevindt zich in de Microsoft JET Database Engine. Een aanvaller kan het beveiligingslek gebruiken om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren. Hiervoor moet de gebruiker wel eerst een kwaadaardig bestand openen. Het beveiligingslek is bevestigd in Windows 7, maar volgens het ZDI zijn ook andere Windows-versies kwetsbaar. De kwetsbaarheid werd op 8 mei van dit jaar aan Microsoft gerapporteerd. Zes dagen later bevestigde de softwaregigant het probleem. Het ZDI betaalt onderzoekers voor het rapporteren van onbekende kwetsbaarheden. Informatie over deze lekken wordt vervolgens aan de beveiligingsproducten van Trend Micro toegevoegd. Daarnaast wordt de leverancier geïnformeerd, die vervolgens 120 dagen de tijd krijgt om de kwetsbaarheid te verhelpen. Op 11 september liet Microsoft weten dat de update niet op tijd gereed zou zijn. Nu de deadline van 120 dagen is verstreken heeft het ZDI de kwetsbaarheid openbaar gemaakt. Het bedrijf deed dit ook al in juni van dit jaar met een andere kwetsbaarheid in Windows. Google maakte eerder dit jaar een ongepatcht beveiligingslek in Edge openbaar. Het is echter niet alleen Microsoft dat hiermee te maken krijgt. Vorige week overkwam het Apple omdat het niet op tijd met een beveiligingsupdate voor een lek in Safari kwam. bron: security.nl

Adblocker AdGuard heeft van alle gebruikers het wachtwoord gereset nadat het doelwit van een aanval is geworden. De aanvallers probeerden met inloggegevens die bij andere websites zijn gestolen op accounts van AdGuard-gebruikers in te loggen, zo laat het bedrijf op de eigen website weten. Bij "sommige" accounts lukte dit ook omdat deze gebruikers hun wachtwoord hadden hergebruikt. AdGuard zegt dat het niet weet op welke accounts de aanvallers hebben ingelogd, aangezien alle wachtwoorden in de AdGuard-database versleuteld zijn. Daardoor kan het bedrijf naar eigen zeggen niet controleren of wachtwoorden van gebruikers in gelekte databases van andere websites voorkomen. Uit voorzorg is nu besloten om van alle gebruikers het wachtwoord te resetten. Verder is AdGuard van plan om tweefactorauthenticatie te introduceren. De adblocker is op verschillende platformen beschikbaar. De Chrome-versie heeft meer dan 5 miljoen gebruikers en de Android-versie is meer dan 1 miljoen keer geïnstalleerd. bron: security.nl

Aanvallers hebben de afgelopen dagen tal van WordPress-sites gehackt en gebruikt voor het plegen van helpdeskfraude. Daarvoor waarschuwen securitybedrijven Malwarebytes en Sucuri. Volgens Denis Sinegubko van Sucuri is er zelfs sprake van een "massale infectiegolf". Het is echter onduidelijk hoe de aanvallers precies toegang tot de websites weten te krijgen. Jerome Segura van Malwarebytes stelt dat de getroffen WordPress-sites vaak verouderde plug-ins draaien, maar kan geen specifieke kwetsbaarheid noemen waar de aanvallers zich op richten. Securitybedrijf Wordfence meldt echter dat er bij deze aanvallen vaak verouderde versies van de Ultima Member-plug-in worden aangevallen. Zodra de aanvallers toegang tot een WordPress-site krijgen wordt er kwaadaardige code aan de database toegevoegd. Deze code zorgt er onder andere voor dat bezoekers van de websites worden doorgestuurd naar malafide websites. De websites laten weten dat er een probleem met de computer is en het opgegeven telefoonnummer moet worden gebeld. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen. De fraudewebsites maken ook gebruik van een probleem in Google Chrome waardoor het mogelijk is om de muiscursor te kapen. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt. Hierdoor wordt het lastig om de pagina op de normale wijze te sluiten. Volgens de PublicWWW-zoekmachine zijn inmiddels meer dan 1500 WordPress-sites getroffen, waaronder ook verschillende Nederlandse websites. Afsluitend laat Segura weten dat eigenaren van getroffen websites een grote schoonmaak moeten houden door besmette pagina's, databases en backdoors op te schonen. Ook zullen ze moeten achterhalen hoe de aanvallers de site konden hacken, wat vaak via verouderde WordPress-installaties of plug-ins gebeurt. bron: security.nl

Aanvallers die e-mailaccounts van medewerkers van organisaties hacken gebruiken die vooral voor verdere phishingaanvallen. Dat laat onderzoek van securitybedrijf Barracuda zien. Voor het onderzoek werden 50 willekeurige organisaties gedurende een periode van drie maanden gemonitord. Het onderzoek vond plaats van april tot en met juni dit jaar en richtte zich op bedrijven, onderwijsinstellingen en publieke organisaties. Negentien organisaties lieten in deze periode weten dat er e-mailaccounts bij hen waren overgenomen. In totaal ging het om 60 e-mailaccounts van 50 medewerkers. Sommige accounts werden meerdere keren gekaapt. Het gebruik van gehackte accounts heeft als voordeel voor aanvallers dat filters of andere beveiligingsoplossingen verstuurde berichten niet altijd blokkeren. 47 van de gehackte accounts (78 procent) werden voor verdere phishingaanvallen tegen interne en externe e-mailaccounts gebruikt. Aanvallers gebruikten tien gehackte accounts (17 procent) voor het versturen van spam en via de resterende drie gehackte e-mailaccounts verstuurden de aanvallers kwaadaardige bijlagen naar andere medewerkers. Het onderzoek laat verder zien dat 6 procent van de gecompromitteerde accounts van leidinggevenden was. Het grootste gedeelte was van middel- en lagermanagement. bron: security.nl

De Franse overheid heeft een zelf ontwikkeld beveiligd besturingssysteem open source gemaakt. Het op Linux-gebaseerde Clip OS is ontwikkeld door het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) en maakt het mogelijk om publieke en gevoelige gegevens los van elkaar op dezelfde computer te verwerken. Hiervoor creëert het besturingssysteem twee compleet gescheiden omgevingen. Volgens ANSSI beschikt Clip OS over verschillende beveiligingsmaatregelen waardoor het zeer resistent tegen kwaadaardige code is en gevoelige informatie kan beschermen. Tevens biedt het partitioneringsmechanismen zodat publieke en gevoelige informatie gelijktijdig op dezelfde computer in gescheiden omgevingen kan worden verwerkt. Clip OS kan zowel op "security gateways" als werkstations en laptops worden geïnstalleerd. De website van Clip OS laat weten dat het besturingssysteem veel gemeen heeft met Qubes OS. Dit is ook een beveiligd besturingssysteem dat een "security by isolation" aanpak implementeert, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden.De manier waarop Clip OS en Qubes OS omgevingen van elkaar isoleren verschilt echter, aldus ANSSI. Ook hebben beheerders binnen Clip OS een andere rol en mogelijkheden dan bij Qubes OS het geval is. Op dit moment is er nog geen kant-en-klare versie van Clip OS voor eindgebruikers beschikbaar. Om ervoor te zorgen dat het besturingssysteem verder kan worden ontwikkeld en er wordt ingespeeld op behoeften van gebruikers is Clip OS open source gemaakt. ANSSI zal daarbij toezien op de ontwikkeling en het project blijven beheren. Het besturingssysteem bevindt zich nog in alfafase. bron: security.nl

Harde schijffabrikant Western Digital heeft een beveiligingslek in de My Cloud-dienst, waarmee gebruikers vanaf het internet bestanden op hun harde schijf thuis kunnen benaderen, al meer dan een jaar laten zitten. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zonder het opgeven van een wachtwoord als beheerder inloggen. Het beveiligingslek was door twee onderzoekers onafhankelijk van elkaar ontdekt en aan Western Digital gerapporteerd. Onderzoeker Remco Vermeulen van het Nederlandse securitybedrijf Securify waarschuwde de harde schijffabrikant op 10 april 2017. Sindsdien werd er niets meer van Western Digital vernomen. Ook onderzoekers van Exploitee.rs ontdekten de kwetsbaarheid en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas. Begin dit jaar lieten de onderzoekers van Exploitee.rs via Twitter weten dat de kwetsbaarheid nog steeds niet was verholpen. Aangezien er nog altijd geen update beschikbaar is besloot ook Vermeulen de details over het beveiligingslek openbaar te maken. Daarop kwam Western Digital met een verklaring dat het binnen een aantal weken met een beveiligingsupdate zal komen. Verder stelt de fabrikant dat een aanvaller al toegang tot het lokale netwerk van de gebruiker moet hebben om de kwetsbaarheid uit buiten of dat de gebruiker de standaardinstellingen heeft aangepast door remote toegang toe te staan. De volgende modellen zijn kwetsbaar: My Cloud EX2, EX4, EX2100, EX4100 en EX2 Ultra, DL2100 en DL4100, PR2100 en PR4100, de My Cloud Mirror en My Cloud Mirror 2e generatie. Wanneer de beveiligingsupdate precies zal verschijnen is nog niet bekend. bron: security.nl

Buiten de gebruikelijke patchcyclus om heeft Adobe gisteren updates uitgebracht die ernstige kwetsbaarheden in Acrobat en Adobe Reader verhelpen. Via de lekken had een aanvaller in het ergste geval een systeem volledig kunnen overnemen als er een kwaadaardig pdf-document werd geopend. In totaal zijn er zeven beveiligingslekken verholpen waardoor het mogelijk was om willekeurige code uit te voeren of informatie te achterhalen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2018.011.20063, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30102, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30452 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt dat het niet bekend is met exploits die misbruik van de kwetsbaarheden maken. bron: security.nl

Een phishingaanval op een Office 365-account heeft geleid tot ceo-fraude waarbij criminelen probeerden om 3 miljoen euro van een Fins investeringsbedrijf te stelen. Dat laat anti-virusbedrijf F-Secure weten. Een medewerker van het bedrijf ontving een e-mail die van transportbedrijf DHL afkomstig leek. Het ging echter om een phishingmail die naar een phishingsite linkte. Op deze phishingpagina vulde de medewerker de inloggegevens van zijn Office 365-account in. Aangezien er geen tweefactorauthenticatie werd gebruikt konden de criminelen zodoende op het account inloggen. De medewerker in kwestie verstuurde vanuit zijn e-mailaccount e-mails met betaalgegevens voor een transactie. De criminelen monitorden deze berichten en verstuurden twee van deze e-mails opnieuw, alleen dan met een aangepast rekeningnummer. In een meegestuurd Excel-bestand hadden de criminelen het rekeningnummer gewijzigd waar 3 miljoen euro naar toe moest worden overgemaakt, wat ook werd gedaan. Het Fins dat de criminelen in het begeleidende bericht hadden gebruikt was dusdanig slecht dat dit uiteindelijk alarmbellen deed afgegaan. "Het was zeer slecht vertaald", zegt onderzoeker Michael Sandelson. Het investeringsbedrijf wist de transactie op tijd te bevriezen en heeft het bedrag inmiddels terug. Uit een onderzoek dat werd ingesteld bleek dat het account van de medewerker was gehackt. Inmiddels heeft het investeringsbedrijf tweefactorauthenticatie ingeschakeld en wachtwoorden van alle medewerkers gereset. "Het was de cybercriminelen bijna gelukt", voegt Marko Buuri van F-Secure toe. bron: security.nl

Een Windows-bestand op touchscreencomputers kan gevoelige informatie bevatten, zoals de inhoud van e-mails en documenten. Daarvoor waarschuwt forensisch expert Barnaby Skeggs. Het gaat om het bestand WaitList.dat wordt aangemaakt op computers met een touchscreen en waar handschriftherkenning staat ingeschakeld. De feature zorgt ervoor dat tekst op het touchscreen naar tekst wordt omgezet. "Zodra het staat ingeschakeld wordt tekst van elk document en e-mail dat door de Windows Search Indexer service is geïndexeerd in WaitList.dat opgeslagen. Niet alleen de bestanden die via de touchscreen-schrijffeature zijn gebruikt", aldus Skeggs tegenover ZDNet. De expert merkt op dat het niet eens nodig is voor een gebruiker om een ondersteund bestand eerst te openen. Zodra het bestand door de Indexer wordt gevonden en geïndexeerd, verschijnt het in WaitList.dat. In een tweet stelt Skeggs dat penetratietesters hiervan gebruik kunnen maken om in WaitList.dat naar wachtwoorden te zoeken. Ook kan WaitList.dat worden gebruikt om tekst van verwijderde documenten terug te halen. "Naast het bestaan en de inhoud van een document, bewaart WaitList gedurende de tijd ook verschillende indexes van een enkel document. Dit biedt forensisch onderzoekers de mogelijkheid om verschillende versies van een bestand te bekijken, ook als een shadow copy niet staat ingeschakeld of wanneer het bestand van de harde schijf is verwijderd", aldus Skeggs op zijn eigen blog. Om misbruik van het WaitList-bestand te maken moet de gebruiker dit eerst zelf hebben ingeschakeld en moet een aanvaller via malware of op fysieke wijze toegang tot de computer hebben. Microsoft zou de functie vanaf Windows 8 aan het besturingssysteem hebben toegevoegd. In maart van dit jaar gaf Skeggs tijdens een beveiligingsconferentie een prestatie over het Windows-bestand. Eerder publiceerde hij ook twee tools voor het analyseren van WaitList.dat. bron: security.nl

De makers van de populaire software CCleaner hebben automatisch een update onder gebruikers uitgerold die hadden aangegeven geen automatische updates te willen ontvangen. Volgens softwareontwikkelaar Piriform was dit nodig om aan de nieuwe Europese privacywetgeving AVG te voldoen. Door de geforceerde update werden ook de instellingen van gebruikers overschreven en stond het automatisch doorsturen van gebruikersgegevens ingeschakeld. Vanwege de hack van Piriform vorig jaar, waarbij aanvallers toegang tot de ontwikkelomgeving kregen en een backdoor aan het programma toevoegden, werd er door de ontwikkelaars een "emergency updater" aan CCleaner toegevoegd. Deze updater, die het mogelijk maakt om updates te installeren ook al hebben gebruikers ingesteld dat ze dit niet willen, zou alleen in noodgevallen worden gebruikt, zo liet Piriform weten. Nu blijkt dat de functie is ingezet om gebruikers met een verouderde versie naar de nieuwste versie te krijgen. Iets wat werd gedaan om aan de AVG te voldoen, aldus de ontwikkelaar. Dit zorgde voor boze reacties op het forum van Piriform. Niet alleen waren gebruikers niet te spreken over de onaangekondigde update, de nieuwe versie stuurt ook standaard gebruikersgegevens door. Volgens Piriform gaat het om geanonimiseerde, statistische data die voor het verbeteren van de software wordt gebruikt. Gebruikers hebben daarnaast de mogelijkheid om deze optie uit te schakelen. De optie staat echter standaard ingeschakeld, wat volgens sommige gebruikers ook in strijd met de AVG is. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen en heeft miljoenen gebruikers. bron: security.nl

Microsoft heeft het eenvoudiger gemaakt voor eigenaren van Windows 10 om een virtual machine met Ubuntu te draaien, zo laat de softwaregigant vandaag weten. De Windows 10 Fall Creators Update die eerder dit jaar verscheen voegde een nieuwe feature toe om snel Virtual machines aan te maken. Nu heeft Microsoft besloten om een vm-image van Ubuntu aan de feature toe te voegen. Hiervoor heeft Microsoft met Ubuntu samengewerkt. Via Hyper-V Quick Create zou het aanmaken van een virtual machine en het installeren van het besturingssysteem in enkele minuten gereed moeten zijn. Om van de feature gebruik te kunnen maken moet wel eerst Hyper-V worden ingeschakeld. Hyper-V is de virtualisatiesoftware van Microsoft voor het aanmaken van virtual machines. Volgens Ubuntu blijkt uit onderzoek dat veel mensen het besturingssysteem als virtual machine gebruiken en door het standaard aanbieden van een Ubuntu-image wordt dit eenvoudiger gemaakt. Naast het draaien van Ubuntu in een virtual machine kan ook het Windows Subsystem for Linux (WSL) worden gebruikt. WSL is een Windows 10-feature waarmee het mogelijk is om Linux-commandlinetools direct binnen Windows 10 uit te voeren. Hierdoor is het ook mogelijk om Linux-distributies zoals Kali Linux te draaien, een Linux-distributie die zeer populair onder security professionals is en eerder dit jaar in de Microsoft Store verscheen. bron: security.nl

Adobe komt aanstaande woensdag 19 september met beveiligingsupdates voor ernstige kwetsbaarheden in Adobe Acrobat en Reader, zo heeft het softwarebedrijf aangekondigd. Normaliter waarschuwt Adobe langer van tevoren dat er updates aankomen en verschijnen de beveiligingsupdates meestal op patchdinsdag, gelijktijdig met die van Microsoft. De updates van aanstaande woensdag verhelpen ernstige kwetsbaarheden in Acrobat DC en Acrobat Reader DC, Acrobat 2017 en Acrobat Reader 2017 en Acrobat DC Classic en Acrobat Reader DC Classic voor Mac en Windows. Adobe heeft de kwetsbaarheden een "prioriteit 2" gegeven, wat inhoudt dat er geen exploits bekend zijn en er niet op korte termijn aanvallen worden verdacht die van de kwetsbaarheden misbruik maken. Gebruikers krijgen in dit geval het advies om de updates "snel" te installeren, waarbij als voorbeeld binnen 30 dagen wordt geadviseerd. bron: security.nl

Het beveiligingslek dat de WannaCry-ransomware gebruikte om zich te verspreiden is anderhalf jaar later nog steeds niet overal gepatcht. Dat laat securitybedrijf Cybereason weten aan de hand van een nieuwe uitbraak van de WannaMine-cryptominer die zich op dezelfde manier verspreidt. Deze cryptominer maakt gebruik van de EternalBlue-exploit die de Amerikaanse geheime dienst NSA ontwikkelde. De exploit maakt weer gebruik van een kwetsbaarheid in Windows SMB Server die Microsoft vorig jaar maart patchte. Zodra WannaMine een kwetsbare machine vindt wordt die geïnfecteerd en zal de cryptominer naar andere kwetsbare machines zoeken. Besmette systemen worden vervolgens ingezet voor het delven van de cryptovaluta Monero. Hoewel organisaties zich kunnen beschermen door de beschikbare update te installeren, blijkt dat niet overal te gebeuren. "We blijven organisaties zien die zwaar getroffen worden door aanvallen die op de EternalBlue-exploit zijn gebaseerd", zegt onderzoeker Amit Serper. Hij merkt op dat er geen reden is om de update niet te installeren. "Organisaties moeten patches installeren en hun machines updaten." De WannaMine-cryptominer is al meer dan een jaar actief. Sommige van de ip-adressen die de malware gebruikt werden al meer dan een jaar geleden in beveiligingsrapporten genoemd, maar zijn nog steeds in gebruik. Serper adviseert organisaties dan ook om de ip-adressen in deze analyse te blokkeren. bron: security.nl

Onderzoekers van Google hebben een beveiligingslek in de zakelijke mobiele computers, tablets en pda's van fabrikant Honeywell ontdekt. Het gaat om apparaten die het Android-besturingssysteem draaien. Via de kwetsbaarheid kan een kwaadaardige applicatie zijn rechten verhogen en systeemrechten krijgen. Een aanvaller kan op deze manier toegang tot toetsaanslagen, wachtwoorden, persoonlijke identificeerbare informatie, foto's, e-mails of bedrijfsgevoelige gegevens krijgen, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team van de Amerikaanse overheid (ICS-CERT). Honeywell heeft inmiddels voor de 17 kwetsbare modellen beveiligingsupdates uitgebracht. Het gaat om de CT60, CN80, CT40, CK75, CN75, CT50, D75e, CN51 en verschillende modellen in de EDA-serie. Gebruikers worden opgeroepen om de update te installeren. bron: security.nl

WordPress-sites met een verouderde versie van de Snap Creek Duplicator-plug-in zijn het doelwit van aanvallen, zo waarschuwt securitybedrijf Sucuri. De verouderde versies laten een aanvaller op afstand willekeurige code uitvoeren. Via de plug-in is het mogelijk om een website van de ene naar de andere locatie te kopiëren of te verplaatsen. Ook fungeert het als een eenvoudige back-uptool. De plug-in is op meer dan 1 miljoen websites actief en is volgens de ontwikkelaars meer dan 10 miljoen keer gedownload. Om de aanval mogelijk te maken zijn er echter wel verschillende vereisten. Zo moet het bestand installer.php door de plug-in zijn gecreëerd en moet dit bestand in de root-map van de website zijn achtergebleven. Tevens moet de gebruikte Duplicator-plug-in ouder zijn dan versie 1.2.42. Deze versie verscheen op 24 augustus en verhelpt het beveiligingslek. Een soortgelijke kwetsbaarheid werd vorig jaar ook al in de plug-in ontdekt. In beide gevallen zorgen de kwetsbaarheden ervoor dat bij het gebruik van de plug-in het kwetsbare bestand installer.php achterblijft op de server. Ook al hebben eigenaren de meest recente versie van de plug-in geïnstalleerd, dan kan het kwetsbare bestand installer.php nog steeds in de root-map van de WordPress-sites aanwezig zijn. Beheerders krijgen dan ook het advies om dit bestand direct te verwijderen. Sucuri ziet naar eigen zeggen een toenemend aantal gevallen waarbij de aanvallers WordPress-sites uitschakelen door het wp-config.php-bestand te verwijderen of te overschrijven. Al deze gevallen hangen samen met de kwetsbare Duplicator-plug-in. Waarom de aanvallers dit doen is onduidelijk, aldus het securitybedrijf. Mogelijk gaat het om een mislukte manier om de website over te nemen. Bij verschillende van de websites werden ook backdoors aangetroffen, maar het is nog onduidelijk of die via de kwetsbaarheid of op een andere manier zijn geïnstalleerd. Voor het herstellen van getroffen WordPress-sites moet er een nieuw wp-config.php-bestand met de juiste database-inloggegevens worden aangemaakt. bron: security.nl