Captain Kirk

De Emotet-malware waar de Amerikaanse overheid eerder dit jaar voor waarschuwde gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Dat laat securitybedrijf Secureworks in een analyse weten. Emotet is malware waarmee criminelen gegevens voor internetbankieren, wachtwoorden en andere informatie stelen. De initiële infectie door Emotet begint met een e-mail, die als bijlage bijvoorbeeld een Office-document met een kwaadaardige macro heeft. Zodra de gebruiker de macro activeert wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module waardoor de malware andere systemen binnen het netwerk kan aanvallen. Hiervoor maakt Emotet gebruik van Microsofts Server Message Block (SMB)-protocol. Zodra het systeem waar de malware via SMB verbinding mee maakt om een wachtwoord vraagt, gebruikt Emotet een lijst met zo'n 1000 wachtwoorden om toegang te krijgen. Wanneer de inlogpoging succesvol is wordt de machine besmet en probeert de malware zich verder binnen het netwerk te verspreiden. In oktober raakten nog 600 computers van een Amerikaanse openbare bibliotheek met Emotet besmet, alsmede 620 machines van een Amerikaanse gemeente. Een bijkomend risico van Emotet is dat gebruikers niet meer op hun account kunnen inloggen. Sommige organisaties staan een beperkt aantal inlogpogingen op een account toe, waarna de toegang wordt geblokkeerd. "Het account lockout-secenario is een echt risico en een potentiële kopzorg voor organisaties", aldus Symantec. Secureworks heeft de lijst van de ongeveer 1000 wachtwoorden die Emotet gebruikt openbaar gemaakt. Het securitybedrijf merkt op dat Emotet het belang van een goed wachtwoordbeleid aantoont. "Het verschil voor organisaties tussen het hebben van een sterk wachtwoordbeleid tegenover een zwak of helemaal geen wachtwoordbeleid wordt in het geval van Emotet gemeten in termen van honderden besmette computers, tientallen uren incident response en zelfs honderdduizenden dollars", zegt analist Mike McLellan. bron: security.nl

Windows 10 verstuurt uitgebreide informatie over het systeem en het gebruik naar Microsoft en dit is lastig voor gebruikers om uit te schakelen, zo stelt de Duitse overheid in een vandaag verschenen rapport. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is bezig met een onderzoek naar de beveiligingsmaatregelen van Windows 10. Op deze manier wil de overheidsinstantie de security van het besturingssysteem bepalen en kijken of er risico's zijn bij het gebruik van Windows 10. Ook moet het een framework en aanbevelingen opleveren om het besturingssysteem op een veilige manier te gebruiken en extra te beveiligen. Het onderzoek bestaat uit verschillende onderdelen, waarbij als eerste naar de manier werd gekeken waarop Windows 10 gegevens verzamelt en doorstuurt. Dit deel van het onderzoek is nu openbaar gemaakt. In het onderzoeksrapport wordt een overzicht gegeven van de onderdelen waarmee Windows 10 gegevens verzamelt en hoe deze data wordt verwerkt. Ook de manier waarop gegevens naar Microsoft worden verstuurd komt aan bod. Verder geeft het 63 pagina's tellende rapport een aanpak voor het monitoren van telemetrie-activiteiten. Uitschakelen Windows 10-gebruikers kunnen verschillende telemetrieniveaus instellen, zodat er meer of minder gegevens worden verzameld en verstuurd. Het besturingssysteem biedt echter geen standaardoptie om het verzamelen helemaal uit te schakelen. Via verschillende maatregelen kan dit echter wel worden gedaan. "Hoewel het technisch mogelijk is om het verzamelen en versturen van telemetriegegevens door Windows te voorkomen, is het lastig voor doorsnee gebruikers om te implementeren", aldus het BSI. De overheidsinstantie merkt verder op dat andere geïnstalleerde applicaties zoals Internet Explorer en Microsoft Office de mogelijkheid hebben om telemetriegegevens zonder de centrale telemetrie-service van Windows 10 te verzamelen en naar Microsoft te versturen. Voor de meer technische gebruikers heeft het BSI een apart document gepubliceerd waarin wordt beschreven hoe de telemetrie-activiteiten van het besturingssysteem zijn uit te schakelen (pdf). Gebruikers moeten hiervoor verschillende registersleutels aanpassen en services uitschakelen. Ook het instellen van firewallregels en het aanpassen van het hosts-bestand zijn nodig. Verder kunnen gebruikers netwerkgebaseerde maatregelen toepassen, waaronder het blokkeren van bepaalde domeinen via een http-proxy en het doorvoeren van dns-aanpassingen. Tevens meldt het BSI wat de gevolgen of bijwerkingen van de aanpassingen zijn. Privacyrisico Vorige week verschenen de resultaten van een Data Protection Impact Assessment (DPIA) naar de producten en diensten van Microsoft dat het ministerie van Justitie en Veiligheid had laten uitvoeren. Daarin werd gesteld dat gegevens die Windows 10 Enterprise en Microsoft Office van en over gebruikers verzamelen en in een database in de Verenigde Staten opslaan een risico voor de privacy van gebruikers vormen. Naar aanleiding van de onderzoeksresultaten stelde Microsoft dat het begin volgend jaar met een verbeterplan komt zodat het gebruik van haar producten voor de Nederlandse overheid binnen de context van de AVG en andere wet- en regelgeving mogelijk is. bron: security.nl

Adobe heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor ernstig beveiligingslek in Flash Player waardoor in het ergste geval systemen volledig kunnen worden overgenomen. Technische details over de kwetsbaarheid zijn al openbaar gemaakt. In het geval Adobe bekend is met aanvallen die misbruik maken van een kwetsbaarheid wordt dit specifiek in de beveiligingsbulletins vermeld. Dat is nu niet het geval, maar de kans op misbruik en aanvallen is wel aanwezig. Gebruikers krijgen dan ook het advies om de update zo snel als mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Dit geldt zowel voor Mac- als Windows-gebruikers. Updaten naar Flash Player 31.0.0.153 kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Aanvallen op Flash Player-gebruikers vinden niet alleen plaats via de browser, ook wordt er gebruik gemaakt van Office-documenten. Eerder dit jaar werden verschillende zeroday-aanvallen waargenomen waarbij doelwitten een Office-document kregen toegestuurd dat een Flash-object bevatte. Dit object wordt automatisch uitgevoerd zodra de gebruiker het document opent. Op deze manier kunnen ook gebruikers die Flash Player in de browser hebben geblokkeerd of uitgeschakeld worden aangevallen. bron: security.nl

De adresbalk van Safari was door een beveiligingslek te spoofen, waardoor aanvallers overtuigende phishingaanvallen tegen Apple-gebruikers hadden kunnen uitvoeren. De kwetsbaarheid werd al in juli van dit jaar door Apple verholpen, maar details over het beveiligingslek zijn nu openbaar gemaakt. Het probleem deed zich voor bij de kleine Latijnse letter "dum". Deze letter werd in Safari als een normale "d" weergegeven. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Zo is het mogelijk om een domein als "xn--iclou-rl3s.com" te registreren, dat alleen door Safari als "icloud.com" werd weergegeven. Bij andere browsers was de werkelijke domeinnaam wel te zien. Dit wordt ook wel een "homograph" aanval genoemd. Een aanvaller had zodoende voor allerlei domeinen met een "d" een phishingvariant kunnen maken, zoals Linkedin.com, Adobe.com, Wordpress.com, Dropbox.com, Godaddy.com en Reddit.com. Ook had een aanvaller al deze phishingvarianten van een geldig tls-certificaat kunnen voorzien. Apple werd begin april door securitybedrijf Tencent ingelicht, waarna het probleem begin juli in macOS, iOS, tvOS en watchOS werd gepatcht. bron: security.nl

Aanvallers combineren een kwetsbaarheid in Drupal en Linux om kwetsbare Drupal-webservers over te namen. Daarvoor waarschuwt securitybedrijf Imperva. Drupal is een contentmanagementsysteem dat door 2 procent van alle websites op internet wordt gebruikt, aldus cijfers van W3Techs. In maart van dit jaar werd er een zeer ernstige kwetsbaarheid in Drupal gepatcht waardoor aanvallers kwetsbare websites kunnen overnemen. Dit beveiligingslek wordt ook wel "Drupalgeddon 2" genoemd. Kort na het uitkomen van de beveiligingsupdate maakten aanvallers hier misbruik van om kwetsbare websites over te nemen. Via het Drupal-lek kunnen aanvallers hun eigen code met de rechten en gebruiker van de webapplicatie uitvoeren. Aanvallers willen graag langere tijd toegang tot een systeem behouden, zodat het opnieuw besmet kan worden als de kwaadaardige code wordt verwijderd. In het geval van op Linux-gebaseerde systemen wordt vaak een communicatiekanaal via SSH geopend, zegt Nadav Avital van Imperva. Wanneer er geen SSH-service is geïnstalleerd moet de aanvaller dit zelf doen. "Meestal heeft de webserver minimale permissies en kan geen nieuwe services installeren", aldus Avital. Bij de nu waargenomen aanvallen zoeken de aanvallers dan ook naar root-wachtwoorden in de configuratiebestanden, zodat SSH wel kan worden geïnstalleerd. Wanneer er geen root-wachtwoorden worden gevonden proberen de aanvallers drie verschillende exploits voor de Dirty COW-kwetsbaarheid. Dirty COW is de naam voor een uit 2016 stammende Linux-kwetsbaarheid waardoor een lokale gebruiker zijn rechten kan verhogen. Op deze manier kan een aanvaller root worden en zo alsnog SSH installeren. "Beheerders moeten er dan ook voor zorgen dat zowel hun webapplicatie als het besturingssysteem van de host volledig zijn gepatcht", merkt Avital op. bron: security.nl

Er is een nieuwe versie van de op privacy gerichte zoekmachine Startpage verschenen die gebruikers een verbeterde proxy biedt om zoekresultaten anoniem de bezoeken. StartPage is een Nederlandse zoekmachine die sinds 2009 bestaat en in 2016 samenging met de metazoekmachine Ixquick. De zoekmachine zegt geen persoonlijke informatie van gebruikers op te slaan of met derden te delen. "Wij kunnen geen profiel van je samenstellen en wij kunnen ook nooit gedwongen worden om persoonlijke gegevens over te dragen aan enige overheid, simpelweg omdat we geen gegevens hebben om te overhandigen", aldus Startpage op de eigen pagina. Nu is er een nieuwe versie gelanceerd die snellere resultaten biedt en over meer toegankelijke functies beschikt. Een andere belangrijke optie is de vernieuwde 'Anonieme Weergave'-proxy waarmee gebruikers websites anoniem kunnen bezoeken, zonder dat ze worden gevolgd en geprofileerd. De nieuwe proxy is sneller en effectiever dan de vorige proxy. Zodra gebruikers een website via de Anonieme Weergave-proxy bezoeken ziet deze website alleen Startpage. Volgens de zoekmachine is er een verschil met andere proxies die risicovolle JavaScript uitschakelen of helemaal toestaan. Veel websites vereisen JavaScript om te functioneren, maar het wordt ook gebruikt om internetgebruikers te volgen. In plaats van JavaScript volledig uit te schakelen gebruikt de Startpage.com Proxy verschillende technieken om noodzakelijke JavaScriptcode toe te staan, maar worden gevaarlijke elementen herschreven en geherdefinieerd. "Hiermee worden allerlei browser en 'device fingerprinting' trackingstechnieken voorkomen. Sites blijven er goed uitzien, terwijl je volledig anoniem blijft. Dat is iets wat veel VPNs niet kunnen bieden", zo laat de zoekmachine weten. bron: security.nl

Contactlensleverancier Vision Direct heeft klanten die recent een bestelling hebben geplaatst gewaarschuwd dat hun creditcardgegevens mogelijk zijn gestolen. Creditcardgegevens en andere persoonlijke informatie die van 3 november tot en met 8 november op VisionDirect.co.uk werden ingevoerd zijn gestolen, zo meldt het bedrijf in een waarschuwing op de eigen website. Beveiligingsonderzoeker Willem de Groot laat echter op Twitter weten dat ook andere websites van Vision Direct zijn getroffen, waaronder de Nederlandse, Belgische, Spaanse en Franse websites. We hebben Vision Direct dan ook om opheldering gevraagd en zullen dit artikel updaten zodra er meer bekend is. Aanvallers wisten kwaadaardige code op VisionDirect.co.uk te plaatsen die ingevoerde data buitmaakte, aldus onderzoeker Troy Mursch. Het gaat om namen, factuuradressen, e-mailadressen, wachtwoorden, telefoonnummer en creditcardgegevens zoals kaartnummer, verloopdatum en CVV-code. De contactlensleverancier laat weten dat informatie die al in de database was opgeslagen geen risico heeft gelopen. Alle klanten die in de betreffende periode op hun account hebben ingelogd krijgen het advies om contact met hun bank of creditcardmaatschappij op te nemen en hun advies te volgen. Klanten van wie Vision Direct denkt dat de gegevens zijn gestolen krijgen een e-mail met een uitleg om hun wachtwoord te wijzigen. Hoe de aanvallers toegang tot de website of websites wisten te krijgen is niet bekendgemaakt. Vision Direct stelt dat er een onderzoek is ingesteld en het met de autoriteiten samenwerkt. bron: security.nl

CCC en OpenWRT hekelen routerrichtlijnen Duitse overheid De veiligheidsrichtlijnen die de Duitse overheid vorige week voor routerfabrikanten publiceerde zijn een farce en schieten ernstig te kort, zo stellen de Duitse hackersvereniging CCC en de ontwikkelaars van OpenWrt, populaire opensourcefirmware voor routers. Afgelopen vrijdag kwam het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met technische beveiligingsrichtlijnen voor routers. Doordat routers zo'n belangrijke rol in de netwerken van mensen spelen is het belangrijk dat de apparaten veilig zijn, aldus het BSI. Door het publiceren van de richtlijnen wil de Duitse overheidsinstantie fabrikanten zover zien te krijgen dat ze veilige producten gaan aanbieden. Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten. De richtlijnen zijn echter onvoldoende, aldus de CCC en OpenWrt. Zo hebben gebruikers nog steeds geen zinvolle manier om veilige en duurzame apparaten van risicovolle routers te onderscheiden of de mogelijkheid om de veiligheid in hun eigen handen te nemen. Bij het opstellen van de regels heeft het BSI met allerlei partijen overlegd. Tijdens verschillende inspraakmomenten hebben de CCC en OpenWrt voor toevoegingen gepleit, maar die zijn niet in de richtlijnen opgenomen. De beide organisaties willen dat er alleen routers mogen worden verkocht waarop duidelijk staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt. Door deze twee principes toe te voegen zou elke gebruiker kunnen zien hoe lang de router op een veilige manier is te gebruiken en de optie hebben om veilige, gratis firmware te installeren als de fabrikant geen updates meer uitbrengt, aldus OpenWrt en de CCC. "Het feit dat de richtlijn niet voorschrijft om veilige firmware zoals OpenWrt te kunnen installeren doet ons twijfelen over hoe serieus de Duitse overheid it-security neemt", aldus Hauke Mehrtens van het OpenWrt-project. Volgens Mirko Vogt van de CCC beschikken alle lampen en wasmachines tegenwoordig over kleurenschema's waardoor mensen eenvoudig kunnen zien hoeveel stroom ze verbruiken. Bij routers, die voor grote aanvallen op internet kunnen worden gebruikt, ontbreken dergelijke onderscheidingscriteria, waardoor onveilige routers op grote schaal binnen thuis- en bedrijfsnetwerken zullen blijven worden uitgerold. bron: security.nl

De 'Nationale Wasstraat' (NaWas) beschermt 2,5 miljoen van de in totaal 5,8 miljoen geregistreerde .nl-domeinen tegen ddos-aanvallen. Dat melden de Nationale Beheersorganisatie Internet Providers (NBIP) en de Stichting Internet Domeinregistratie Nederland (SIDN) in een vandaag verschenen rapport (pdf). De NaWas is een centraal opgestelde hoeveelheid anti-ddos-apparatuur waar verkeer kan worden langs geleid als een provider wordt aangevallen. Het aanvalsverkeer wordt door de NaWas gefilterd en het schone verkeer doorgestuurd. De oplossing is bedoeld voor internetproviders voor wie het zelf kopen en onderhouden van anti-ddos-apparatuur onhaalbaar of niet rendabel is. "Middels onze Nationale Wasstraat, de NaWas, hebben we sinds 2014 voor een groot deel van de Nederlandse internetsector elke ddos-aanval kunnen mitigeren", zo liet het NBIP in een rapport over ddos-aanvallen in de eerste helft van 2018 weten. De organisatie registreerde in de eerste zes maanden van dit jaar 555 aanvallen. In de eerste helft van 2017 ging het nog om 420 geregistreerde ddos-aanvallen. Tijdens de eerste zes maanden van dit jaar zag de NBIP geen bijzondere, complexe aanvallen. Wel werden er een aantal grote aanvallen gezien van meer dan 40 Gbps. In 2017 werden geen aanvallen van deze omvang waargenomen. Van de aanvallen in de eerste helft van 2018 duurde 81,6 procent minder dan een uur en 37 procent minder dan een kwartier. Schatting van schade In het vandaag verschenen rapport maken NBIP en SIDN een schatting van de schade die ddos-aanvallen hadden kunnen veroorzaken wanneer er geen bescherming aanwezig zou zijn. Dit zou voor de op NaWas aangesloten ondernemingen 425 miljoen euro zijn. Volgens Michiel Henneke van de SIDN gaat het hier om een schatting en heeft het onderzoek daarmee een indicatief karakter en doet het geen exacte uitspraak. "Het Centraal Planbureau concludeerde in oktober al dat de exacte schade die DDoS aanricht moeilijk te kwantificeren is. Zo is het lastig te beoordelen of het gedurende een dag niet beschikbaar zijn van een website leidt tot uitstel of afstel van een zakelijke transactie", aldus Henneke. NBIP en SIDN stellen dat er in Nederland bijna geen onderzoek wordt gedaan naar de financiële impact van ddos-aanvallen. Het onderzoek van beide organisaties moet dan ook een startpunt voor verder onderzoek bieden. bron: security.nl

Nu mensen steeds meer apparaten in huis op internet aansluiten speelt de router een steeds belangrijkere rol. Al het interne netwerk- en internetverkeer loop namelijk via het apparaat. Een aanvaller die toegang tot een router weet te krijgen, heeft zo toegang tot allerlei persoonlijke data. Routers moeten dan ook goed zijn beveiligd. Aanleiding voor het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, om technische beveiligingsrichtlijnen voor routers op te stellen. De richtlijnen zijn met name op fabrikanten gericht en beschrijven minimale beveiligingsmaatregelen waar routers voor particulieren over moeten beschikken. Met de publicatie van de richtlijn hoopt het BSI om routers beter bestand tegen aanvallen te maken. Zo moeten routers updates kunnen ontvangen, maar is een automatische updatefunctie niet verplicht. Verder moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Daarnaast mag dit preset-wachtwoord bijvoorbeeld niet zijn afgeleid van het MAC-adres of andere kenmerken van de router. Volgens het BSI zijn de richtlijnen een belangrijke stap richting een it-beveiligingslabel. bron: security.nl

Doe even wat Abbs je adviseert: even je scanner uit en dan Farbar installeren.

Met de feestdagen in aantocht heeft Mozilla een op privacy gerichte cadeaugids gepubliceerd die de privacy en security van allerlei producten behandelt. De afgelopen maanden hebben onderzoekers van de opensource-ontwikkelaar tal van producten beoordeeld op zaken als het automatisch aanbieden van beveiligingsupdates, het versleutelen van persoonlijke informatie, duidelijkheid van het privacybeleid en andere zaken. In totaal zijn er uitgebreide reviews van 70 producten gemaakt verdeeld over zes categorieën: toys & games, smart home, entertainment, wearables, gezondheid & beweging en huisdieren. 32 producten werden beoordeeld met een badge omdat ze voldoen aan de minimale veiligheidsstandaarden die door Mozilla, de Internet Society en Consumer International zijn opgesteld. Om een badge te ontvangen moeten producten van encryptie gebruikmaken, over automatische beveiligingsupdates beschikken, beveiligingslekken beheren, bijvoorbeeld via bug bounty programma's, en gebruikers verplichten om het standaardwachtwoord te wijzigen wanneer er een wachtwoord is verplicht. Onder andere de Nintendo Switch, Sony PS4, Microsoft Xbox One, Amazon Echo & Dot, Google Home en Apple iPad ontvingen een badge. Verder kunnen gebruikers via de cadeaugids aangeven hoe "creepy" ze een product vinden en of ze het overwegen te kopen. Mozilla stelt dat de meeste cadeaugidsen zich op prijs en prestaties richten en niet op privacy, wat volgens de ontwikkelaar een grote tekortkoming is. "Elke dag verschijnen er meer en meer berichten over gebrekkige met internet verbonden apparaten. Deze apparaten kunnen onze locaties volgen zonder dat we dit weten, ze verkopen onze data aan allerlei adverteerders en zijn vaak te hacken en manipuleren", aldus Mozillas Ashley Boyd. Met de cadeaugids "Privacy Not Included" wil Mozilla een een discussie over online privacy en security op gang brengen en gebruikers meer controle over hun eigen data geven. bron: security.nl

Windows 10 krijgt meer opties voor het pauzeren van beveiligingsupdates en andere updates, zo heeft Microsoft bij de lancering van een nieuwe testversie van het besturingssysteem aangekondigd. De softwaregigant zegt dat het naar aanleiding van gebruikersfeedback twee nieuwe features aan de testversie heeft toegevoegd die gebruikers meer controle over hun updates moeten geven. Ten eerste is de optie om updates te pauzeren direct zichtbaar in het Windows Update-menu. Voorheen moesten gebruikers eerst naar de geavanceerde opties voordat de functie zichtbaar was. Daarnaast kunnen gebruikers nu instellen dat beschikbare updates na een bepaald aantal dagen of op een specifieke dag worden geïnstalleerd. Sommige updates, zoals die voor de ingebouwde anti-virussoftware Windows Defender, worden altijd geïnstalleerd, ongeacht of er voor het pauzeren van updates is gekozen. Een andere aanpassing die met Windows Update samenhangt is het moment wanneer het systeem mag worden herstart, bijvoorbeeld om de installatie van beveiligingsupdates af te ronden. Op dit moment kunnen gebruikers hun "Gebruikstijden" instellen. Windows 10 zal op deze momenten geen herstart van het systeem uitvoeren. De nieuwste testversie van Windows 10 beschikt over een optie waarbij de Gebruikstijden automatisch door het besturingssysteem worden aangepast aan de hand van het computergebruik. Dit moet voorkomen dat gebruikers met een reboot te maken krijgen als ze zijn vergeten hun Gebruikstijden aan te passen. Deze week besloot Microsoft de uitrol van de Windows 10 October 2018 Update te hervatten, nadat de eerste versie bij verschillende gebruikers voor problemen had gezorgd. Tevens publiceerde Microsoft een uitgebreide blogposting waar het ingaat op de kwaliteit van de updates die het uitbrengt. Zo blijkt dat het aantal "klantenincidenten" en telefoontjes naar de helpdesk de afgelopen jaren is afgenomen, terwijl het aantal Windows 10-installaties toenam. Ondanks deze trends laat de softwaregigant weten dat het meer gaat doen om problemen in de toekomst te voorkomen. De nieuwe features voor Windows Update zijn in de Windows 10 Insider Preview Build 18282 beschikbaar. Wanneer ze in de definitieve versie verschijnen is nog niet bekend. bron: security.nl

Een beveiligingslek in gps-horloges van verschillende fabrikanten maakt het mogelijk om kinderen in real-time te volgen en hun omgeving af te luisteren zonder dat dit zichtbaar is. Het gaat om horloges van fabrikant miSafes alsmede 53 andere merken. Zowel securitybedrijf Pen Test Partners dat het probleem ontdekte als de BBC lukte het niet om in contact met miSafes te komen. De kwetsbaarheid is nog altijd niet opgelost en ouders wordt dan ook aangeraden om het gebruik van gps-horloges te heroverwegen. De gps-horloges beschikken over een bijbehorende app waarmee ouders de locatie van hun kinderen op hun eigen smartphone kunnen zien. Ook is het mogelijk om de omgeving van het kind op te nemen, een bericht te versturen of het kind te bellen. Het probleem wordt veroorzaakt door de programmeerinterface waar de app gebruik van maakt. De app verstuurt een "id" om informatie over het bijbehorende gps-horloge in de app weer te geven. Onderzoekers ontdekten dat ze door het opgeven van een ander "id" informatie van een ander gps-horloge kregen. Op deze manier is het bijvoorbeeld mogelijk om van alle gps-horloges de locatie op te vragen. Ook kon het telefoonnummer van het kind en de ouders worden achterhaald. De gps-horloges maken gebruik van een whitelist van geautoriseerde telefoonnummers die het kind kunnen bellen. Het is echter mogelijk om deze whitelist te omzeilen en kinderen via een ander nummer te bellen. Ook kan via het aanpassen van een "id" de monitormode worden ingeschakeld en is zo de omgeving van het kind af te luisteren. Tevens lukte het de onderzoekers om de naam van het kind, alsmede zijn geboortedatum, geslacht, gewicht, lengte en foto op te vragen. Ondanks herhaaldelijke pogingen lukte het niet om miSafes te benaderen. Daardoor lopen naar schatting 30.000 kinderen die miSafes-horloges gebruiken risico. Het probleem is echter niet beperkt tot miSafes. Er zijn 53 andere merken met soortgelijke problemen ontdekt. Namen van deze bedrijven zijn echter niet genoemd. Het gaat onder andere om horloges die onder verschillende namen worden aangeboden. Het totaal aantal kwetsbare gps-horloges bedraagt naar schatting meer dan 1 miljoen. Misbruik van de kwetsbaarheden vereist volgens de onderzoekers basale programmeervaardigheden en verschillende gratis tools. Ouders krijgen daarom het advies om het gebruik van gps-horloges te heroverwegen. Amazon en eBay zouden de horloges inmiddels niet meer aanbieden. bron: security.nl

Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine. Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik. Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren. "Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen. Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch. bron: security.nl

Het afgelopen weekend zijn zo'n 700 WordPress-sites gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in. Via het beveiligingslek kunnen aanvallers adminaccounts en backdoors aan websites toevoegen. Nadat aanvallers toegang hadden gekregen wijzigden ze de site url van deze gehackte WordPress-sites naar een ander domein. De site url laat WordPress weten waar de website zich bevindt. Door de aanpassing wordt er kwaadaardige content op de gehackte WordPress-sites geladen. Bij de aanval van dit weekend was het ingestelde domein echter offline, waardoor het lang duurde voordat de gehackte WordPress-sites konden worden geladen en leek de website kapot, aangezien er geen content van het opgegeven domein beschikbaar was. Dat laat securitybedrijf Sucuri weten. De beveiliger ontdekte via de eigen scanner zo'n 700 gehackte websites, maar het werkelijke aantal kan veel hoger liggen. De WordPress GDPR Compliance-plug-in is op meer dan 100.000 websites geïnstalleerd. Bij verschillende van de getroffen websites is de site url inmiddels aangepast. Er wordt een script van PasteBin geladen dat gebruikers doorstuurt naar een zogeheten "tech support scam". De scamsite laat bezoekers weten dat er een probleem met hun computer is en ze het opgegeven telefoonnummer moeten bellen. Het telefoonnummer is van oplichters die toegang tot de computer van het slachtoffer proberen te krijgen en uiteindelijk geld vragen voor het oplossen van het niet bestaande probleem. Het script op Pastebin is inmiddels meer dan 2 miljoen keer geladen. De GDPR Compliance-plug-in wordt via WordPress.org aangeboden. Tal van gebruikers laten in recensies weten dat hun websites via de kwetsbaarheid zijn gehackt. De ontwikkelaars melden op hun eigen website dat alle WordPress-sites die van de plug-in gebruikmaken en niet meteen de beveiligingsupdate hebben geïnstalleerd moeten controleren of ze gehackt zijn. Eventueel onbekende adminaccounts moeten worden verwijderd. Verder wordt geadviseerd om een complete back-up van de website van voor 6 november 2018 terug te zetten en daarna meteen de update te installeren. bron: security.nl

Facebook heeft een beveiligingslek in het platform gepatcht waardoor persoonlijke informatie over gebruikers en hun vrienden konden lekken. Door de kwetsbaarheid was het mogelijk om in naam van gebruikers zoekopdrachten bij Facebook uit te voeren en zo persoonlijke informatie op te vragen. Zo kon bijvoorbeeld worden opgevraagd of de gebruiker vrienden in een bepaald land of met een bepaalde naam had, of de gebruiker berichten met bepaalde woorden erin had geschreven of vrienden had die dit hadden gedaan. Ook was het mogelijk om te kijken of gebruikers vrienden in bepaalde landen hadden die een bepaalde religie aanhingen. Verder kon worden bekeken welke artikelen en berichten gebruikers hadden geliket. Om de aanval uit te voeren moest een Facebookgebruiker wel eerst een website openen waar de aanvaller JavaScript kon uitvoeren. Vervolgens moest er op een willekeurige plek op deze website worden geklikt, waarna de zoekopdracht bij Facebook werd uitgevoerd. De kwetsbaarheid werd ontdekt door onderzoekers van securitybedrijf Imperva die Facebook in mei informeerden, waarna de sociale netwerksite het probleem verhielp. bron: security.nl

Microsoft heeft de uitrol van de Windows 10 October 2018 Update hervat, nadat de eerste versie bij sommige gebruikers voor problemen zorgde. De update introduceert extra privacyinstellingen en beveiligingsverbeteringen. De eerste versie die op 2 oktober verscheen kon er in bepaalde gevallen ervoor zorgen dat bestanden bij gebruikers verdwenen. Daarop werd besloten om de uitrol tijdelijk te staken. In een blogposting laat Microsoft weten dat alle problemen zijn verholpen. Ook is er gekeken naar feedback en diagnostische data van systemen die de October Update hadden geïnstalleerd en zijn er geen verdere gevallen van dataverlies waargenomen. Daarop is besloten om de uitrol te hervatten. Als eerste kunnen "gevorderde" gebruikers de update handmatig downloaden door op beschikbare updates te zoeken. Vervolgens zal de October Update de komende weken en maanden gefaseerd aan andere gebruikers worden aangeboden. Microsoft stelt dat de April Update die eerder dit jaar verscheen de snelst uitgerolde Windows 10-update tot nu toe is. Met de October Update wordt echter een voorzichtigere aanpak gehanteerd. "We zullen de Windows October Update via Windows Update gaan aanbieden als de data laat zien dat je apparaat er klaar voor is en je een goede ervaring zal hebben", aldus Microsofts John Cable. Als blijkt dat een computer een probleem met de October Update heeft, bijvoorbeeld als er nog applicaties incompatibel zijn, wordt de update niet aangeboden totdat het probleem is verholpen. Zelfs wanneer gebruikers zelf op updates controleren zal de October Update niet worden aangeboden. Microsoft zegt dat het van plan is om een "Windows update status dashboard" toe te voegen om meer informatie over problemen te geven die ervoor zorgen dat een update wordt geblokkeerd. Twee keer per jaar brengt de softwaregigant een grote feature-update voor Windows 10 uit. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. bron: security.nl

Tijdens de patchdinsdag van november heeft Microsoft een actief aangevallen kwetsbaarheid in Windows gedicht. Via het beveiligingslek konden aanvallers die al toegang tot een systeem hadden hun rechten verhogen. In totaal verhielp Microsoft 62 kwetsbaarheden in IE, Edge, Windows, Microsoft Office, ChakraCore, .NET Core Skype for Business en verschillende andere pakketten. Het actief aangevallen beveiligingslek werd op 17 oktober door anti-virusbedrijf Kaspersky Lab ontdekt en aan Microsoft gerapporteerd. De kwetsbaarheid werd gebruikt bij de installatie van malware, zodat die lastiger te verwijderen zou zijn. Het beveiligingslek alleen is niet voldoende om een systeem te compromitteren. Een aanvaller moet al in staat zijn om code op het systeem uit te voeren. Een niet nader aantal genoemd gebruikers in het Midden-Oosten was doelwit van de aanval. Verder stelt Microsoft dat er een kwetsbaarheid in de Windows Advanced Local Procedure Call (ALPC) is gepatcht waarvan de details voor het uitkomen van de update al bekend waren. Via het beveiligingslek kan een aanvaller ook zijn rechten op een al gecompromitteerd systeem verhogen. Er zijn echter geen aanvallen waargenomen die misbruik van het lek maken. Tevens zijn er meerdere kwetsbaarheden in Microsoft Outlook gepatcht. Via een speciaal geprepareerd RWZ-bestand had een aanvaller willekeurige code op het systeem kunnen uitvoeren en dit in het ergste geval volledig kunnen overnemen. Voor het uitvoeren van de aanval was het wel vereist dat het RWZ-bestand binnen Outlook werd geopend. Ook een kwetsbaarheid in Windows Search waardoor systemen konden worden overgenomen behoort tot het verleden. Om het lek te misbruiken moest een aanvaller een speciaal gepreprareerd bericht naar de Windows Search-service sturen. Het beveiligingslek kon zowel door een lokale aanvaller als remote aanvaller worden aangevallen. In dit laatste geval moest de aanvaller wel geauthenticeerd zijn. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft beveiligingsupdates voor Acrobat en Reader uitgebracht die een kwetsbaarheid verhelpen waardoor een hash van het NTLM-wachtwoord van de gebruiker kon lekken. Proof-of-conceptcode om het beveiligingslek te demonstreren is openbaar, maar Adobe is niet bekend met daadwerkelijke aanvallen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen. Hoewel Adobe de kwetsbaarheid als "belangrijk" heeft bestempeld en niet als "ernstig", krijgen gebruikers toch het advies om snel naar de nieuwste versie te updaten, waarbij als voorbeeld binnen 72 uur wordt gegeven. De nieuwste versies zijn Acrobat DC of Acrobat Reader versie 2019.008.20081, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30106, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30457 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

51 landen waaronder Nederland hebben een verklaring getekend die voor een veiliger internet moet zorgen. De Verenigde Staten, Groot-Brittannië, China, Rusland, Iran en Israël besloten de Paris Call for Trust and Security in Cyberspace niet te ondertekenen. Naast landen hebben ook allerlei bedrijven en organisaties zich achter de verklaring geschaard, waaronder Facebook, Google en Microsoft. Deelnemende partijen zeggen zich in te zullen zetten om kwaadaardige activiteiten op internet tegen te gaan, de integriteit van het internet te beschermen, verstoring van verkiezingsprocessen te voorkomen, schending van intellectueel eigendom te bestrijden, verspreiding van kwaadaardige programma's en technieken te voorkomen, de veiligheid van digitale producten en diensten te versterken, activiteiten van niet-statelijke actoren aan te pakken en internationale standaarden te versterken. Volgens de opstellers van de verklaring kan de groei van cybercrime en kwaadaardige activiteiten zowel de privégegevens van mensen als bepaalde vitale infrastructuren in gevaar brengen. Om de rechten van mensen te respecteren en mensen op dezelfde manier te beschermen zoals in de fysieke wereld het geval is, moeten landen samenwerken, zowel met elkaar als met bedrijven, academici en burgerorganisaties. "De Paris Call is een belangrijke stap richting digitale vrede, het creëren van een sterker fundament voor vooruitgang", zegt Microsofts Brad Smith. Hij merkt op dat de techsector de eerste en voornaamste verantwoordelijke is om de technologie en de mensen die ervan gebruikmaken te beschermen. "Dit is echter een probleem waarbij overheden, bedrijven en de burgermaatschappij moeten samenkomen. Dat is de enige manier om mensen te beschermen tegen cyberdreigingen die soms van militair niveau zijn." bron: security.nl

Microsoft ontvangt dagelijks pentestrapporten van onderzoekers, klanten en industriepartners waarin staat vermeld dat een bepaald product kwetsbaar voor aanvallen is, maar in veel gevallen ontbreken specifieke details waardoor onduidelijk is of het om een nieuw beveiligingslek gaat, zo meldt de softwaregigant. Pentesters controleren op verzoek van organisaties en bedrijven de veiligheid van hun systemen en netwerken. Via de rapporten van pentesters kunnen eventueel gevonden problemen worden verholpen. Het is echter belangrijk om deze pentestrapporten in de context van de klant zijn omgeving te zien, zo stelt Christa Anderson van het Microsoft Security Center. Veel rapporten die Microsoft ontvangt claimen dat een product kwetsbaar voor een aanval is, maar bevatten geen specifieke details over de aanvalsvector of een demonstratie van hoe de kwetsbaarheid kan worden misbruikt. Vaak zijn er daarnaast beschermingsmaatregelen beschikbaar waarmee het gevonden beveiligingsrisico kan worden vermeden, aldus Microsoft. Het gaat dan bijvoorbeeld om maatregelen waarmee bruteforce-aanvallen zijn te voorkomen. Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen is het daarom belangrijk om eerst naar de omgeving, gebruikte configuraties en beschikbare beveiligingsmaatregelen te kijken. Als dan alsnog blijkt dat het om een nieuwe kwetsbaarheid gaat waarvoor geen bescherming is vraagt Microsoft om het rapport en de proof-of-concept exploit op te sturen. bron: security.nl

De nieuwe generatie adblockers die advertenties op slimme wijze zouden moeten blokkeren zijn kwetsbaar voor aanvallen waardoor een aanvaller legitieme content bij andere gebruikers kan laten blokkeren. Ook introduceren deze adblockers allerlei ernstige kwetsbaarheden, zoals clickfraude en cross-site request forgery (CSRF), aldus onderzoekers van Stanford University en het Helmholtz Center for Information Security (pdf). Traditionele adblockers maken gebruik van filterlijsten om advertenties te blokkeren. De nieuwe generatie perceptuele adblockers kijkt naar visuele kenmerken van advertenties of andere aanwijzingen op een website zoals de vermelding van de tekst "sponsored". Volgens de ontwikkelaars van deze adblockers zou dit een einde moeten maken aan de wapenwedloop tussen websites, adverteerders en uitgevers aan de ene kant en adblockers aan de andere kant. Op dit moment reageren uitgevers en advertentiebedrijven op de filterlijsten van adblockers, waarna adblockers weer een update voor de filterlijst uitbrengen. Via slimme adblockers die naar visuele kenmerken op een pagina kijken zou het gebruik van een filterlijst niet meer nodig zijn en worden alle advertenties geblokkeerd. Het onderzoek van de onderzoekers laat echter zien dat ook deze perceptuele adblockers niet waterdicht zijn. Door het AdChoices-logo dat bij veel advertenties wordt getoond iets aan te passen konden de conceptuele adblockers worden omzeild. Een aanval met veel grotere gevolgen noemen de onderzoekers "AdBlocker Privilege Hijacking". Hierbij uploadt een kwaadwillende gebruiker materiaal dat ervoor zorgt dat legitiem materiaal van een andere gebruiker als advertentie wordt gezien. Hierdoor wordt dit legitieme materiaal vervolgens bij alle andere gebruikers van de adblocker geblokkeerd. De onderzoekers waarschuwen ook dat adblockers die naar het gedrag van een pagina kijken ook aanvallen zoals clickfraude, cross-site request forgery en distributed denial of service (ddos) mogelijk kunnen maken. Ontwikkelaars van dergelijke adblockers moeten hier dan ook rekening mee houden. Volgens de onderzoekers is het onderzoek niet bedoeld om de voordelen van adblocking te bagatelliseren of perceptuele adblockers onderuit te halen, maar is het juist bedoeld om de gevonden kwetsbaarheden in de praktijk te voorkomen. bron: security.nl

Het op privacy en security gerichte besturingssysteem Tails is dit jaar zo'n 22.000 keer per dag gebruikt, zo hebben de ontwikkelaars in een terugblik op 2018 laten weten. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat de privacy en anonimiteit van gebruikers wil beschermen. Zo loopt het internetverkeer standaard via het Tor-netwerk en laat het geen sporen na op de computer waarop het wordt gebruikt. Dit jaar lag de focus vooral op het vergroten van het gebruiksgemak voor gebruikers. Zo werd elke nieuwe feature met echte gebruikers getest. Ook werd het mogelijk om automatisch bij het starten van Tails aanvullende software te laten installeren en werd het versleutelingsprogramma VeraCrypt in de desktop geïntegreerd. Verder werd het besturingssysteem van een schermvergrendeling voorzien. Een andere belangrijke ontwikkeling waren de reproduceerbare "builds". Tails is opensourcesoftware, wat inhoudt dat gebruikers inzage in de broncode hebben. Er was voorheen echter geen garantie dat het ISO-bestand van Tails ook daadwerkelijk op deze broncode was gebaseerd. Met zogeheten reproduceerbare "builds" is het mogelijk gemaakt om te verifiëren dat de broncode ook voor het ISO-bestand is gebruikt. Dit jaar slaagde Tails er ook in om de inkomsten te diversificeren. Het aandeel van donaties van personen steeg van 17 procent naar 34 procent. De rest van de inkomsten is afkomstig van stichtingen, de Amerikaanse overheid en bedrijven. De ontwikkelaars merken op dat de grotere inbreng van privépersonen de organisatie robuuster en onafhankelijker maakt. De ontwikkeling van Tails kost jaarlijks 200.000 euro. Vorige maand startte Tails een donatiecampagne om 120.000 euro op te halen. bron: security.nl

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in, zo laat securitybedrijf Wordfence weten. Deze plug-in helpt websites en webwinkels om aan de nieuwe Europese privacywetgeving te voldoen. Meer dan 100.000 WordPress-sites hebben de plug-in geïnstalleerd. Ruim drie weken gingen er berichten rond dat er mogelijk een kwetsbaarheid in de plug-in aanwezig was waardoor websites werden gecompromitteerd. Afgelopen woensdag 7 november werd de plug-in door WordPress wegens een kwetsbaarheid uit de officiële repository voor WordPress-plug-ins verwijderd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller adminaccounts en backdoors toevoegen om WordPress-sites zo verder te compromitteren. Op dezelfde dag dat de plug-in werd verwijderd brachten de ontwikkelaars versie 1.4.3 uit die het probleem verhelpt. Aanvallers maken echter misbruik van de kwetsbaarheid om websites te compromitteren die een kwetsbare versie van de plug-in draaien. Verschillende webmasters melden dat er via het beveiligingslek beheerderaccounts zijn aangemaakt en backdoors zijn geüpload. Eigenaren van een WordPress-site met de GDPR Compliance-plug-in krijgen dan ook het dringende advies om naar versie 1.4.3 te updaten en te controleren of er geen onbekende adminaccounts zijn aangemaakt. Ook moet er worden gekeken of de aanvallers geen gebruik hebben gemaakt van WP-Cron om een backdoor te installeren die zichzelf kan vervangen wanneer verwijderd. bron: security.nl