Captain Kirk

Microsoft en antivirusbedrijven hebben deze week de weerbaarheid van Windows besproken. Aanleiding was de wereldwijde storing veroorzaakt door de beveiligingssoftware van CrowdStrike. "Zowel onze klanten en ecosysteempartners hebben Microsoft opgeroepen om aanvullende beveiligingsmogelijkheden buiten de kernelmode te bieden", zegt Microsofts David Weston. Beveiligingssoftware en virusscanners draaien met kernelrechten, om zo te voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties mogelijk is. Tijdens het overleg dat deze week plaatsvond werden de vereisten besproken voor het ontwikkelen van een 'nieuw platform' dat tegemoet komt aan de eisen van antivirusbedrijven. Microsoft zegt dat het deze nieuwe platformmogelijkheden zal ontwerpen en ontwikkelen, waarbij de betrouwbaarheid moet worden vergroot, zonder dat dit ten koste van de veiligheid gaat. Exacte details zijn niet gegeven. In een reactie stelt antivirusbedrijf ESET dat het aanpassingen aan het Windows-ecosysteem steunt, als dit voor een meetbaar betere stabiliteit zorgt, zonder dat dit ten koste gaat van veiligheid, prestaties en de mogelijkheid voor klanten om beveiligingssoftware te kiezen. "Het blijft belangrijk dat kerneltoegang mogelijk blijft voor beveiligingsproducten om toekomstige cyberdreigingen te detecteren en blokkeren", aldus de virusbestrijder. bron: https://www.security.nl

Securitybedrijf Fortinet waarschuwt klanten voor een datalek, nadat een aanvaller toegang tot een third-party cloudomgeving wist te krijgen. In deze 'cloud-based shared file drive' stonden gegevens van een 'klein aantal' klanten die door de aanvaller zijn gestolen. Hoe de aanvaller toegang tot de cloudomgeving kon krijgen laat het securitybedrijf niet weten. De aankondiging bevat nauwelijks informatie. Fortinet zegt dat het politie en cyberagentschappen over het datalek heeft ingelicht. De melding van Fortinet volgt op een bericht dat iemand gisteren op een forum plaatste. In het bericht claimt deze persoon dat hij 440 gigabyte aan bestanden uit de Azure SharePoint-omgeving van Fortinet heeft gestolen. Vervolgens zou Fortinet zijn benaderd om in ruil voor de gestolen data losgeld te betalen, wat het bedrijf weigerde. bron: https://www.security.nl

Een kwetsbaarheid in de Windows Installer waar aanvallers actief misbruik van maken bij aanvallen was al sinds januari bij Microsoft bekend. Dat meldt securitybedrijf SEC Consult dat het probleem bij Microsoft op 24 januari meldde. Het techbedrijf kwam afgelopen dinsdag met beveiligingsupdates voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en SYSTEM-rechten krijgen. Microsoft meldt in het beveiligingsbulletin dat het bekend is met misbruik van de kwetsbaarheid (CVE-2024-38014), maar geeft geen verdere details over het waargenomen misbruik. Het probleem doet zich voor bij de verwerking van MSI-installers. Het MSI-bestandsformaat maakt het mogelijk om gestandaardiseerde installers te maken waarmee het mogelijk is om software te installeren, verwijderen en repareren. Het installeren en verwijderen van software vereist vaak verhoogde rechten, maar de repareerfunctie voor al geïnstalleerde software kan ook door een gebruiker met lage rechten worden uitgevoerd. De repareerfunctie kan echter met SYSTEM-rechten worden uitgevoerd. Iets waar een aanvaller misbruik van kan maken om zelf SYSTEM-rechten te krijgen, waarmee het systeem volledig kan worden overgenomen. SEC Consult waarschuwde Microsoft zoals gezegd op 24 januari. Op 8 februari bevestigde Microsoft het probleem en liet weten dat het in mei met een beveiligingsupdate zou komen. Deze datum werd vanwege de complexiteit en mogelijk impact van regressies vervolgens verzet naar juli, aldus het securitybedrijf. De beveiligingsupdate werd echter opnieuw uitgesteld, omdat Microsoft meer tijd voor de oplossing nodig had. Afgelopen dinsdag verscheen de patch voor alle ondersteunde Windowsversies. Daarop heeft SEC Consult nu de details openbaar gemaakt. bron: https://www.security.nl

De populaire online DevOps-tool GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller in bepaalde gevallen als willekeurige gebruiker een pipeline kan uitvoeren. De impact van het beveiligingslek (CVE-2024-6678) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren. Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Via een GitLab pipeline worden verschillende jobs binnen het ontwikkelproces stap voor stap met behulp van geautomatiseerde code uitgevoerd. Wanneer een softwareontwikkelaar nieuwe code aan zijn project op GitLab toevoegt wordt die door de pipeline uitgevoerd, getest en uitgerold. GitLab geeft op dit moment niet veel details over de kwetsbaarheid prijs, behalve dat een aanvaller hierdoor in bepaalde gevallen als een willekeurige gebruiker een pipeline kan uitvoeren. Meer informatie zal het platform over dertig dagen bekendmaken, zoals het met alle kwetsbaarheden doet. Gebruikers van GitLab Community Edition en Enterprise Edition wordt aangeraden te updaten naar versies 17.3.2, 17.2.5 of 17.1.7. bron: https://www.security.nl

Ontwikkelaars van plug-ins en themes voor WordPress die hun creaties via WordPress.org aanbieden worden vanaf volgende maand verplicht om tweefactorauthenticatie (2FA) tijdens het inloggen te gebruiken. Met de maatregel wil WordPress.org naar eigen zeggen het 'WordPress-ecosysteem' beschermen. Aanvallers die toegang tot het account van een ontwikkelaar weten te krijgen kunnen zo malafide code onder miljoenen WordPress-gebruikers verspreiden. Naast de 2FA-verplichting komt WordPress.org ook met SVN-wachtwoorden voor het doorvoeren van aanpassingen aan de code van plug-ins en themes. Ontwikkelaars gebruiken daar nu nog het WordPress.org gebruikersaccount voor. Ook deze maatregel moet als extra bescherming bieden. Het moet het primaire wachtwoord beschermen. Mocht het SVN-wachtwoord worden gecompromitteerd, kan die worden gereset zonder dat het nodig is de inloggegevens voor WordPress.org te wijzigen. bron: https://www.security.nl

Adobe heeft een kritieke kwetsbaarheid Acrobat en Acrobat Reader verholpen waarvoor al maandenlang proof-of-concept (poc) exploitcode beschikbaar is. Het softwarebedrijf is echter niet bekend met misbruik van het beveiligingslek, aangeduid als CVE-2024-41869. Op 23 juni waarschuwde beveiligingsonderzoeker Haifei Li dat zijn sandbox-gebaseerd systeem EXPMON, bij het analyseren van een grote hoeveelheid publieke pdf-bestanden, proof-of-concept exploit voor een kwetsbaarheid in de pdf-lezers van Adobe had gevonden. Via het beveiligingslek zou een aanvaller willekeurige code kunnen uitvoeren. De onderzoeker waarschuwde Adobe, dat op 13 augustus met beveiligingsupdates voor de kwetsbaarheid kwam, toen nog aangeduid als CVE-2024-39383. Een dag later meldde Li dat de kwetsbaarheid nog steeds aanwezig was. Adobe kende het beveiligingslek een nieuw CVE-nummer toe (CVE-2024-41869) en kwam afgelopen dinsdag opnieuw met updates. Li zal binnenkort meer details over de kwetsbaarheid delen en roept gebruikers en organisaties op om de updates te installeren. Het gaat om Acrobat DC en Acrobat Reader DC versie 24.003.20112, Acrobat Classic 2024 versie 24.001.30187, en Acrobat 2020 en Acrobat Reader 2020 versie 20.005.30680. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Endpoint Manager maakt het mogelijk voor ongeauthenticeerde aanvallers om servers op afstand over te nemen, wat grote gevolgen voor organisaties kan hebben. Ivanti heeft updates uitgebracht om het probleem te verhelpen. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. De oplossing bevat in totaal zestien kwetsbaarheden, waarvan er tien als kritiek zijn aangemerkt. Negen keer gaat het om een 'ongespecificeerde SQL-Injection', waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. De meest in het oog springende kwetsbaarheid is CVE-2024-29847, omschreven als 'Deserialization of untrusted data in the agent portal'. De impactscore van dit beveiligingslek is beoordeeld met een 10.0 en maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code op de EPM-server uit te voeren. Ivanti meldt dat het niet bekend is met misbruik van de kwetsbaarheden. In het verleden zijn beveiligingslekken in Ivanti-producten geregeld gebruikt bij aanvallen. Organisaties worden onder andere door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgeroepen de updates te installeren. bron: https://www.security.nl

Tijdens de patchdinsdag van september heeft Microsoft vier actief aangevallen kwetsbaarheden verholpen. De beveiligingslekken werden al misbruikt voordat de patches beschikbaar waren. Het gaat om drie kwetsbaarheden in Windows en één in Publisher. De gevaarlijkste kwetsbaarheid betreft remote code execution in Windows Update (CVE-2024-43491). Via dit beveiligingslek is een downgrade-aanval mogelijk waardoor eerder gepatchte kwetsbaarheden weer in het systeem aanwezig komen en te misbruiken zijn. Microsoft benadrukt dat er geen misbruik van CVE-2024-43491 is gemaakt, maar wel van de kwetsbaarheden die via de downgrade-aanval opnieuw geïntroduceerd worden. Verder is opnieuw een Windows Mark-of-the-Web security feature bypass verholpen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38217) zorgt ervoor dat de waarschuwing niet verschijnt. De tweede actief aangevallen security feature bypass van deze maand bevindt zich in Microsoft Publisher (CVE-2024-38226). Via het beveiligingslek kan een aanvaller ingesteld Office-macrobeleid omzeilen dat wordt gebruikt voor het blokkeren van niet-vertrouwde of malafide bestanden. Een aanvaller moet het doelwit wel een malafide Publisher-bestand laten openen om het lek te misbruiken. Vervolgens worden aanwezige malafide macro's automatisch uitgevoerd, ook al staat ingesteld dat die moeten worden geblokkeerd. In het geval van de actief aangevallen kwetsbaarheid in Windows Installer kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen (CVE-2024-38014). Een aanvaller kan op deze manier SYSTEM-rechten krijgen. De door Microsoft beschikbaar gestelde beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Mozilla heeft besloten om Firefox voor Windows 7 tot maart 2025 van beveiligingsupdates te voorzien en een verdere verlenging wordt niet uitgesloten. Ook Firefox voor Windows 8 en oudere macOS-versies zullen tot die datum op support kun rekenen. Begin juli had Mozilla laten weten dat Firefox 115 ESR, waarvan de laatste versie vorige week verscheen, ook de laatste ondersteunde versie zou zijn. Firefox ESR 115-gebruikers op moderne Windows- en macOS-versies zullen volgende maand automatisch naar Firefox ESR 128.3 gaan. Voor gebruikers van de oudere Windows- en macOS-versies is nu besloten om Firefox ESR 115 langer te blijven ondersteunen. De laatste versie, Firefox 115.21, zal op 4 maart 2025 verschijnen. Mozilla sluit een langere ondersteuningsperiode echter niet uit. Volgens cijfers van Mozilla draait negen procent van alle Firefox-gebruikers nog op Windows 7. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de firewalls van SonicWall wordt gebruikt bij ransomware-aanvallen, zo stellen verschillende securitybedrijven. De kwetsbaarheid (CVE-2024-40766) is aanwezig in de management acces- en SSLVPN-feature van SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Onlangs liet SonicWall weten dat aanvallers actief misbruik van het beveiligingslek maken. Zowel securitybedrijf Rapid7 als Arctic Wolf melden dat het hierbij ook om ransomware-aanvallen gaat. Bij de aanvallen weten de aanvallers SSLVPN-accounts op de SonicWall-firewalls te compromitteren. Bij de waargenomen aanvallen ging het om lokale accounts die werden gecompromitteerd en waarvoor multifactorauthenticatie (MFA) was uitgeschakeld. SonicWall heeft updates voor het probleem beschikbaar gemaakt en organisaties worden opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt ook voor actief misbruik en heeft federale overheidsinstanties die van SonicWall gebruikmaken opgedragen de update voor 30 september te installeren. bron: https://www.security.nl

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken. Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden. "Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder. "Deze gegevens horen alleen zichtbaar te zijn voor de beherende registrar en SIDN", legt de stichting uit. Er is inmiddels een onderzoek gestart naar de exacte impact. SIDN zegt maatregelen te treffen om een dergelijk datalek in de toekomst te voorkomen. Daarnaast zal er melding worden gedaan bij de Autoriteit Persoonsgegevens. bron: https://www.security.nl

Zo'n 38.000 ip-camera's van fabrikant AVTech die end-of-life zijn, en daardoor geen beveiligingsupdates meer ontvangen, zijn vanaf internet benaderbaar. Dat stelt securitybedrijf Censys. Eind augustus werd bekend dat ip-camera's van AVTech al sinds maart via een kwetsbaarheid met malware worden besmet en zo onderdeel van een botnet worden dat ddos-aanvallen uitvoert. De kwetsbaarheid wordt aangeduid als CVE-2024-7029. Proof of concept (PoC) exploitcode om misbruik van het beveiligingslek te maken is al sinds 2019 openbaar. Tot deze maand had de kwetsbaarheid nog geen CVE-nummer toegekend gekregen. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code op ip-camera's van AV-Tech uitvoeren. Volgens internetbedrijf Akamai gaat het onder andere om de AVM1203, die niet meer door AVTech wordt ondersteund. Voor deze camera zal dan ook geen update verschijnen en gebruikers doen er verstandig aan om het apparaat te vervangen, aldus het internetbedrijf. Censys voerde een online scan uit en detecteerde 38.000 AVTech-camera's. "Niet al deze camera's zijn per definitie kwetsbaar voor deze CVE, maar het zijn allemaal end-of-life producten die niet blootgesteld aan internet zouden moeten zijn", zo stellen de onderzoekers. bron: https://www.security.nl

De makers van Tor Browser overwegen om user agent spoofing standaard uit te schakelen, zo hebben ze aangekondigd. Tor Browser wordt dagelijks door miljoenen mensen gebruikt die hun ip-adres willen afschermen, privacy beschermen en overheidscensuur omzeilen. De user agent die een browser standaard naar websites verstuurt bevat allerlei informatie over het systeem van de gebruiker. Tor Browser spooft de user agent om te voorkomen dat websites of malafide exitnodes het besturingssysteem van de gebruiker kunnen achterhalen. Het Tor Project, de ontwikkelaars van Tor Browser, hebben nu een optie aan een testversie van de browser toegevoegd waardoor de user agent niet meer wordt gespooft en overwegen om die standaard in te schakelen. Tor Browser zal dan aan websites doorgeven wat voor soort besturingssysteem iemand gebruikt (Windows, macOS, Linux of Android). De reden hiervoor is dat het spoofen van de user agent ervoor kan zorgen dat websites niet goed werken. Daarnaast zou de meerwaarde beperkt zijn. Er zijn allerlei andere manieren om gebruikers te tracken en de spoofingfeature werkt alleen als JavaScript staat uitgeschakeld. Verder zou de HTTPS-Only mode van Tor Browser het passief sniffen van http-verkeer op user agents ook beperken. Het Tor Project is dan ook benieuwd wat gebruikers en 'domeinexperts' ervan vinden om het spoofen uit te schakelen en vraagt om feedback. Het is dan ook nog niet bekend of en wanneer het spoofen wordt uitgeschakeld. bron: https://www.security.nl

Beste Annemie, Aangezien je het probleem zelf ook hebt maar, zoals je aan geeft, op meerdere pc's, wil ik je vragen een eigen nieuw topic te starten met deze hulpvraag. Zo zien onze helpers je vraag en kunnen ze kijken of ze je verder kunnen helpen. Nu staat je vraag in het topic van iemand anders en wordt jouw hulpvraag soms over het hoofd gezien

SonicWall waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in de firewalls die het levert. Organisaties worden opgeroepen de eind augustus beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. Het beveiligingsbulletin is vandaag door het bedrijf bijgewerkt, waarin SonicWall niet alleen meldt dat er actief misbruik plaatsvindt, maar ook dat de SSLVPN-functionaliteit een mogelijke 'point of impact' is. De kwetsbaarheid (CVE-2024-40766) is aanwezig in SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Verdere details over de aanvallen zijn niet gegeven. Kort na het uitkomen van het beveiligingsbulletin gaf SonicWall het advies aan SSLVPN-gebruikers met lokale accounts om hun wachtwoorden te wijzigen en multifactorauthenticatie (MFA) in te schakelen. bron: https://www.security.nl

Nieuw Sociaal Contract (NSC) en GroenLinks-PvdA willen opheldering van minister Van Weel van Justitie en Veiligheid over de terugkeer van het onderwerp chatcontrole op de Europese agenda, zoals Security.NL afgelopen zondag berichtte. Kamerleden Six-Dijkstra (NSC) en Kathmann (GL-PvdA) willen onder andere van de minister weten wat het standpunt van het kabinet is ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-end en generiek verzwakt of omzeild wordt. De Europese Commissie kwam een aantal jaar geleden met het plan om alle chatberichten van burgers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Eind juni wilde toenmalig EU-voorzitter België binnen de Raad over een eigen versie van het plan stemmen. België had een voorstel bedacht waardoor "hoog risicovolle" chatdiensten zouden worden verplicht om overheidssoftware toe te voegen waarmee alle berichten van Europese gebruikers worden geïnspecteerd. Dit kreeg de naam "upload moderation". Gebruikers die niet met de controle akkoord zouden gaan zouden dan geen foto's, video en url's meer via de betreffende chatapp kunnen versturen. De stemmig werd geschrapt omdat er niet voldoende voorstemmers waren. Deze week stond er een overleg van de Raad van de Europese Unie gepland waar het onderwerp weer op de agenda stond. "Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?", willen de Kamerleden verder weten. De minister moet ook duidelijk maken hoe het kabinetsstandpunt zich verhoudt tot het recht op eerbiediging van de persoonlijke levenssfeer en het recht op eerbiediging van het telecommunicatiegeheim, zoals in de Grondwet is opgenomen. "Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: “Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving”?", vragen Kathmann en Six-Dijkstra verder. Als laatste willen ze weten hoe het kabinetsstandpunt zich verhoudt tot het proportionaliteitsbeginsel. Minister Van Weel heeft drie weken om met een reactie te komen. bron: https://www.security.nl

Miljoenen WordPress-sites lopen door een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache het risico op aanvallen. Een update is beschikbaar, maar die is door de meeste websites nog niet geïnstalleerd. Onlangs werd een ander kritiek beveiligingslek in de plug-in actief gebruikt voor het aanvallen van WordPress-sites. Securitybedrijf Patchstack verwacht ook dat de nieuwste kritieke kwetsbaarheid op grote schaal zal worden misbruikt. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan zes miljoen websites maken er gebruik van. Een 'cookie leak' kwetsbaarheid (CVE-2024-44000) zorgt ervoor dat een ongeauthenticeerde aanvaller admin-accounts kan overnemen. Vervolgens is het mogelijk om malafide plug-ins te installeren. De kwetsbaarheid is alleen te misbruiken als de 'debug log feature' is ingeschakeld, of ooit ingeschakeld is geweest, en het /wp-content/debug.log niet is verwijderd. Wanneer een aanvaller dit bestand kan benaderen is het mogelijk om sessioncookies te stelen van gebruikers die zijn of waren ingelogd. Gisteren verscheen versie 6.5.0.1 van LiteSpeed Cache waarin het probleem is opgelost. Op het moment van schrijven is deze versie volgens cijfers van WordPress.org door 1,2 miljoen websites geïnstalleerd, wat inhoudt dat een groot aantal WordPress-sites nog kwetsbaar is. Volgens WordPress.org maakt het grootste deel van de websites nog gebruik van versie 6.4.x. bron: https://www.security.nl

Microsoft gaat het Windows Common Log Filesystem (CLFS) beter beveiligen, om zo misbruik door aanvallers te voorkomen, zo heeft het techbedrijf aangekondigd. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er 24 kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. Volgens Microsoft is het lastig om alle data in een logbestand goed te valideren. Een aanvaller kan hier misbruik van maken door een malafide logbestand te maken of een bestaand logbestand te corrumperen en die bestanden vervolgens door het Common Log Filesystem te laten verwerken, om zo SYSTEM-rechten te krijgen. Om dergelijke aanvallen te voorkomen heeft Microsoft nu een oplossing bedacht. In plaats van individuele waardes in een logbestand te valideren, zal CLFS straks detecteren of logbestanden zijn aangepast door iets anders dan de CLFS-driver. Hiervoor zal er gebruik worden gemaakt van Hash-based Message Authentication Codes (HMAC), die aan het einde van het logbestand worden toegevoegd. "Net zoals je de integriteit zou controleren van een bestand dat je downloadt van het internet door de hash of checksum te controleren, kan CLFS de integriteit van logbestanden valideren door de HMAC te berekenen en die te vergelijken met de HMAC opgeslagen in het logbestand. Zolang de aanvaller de encryptiesleutel niet kent, heeft die niet de informatie om een geldige HMAC te produceren die CLFS zal accepteren", legt Microsoft uit. Alleen CLFS en administrators op het systeem hebben toegang tot de sleutel. De nieuwe CLFS-versie komt als eerste beschikbaar in het Windows Insiders Canary channel. Daarbij zal CLFS oude logbestanden naar het nieuwe format overzetten. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Smart Licensing Utility waardoor een ongeauthenticeerde aanvaller op afstand kan inloggen. Het probleem wordt veroorzaakt door een ongedocumenteerd hardcoded admin-wachtwoord, zo laat het bedrijf in een beveiligingsbulletin weten. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren. "De kwetsbaarheid wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van de kwetsbaarheid (CVE-2024-20439) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast heeft Cisco ook een andere kwetsbaarheid (CVE-2024-20440) met een zelfde impactscore verholpen. Dit beveiligingslek wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco zegt niet met misbruik van de kwetsbaarheden bekend te zijn. bron: https://www.security.nl

Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben. YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten. Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer. De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9. bron: https://www.security.nl

D-Link heeft eigenaren van een DIR-846W wifi-router opgeroepen om het apparaat te vervangen, aangezien dit een risico voor aangesloten apparatuur kan zijn. De router bevat verschillende kritieke kwetsbaarheden waardoor het apparaat op afstand is over te nemen. Aangezien de DIR-846W al vier jaar end-of-life is zullen er geen updates verschijnen om de beveiligingslekken te verhelpen. Hoewel de router al sinds begin 2020 niet meer wordt ondersteund bracht D-Link onlangs wel een beveiligingsbulletin voor de DIR-846W uit. Daarin wordt gewaarschuwd voor vier kwetsbaarheden, waaronder twee die als kritiek zijn aangemerkt (CVE-2024-44341 en CVE-2024-44342). Via deze twee beveiligingslekken kan een aanvaller op afstand OS-commando's op het apparaat uitvoeren. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aangezien de router niet meer met beveiligingsupdates wordt ondersteund raadt D-Link'ten zeerste' aan om die te vervangen en waarschuwt dat verder gebruik van het product risico's met zich meebrengt voor apparaten die ermee verbonden zijn. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van verschillende accesspoints en een 'security router' voor een kritieke kwetsbaarheid waardoor de apparaten op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. De enige vereiste is dat een aanvaller het apparaat kan benaderen. Vervolgens is het mogelijk om via het versturen van een speciaal geprepareerd cookie willekeurige OS-commando's op het apparaat uit te voeren. De impact van de kwetsbaarheid (CVE-2024-7261) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem raakt in totaal 28 verschillende modellen accesspoints, alsmede de USG LITE 60AX 'security router'. Zyxel heeft firmware-updates beschikbaar gemaakt om het probleem te verhelpen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke path traversal-kwetsbaarheid in Kingsoft WPS Office, waardoor een aanvaller malafide code op het systeem van de gebruiker kan uitvoeren. Alleen het openen van een malafide document met een kwetsbare versie is hiervoor voldoende. Vorige week waarschuwde antivirusbedrijf ESET al voor misbruik van het beveiligingslek, aangeduid als CVE-2024-7262. Dat vond plaats voordat een beveiligingsupdate beschikbaar was. Ontwikkelaar Kingsoft kwam volgens ESET in maart met een patch die het probleem 'stilletjes' had moeten verhelpen, maar die bood geen volledige oplossing, waardoor de kwetsbare code nog steeds was te misbruiken. Vervolgens kwam de ontwikkelaar met een tweede update om de kwetsbaarheid echt op te lossen. WPS Office is vooral in Azië zeer populaire kantoorsoftware, vergelijkbaar met Microsoft Office. Volgens ESET liet ontwikkelaar Kingsoft weten dat het geen interesse had om klanten te waarschuwen dat aanvallers actief misbruik maken van CVE-2024-7262, waarop de virusbestrijder naar eigen zeggen met een blogposting kwam om klanten op die manier te waarschuwen. Op de website van WPS Office is geen enkele melding over het CVE-nummer te vinden. Nu waarschuwt ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik van de kwetsbaarheid maken. Het cyberagentschap heeft Amerikaanse overheidsinstanties die met de software werken opgedragen de update voor 24 september te installeren. Kingsoft claimt dat WPS Office meer dan tweehonderd miljoen gebruikers heeft. bron: https://www.security.nl

Mozilla heeft een nieuwe versie van Firefox gelanceerd met een 'AI Chatbot feature'. Via de optie kunnen gebruikers een chatbot naar keuze aan de browser toevoegen die dan via de sidebar van de browser snel toegankelijk is, aldus de uitleg van de Firefox-ontwikkelaar. Gebruikers kunnen op dit moment kiezen uit de chatbots: Anthropic Claude, ChatGPT, Google Gemini, HuggingChat en Le Chat Mistral. De ingestelde chatbot is vervolgens via de sidebar te gebruiken om bijvoorbeeld informatie op webpagina's samen te vatten of teksten te vereenvoudigen. Mozilla liet eerder al weten dat het nieuwe AI-chatbots als keuzeoptie zal toevoegen als die aan de eisen voor 'kwaliteit en gebruikerservaring' voldoen. De 'AI Chatbot feature' staat standaard uitgeschakeld. Verder zijn met Firefox 130 ook verschillende kwetsbaarheden verholpen. Updaten naar de nieuwe versie kan via de automatische updatefunctie of Mozilla.org. bron: https://www.security.nl

Opnieuw zijn WhatsUp Gold-servers het doelwit van aanvallen, waarbij aanvallers nu een kritieke SQL Injection-kwetsbaarheid gebruiken. Onlangs werden dergelijke systemen aangevallen via een kritiek path traversal-lek. Dat meldt. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld scans op internet uitvoert naar kwetsbare systemen. Via WhatsUp Gold kunnen organisaties hun netwerken monitoren en beheren. De oplossing biedt inzicht in netwerkapparatuur, servers, applicaties en verkeer. Op 16 augustus kwam ontwikkelaar Progress met beveiligingsupdates voor kritieke kwetsbaarheden in de oplossing. Het gaat onder andere om CVE-2024-6670, een kritieke SQL Injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het versleutelde wachtwoord van een gebruiker kan stelen, aldus het beveiligingsbulletin. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Een aanvaller kan zo de authenticatie omzeilen en uiteindelijk willekeurige code op de server uitvoeren, aldus onderzoeker Manish Kishan Tanwar die het probleem ontdekte en op 22 mei rapporteerde. Volgens Progress is de aanval alleen mogelijk wanneer de applicatie met één gebruiker is geconfigureerd. Vorige week maakte Tanwar details en proof-of-concept exploitcode voor de kwetsbaarheid openbaar. Vandaag meldt The Shadowserver Foundation dat het de eerste aanvallen via het beveiligingslek heeft waargenomen. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl