Captain Kirk

Op 30 april lanceerde Microsoft de April 2018 Update voor Windows 10 die allerlei beveiligingsverbeteringen en nieuwe privacyinstellingen introduceert, maar de meeste Windows 10-computers hebben de feature-update nog niet geïnstalleerd. Dat zal uiteindelijk wel moeten als deze gebruikers nog beveiligingsupdates willen blijven ontvangen. Volgens Microsoft zijn er inmiddels zo'n 700 miljoen maandelijks actieve Windows 10-systemen. Daarvan hebben 250 miljoen de April 2018 Update geïnstalleerd. Hoewel de meeste Windows 10-computers de update nog missen, verloopt de uitrol sneller dan bij vorige grote feature-updates het geval was. Twee keer per jaar brengt Microsoft een grote feature-update voor Windows 10 uit die allerlei nieuwe features en beveiligingsverbeteringen aan het besturingssysteem toevoegt. Deze feature-updates worden 18 maanden vanaf de lancering ondersteund. Daarna moeten gebruikers naar een volgende feature-update upgraden als ze nog beveiligingsupdates willen blijven ontvangen. Volgens Microsoft is een up-to-date computer niet alleen veiliger, maar zorgt de April 2018 Update ook voor een stabieler systeem. bron: security.nl

Systeembeheerders die Chrome binnen hun organisatie uitrollen en beheren moeten een aantal zaken weten, zo stelt Google. Chrome ondersteunt inmiddels meer dan 300 beleidsopties voor het beheren en beveiligen van de browser op de systemen van medewerkers. Met de lancering van Chrome 66 is het nu mogelijk om gebruikers een melding te laten zien dat ze hun browser opnieuw moeten starten om de installatie van beveiligingsupdates af te ronden. Zo kan er worden gekozen om een herstart te adviseren of te verplichten. Ook kan een herstart na een bepaald aantal dagen worden afgedwongen. Tevens kunnen beheerders bepaalde extensies black- of whitelisten. Verder wijst Google op het verplicht inloggen op een Google-account om Chrome te gebruiken. Systeembeheerders kunnen bepalen of ze beleid op apparaatniveau willen instellen of door de gebruiker laten beheren. Als een gebruiker niet op zijn Google-account is ingelogd, kan bepaald beleid niet worden gehandhaafd, aldus Google. Zo is er het Forced Sign-In-beleid dat gebruikers dwingt om op hun Google-account in te loggen voordat ze Chrome kunnen gebruiken. Op deze manier zijn bepaalde beleidsopties op gebruikersniveau te beheren, zoals het in- of uitschakelen van een wachtwoordmanager of het beheren van verouderde plug-ins. bron: security.nl

Internet Explorer en Flash Player zijn nog het enige doelwit van exploitkits die gebruikers met ongepatchte versies van de software met malware proberen te infecteren. Dat laat anti-malwarebedrijf Malwarebytes weten. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende. Exploitkits waren jarenlang het favoriete middel van cybercriminelen om internetgebruikers met malware te infecteren. Al enige tijd laat het gebruik van exploitkits een neerwaartse trend zien. Dit komt mede door het dalende aantal IE-gebruikers en het toenemende gebruik van modernere browsers. Op dit moment zijn er vier exploitkits effectief, namelijk RIG, GrandSoft, Magnitude en GF Sundown, zo stelt onderzoeker Jerome Segura. De exploitkits maken bij elkaar opgeteld slechts gebruik van drie kwetsbaarheden. Het gaat om twee lekken in Internet Explorer en een kwetsbaarheid in Adobe Flash Player. De IE-lekken werden op 10 mei 2016 en 8 mei 2018 door Microsoft gepatcht, terwijl het Flash Player-lek sinds 6 februari 2018 is gepatcht. Beide kwetsbaarheden uit 2018 waren bij zeroday-aanvallen ingezet. Volgens Segura heeft dit exploitkits een opkikker gegeven. Zo is het de verwachting dat een begin juni gepatcht zeroday-lek in Flash Player ook aan exploitkits zal worden toegevoegd. Gebruikers krijgen dan ook het advies om beveiligingsupdates zo snel als mogelijk te installeren, aangezien dit bescherming tegen de exploitkits biedt. bron: security.nl

Intel heeft een waarschuwing afgegeven voor een kwetsbaarheid in Intel Core-processors waardoor een aanvaller toegang tot gevoelige informatie kan krijgen. Net als bij de Spectre- en Meltdown-aanvallen gaat het om een "speculative execution side channel" aanval, die "Lazy FP state restore" wordt genoemd. Het probleem is aanwezig in de processor zelf en raakt daardoor alle platformen die op een Intel Core-processor draaien en van "Lazy FPU switching" gebruikmaken, zo stellen de onderzoeker van Cyberus Technology die de kwetsbaarheid ontdekten. Interne geheugenregisters in processors slaan gegevens op over de staat van elke applicatie. De staat van een applicatie moet worden opgeslagen en hersteld wanneer er van de ene naar de andere applicatie wordt omgeschakeld, wat rekenkracht kost. Om prestaties te verbeteren wordt Lazy FPU switching gebruikt om de opslag of het herstel van een FPU-staat alleen uit te voeren wanneer dit absoluut noodzakelijk is. Een kwetsbaarheid in de Intel-processors maakt het mogelijk voor een ander proces om toegang tot de staat van een ander proces te krijgen, waardoor er gevoelige informatie kan lekken. Zo kan er toegang tot de inhoud van FPU/MMX/SSE/AVX-registers worden verkregen. "Dit is een groot probleem omdat AES-encryptiesleutels bijna altijd in de SSE-registers staan", zegt computerwetenschapper Colin Percival. De informatie uit de registers kan langs "proces- en virtual machine grenzen" lekken, aldus de onderzoekers die het probleem vonden. Om misbruik van de kwetsbaarheid te maken moet een aanvaller al toegang tot een systeem hebben. Dit kan echter een probleem zijn in bijvoorbeeld shared hosting-omgevingen. Amazon meldt in een advisory dat de eigen infrastructuur niet kwetsbaar is en klanten niet de geheugenstaat van andere klanten kunnen uitlezen. Tegenover The Register verklaart Intel dat Lazy FP state restore gelijk is aan het Spectre NG-lek dat onlangs werd onthuld en al jaren geleden in besturingssystemen en hypervisorsoftware is verholpen. Intel zou nu met industriepartners samenwerken om het probleem in de resterende omgevingen te verhelpen en in de komende weken zouden hiervoor updates moeten verschijnen. Zo zal Red Hat binnenkort met updates voor Red Hat Enterprise Linux 5 en 6 komen en staan er ook updates van Microsoft in de planning. bron: security.nl

De makers van Adblock Plus, de populairste browserextensie van het moment, hebben een nieuwe extensie gelanceerd die fake news op het web moet tegengaan. Trusted News, zoals de extensie heet, geeft de betrouwbaarheid van bezochte websites weer. Hiervoor wordt gebruik gemaakt van de database van MetaCert. Ontwikkelaar Eyeo stelt dat de extensie nadrukkelijk rekening houdt met de privacy van gebruikers. De beoordeling van een website wordt lokaal op het systeem opgezocht en de extensie slaat geen enkele informatie over gebruikers op. Om ervoor te zorgen dat de beoordeling van websites actueel blijft wordt er eens per dag een nieuw overzicht van beoordeelde websites gedownload. Op dit moment bevindt de extensie zich nog in de betafase en werkt alleen in Engelstalige landen. Wanneer gebruikers het niet eens zijn met de beoordeling van een website kunnen ze hierop reageren. "We proberen geen politiek statement te maken of je gedrag te veranderen. We zoeken naar nieuwe manieren om je kritisch te laten nadenken over de websites die je bezoekt", zegt Tom Woolford van Eyeo. De extensie is alleen beschikbaar voor Google Chrome. bron: security.nl

Microsoft heeft criteria voor het patchen van beveiligingslekken gepubliceerd zodat onderzoekers weten waar ze aan toe zijn als ze een kwetsbaarheid bij de softwaregigant melden. Volgens Microsoft willen beveiligingsonderzoekers meer duidelijkheid of een gemelde kwetsbaarheid zal worden gepatcht. De nu gepubliceerde "Security Servicing Commitments" moeten hiervoor zorgen (pdf). Het document stelt dat er twee vragen centraal staan bij de beslissing om een beveiligingsupdate te ontwikkelen. De eerste is of de kwetsbaarheid een belofte van een beveiligingsgrens of beveiligingsfeature van Microsoft schendt. Ten tweede wordt gekeken of het beveiligingslek dusdanig ernstig is dat het in aanmerking voor een update komt. Wanneer het antwoord op beide vragen "ja" is, zal de kwetsbaarheid een update ontvangen. Het document laat verder zien welke beveiligingsgrenzen en beveiligingsfeatures in de producten van Microsoft aanwezig zijn en hoe de ernst van een beveiligingslek wordt bepaald. Daarin laat Microsoft weten dat als een beveiligingslek als Ernstig of Belangrijk is beoordeeld en het betrekking heeft op een beveiligingsgrens of beveiligingsfeature, de kwetsbaarheid via een beveiligingsupdate zal worden verholpen. Ernstige beveiligingslekken zijn kwetsbaarheden waardoor een aanvaller zonder interactie van gebruikers op afstand code op het systeem kan uitvoeren. bron: security.nl

Een beveiligingslek in Microsofts spraakassistent Cortana maakte het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde Windows-computer om op het systeem in te loggen. Cortana kan, wanneer ingeschakeld, ook vanaf een vergrendelde computer worden aangeroepen. Via de spraakassistent is het daarnaast mogelijk om toegang tot een contextueel menu te krijgen. Via dit menu kan er bijvoorbeeld naar bestanden worden gezocht, maar is het ook mogelijk om bijvoorbeeld malware of kwaadaardige scripts op het systeem te plaatsen. Onderzoeker Cedric Cochin van anti-virusbedrijf McAfee ontdekte dat het via Cortana en het contextuele menu ook mogelijk is om het Windows-wachtwoord te resetten en vervolgens toegang tot het systeem te krijgen. Hiervoor maakte de onderzoeker een speciaal script. Het script moet echter nog worden uitgevoerd. De aanvaller kan hiervoor Cortana aanroepen en zo toegang tot het contextuele menu krijgen. Vervolgens kan via het contextuele menu het script voor het resetten van het wachtwoord worden uitgevoerd, zoals Cochin in onderstaande video demonstreert. Microsoft heeft de kwetsbaarheid verholpen, maar volgens de onderzoeker is het verstandig om Cortana op het vergrendelscherm uit te schakelen. bron: security.nl

Google stopt met de inline installatie van Chrome-extensies, waardoor extensies alleen nog direct vanuit de Chrome Web Store zijn te installeren. Dit moet gebruikers tegen misleidende extensies beschermen. Inline installaties werden in 2011 geïntroduceerd als een manier om eenvoudig extensies van de website van een ontwikkelaar te installeren. De extensie wordt nog steeds in de Chrome Web Store gehost, maar gebruikers hoeven niet speciaal naar de Web Store te gaan om de extensie te installeren. Die kan "inline" vanaf de externe website worden geïnstalleerd. Het mechanisme wordt door websites gebruikt om gebruikers te misleiden zodat ze ongewenste extensies installeren. Volgens Google laat de informatie die in de Chrome Web Store bij extensies wordt getoond gebruikers een betere keuze maken. Deze informatie ontbreekt bij inline installaties. Extensies die direct vanuit de Chrome Web Store worden geïnstalleerd zorgen voor minder klachten en worden ook veel minder vaak weer verwijderd ten opzichte van extensies die via inline installaties worden geïnstalleerd. Daarom gaat Google met inline installaties op alle platformen stoppen. Gebruikers kunnen straks alleen nog extensies direct vanuit de Chrome Web Store installeren, zo heeft Google aangekondigd. Vanaf nu is het voor nieuwe extensies niet meer mogelijk om via een inline installatie te worden geïnstalleerd. Vanaf 12 september dit jaar zullen inline installaties voor alle bestaande extensies worden uitgeschakeld. Begin december zal de interface voor inline installaties uit Chrome worden verwijderd. Websites die extensies via inline installaties aanbieden krijgen het advies om de installatieknop op hun website bij te werken. bron: security.nl

Microsoft heeft tijdens de patchcyclus van juni 50 kwetsbaarheden in onder andere Windows, Internet Explorer, Edge en Microsoft Office gedicht, waardoor een aanvaller in het ergste geval volledige controle over het systeem had kunnen krijgen. Een beveiligingslek in Internet Explorer was al openbaar gemaakt voordat de beveiligingsupdate beschikbaar was, maar de kwetsbaarheid is volgens Microsoft niet aangevallen. In totaal zijn 11 beveiligingslekken als ernstig aangemerkt en maken het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren. Drie kwetsbaarheden verdienen volgens Cisco direct aandacht. Het gaat om het eerder genoemde lek in IE, alsmede een kwetsbaarheid in Windows Domain Name System (DNS) en Edge. Daarnaast heeft Microsoft ook de Adobe-noodpatch voor Flash Player die vorige week verscheen uitgerold. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

De versleutelde e-maildienst Tutanota heeft plannen voor een eigen e-mailclient. Tutanota, Latijns voor 'veilige boodschap', heeft het bestrijden van massasurveillance en het bevorderen van privacy als missie. Het probeert dit te bereiken door het versturen van versleutelde e-mail zo eenvoudig mogelijk te maken. Op dit moment is de e-maildienst als webmail of als mobiele app te gebruiken. Het gebruik van een aparte e-mailclient op de desktop wordt niet ondersteund, aangezien clients als Outlook of Thunderbird de ingebouwde encryptie van Tutanota niet ondersteunen. Daarnaast worden e-mails in deze clients onversleuteld opgeslagen, tenzij gebruikers de harde schijf zelf versleutelen. "Als je Tutanota gebruikt moeten we ervoor zorgen dat je data altijd veilig is. Daarom zijn we van plan om in de nabije toekomst onze eigen desktopclient te maken. Door onze eigen clients te maken kunnen we ervoor zorgen dat je data altijd versleuteld wordt opgeslagen, ook wanneer die lokaal op je apparaat wordt bewaard", zegt Arne Möhle, mede-oprichter van Tutanota. Verdere details over deze e-mailclients zijn nog niet gegeven. Wel heeft de e-maildienst een uitleg online gezet van hoe het de privésleutel en data van gebruikers beveiligt. bron: security.nl

Microsoft gaat vanaf volgende maand de ondersteuning van verschillende producten, waaronder Windows 7 en 8.1 en Security Essentials, op het eigen forum stoppen. Medewerkers op het forum zullen dan geen technische ondersteuning meer voor deze producten geven, zo heeft de softwaregigant aangekondigd. De Microsoft Community forums zijn een plek waar gebruikers van Microsoft-producten met hun vragen terecht kunnen. Niet alleen zijn er veel gebruikers die vragen kunnen beantwoorden, ook Microsoft-medewerkers zijn er actief. Vanaf volgende maand zullen er echter verschillende veranderingen plaatsvinden. Zo wordt de ondersteuning voor Windows 7, 8.1 en 8.1 RT, Security Essentials, Internet Explorer 10, Office 2010 en 2013 en verschillende hardware gestaakt. Microsoft-personeel zal voor deze producten geen technische ondersteuning meer op het forum bieden. Ook zullen er geen proactieve reviews, monitoring, beantwoording of het markeren van vragen als beantwoord plaatsvinden. De forums zullen nog wel door Microsoft-personeel worden gemodereerd. De ondersteuning met beveiligingsupdates van Windows 7 eindigt op 14 januari 2020, terwijl Windows 8.1 tot 10 januari 2023 op updates kan rekenen. bron: security.nl

Onderzoekers hebben een nieuwe spamcampagne ontdekt waarbij aanvallers van .IQY-bestanden gebruikmaken om malware te verspreiden. IQY is het bestandstype voor Excel Web Query-bestanden. Het gaat hier om eenvoudige tekstbestanden met een url die wanneer in Excel geopend het opgegeven bestand kunnen downloaden. Standaard moeten gebruikers hier echter toestemming voor geven. Bij de nu waargenomen aanvallen worden e-mails verstuurd die voor niet betaalde facturen waarschuwen. Zodra gebruikers de meegestuurde bijlage openen verschijnt er een waarschuwing van Excel dat dataverbindingen zijn geblokkeerd. Vervolgens laat Excel weten dat gebruikers de dataverbindingen alleen moeten toestaan als ze de bron vertrouwen. Wanneer gebruikers in dit geval de verbindingen toestaan verschijnt er een nieuwe waarschuwing waarin toestemming wordt gevraagd om CMD.EXE te starten. Wanneer de gebruiker ook dit toestaat wordt er een remote acces trojan (RAT) op de computer geïnstalleerd waarmee de aanvaller volledige controle over het systeem krijgt, zo melden My Online Security en securitybedrijf Barkly. Standaard staat Microsoft Office ingesteld om dataverbindingen te blokkeren. Onlangs werd een soortgelijke spamaanval ontdekt waarbij SYLK-bestanden werden ingezet. bron: security.nl

Onderzoekers hebben malware voor WordPress ontdekt die andere malware kan verwijderen en in staat is om WordPress-sites te updaten. Het doel van de malware is om spamcontent op de website van het slachtoffer te plaatsen die bezoekers vervolgens doorstuurt naar de website van een partner. Alle aankopen die op deze website worden gedaan genereren inkomsten voor de aanvaller. De malware beschikt over allerlei features om detectie te voorkomen en de website goed te laten werken, zodat de eigenaar niets doorheeft. Zo kan de malware andere malware verwijderen, de WordPress-site updaten, upgraden of repareren en meerdere backdoors toevoegen. "Het idee hierachter is eenvoudig: Een goede parasiet wil de gastheer in leven houden. Als alles werkt kan het lang duren voordat de eigenaar van een getroffen site weet dat er iets mis is", zegt Mikey Veenstra van securitybedrijf Defiant. Hoe de malware WordPress-sites precies infecteert wordt niet gemeld. Wel melden de onderzoekers dat de malware naar andere websites kan zoeken om daar de "infectieroutine" uit te voeren. bron: security.nl

Google gaat in Chrome 68 maatregelen doorvoeren die moeten voorkomen dat gebruikers ongewenst naar websites worden doorgestuurd. Het gaat dan om content die zich in iframes bevindt. Op dit moment is het via dergelijke iframes mogelijk om zonder interactie van gebruikers een andere website te laden. De functionaliteit wordt door allerlei soorten websites gebruikt, waaronder single-sign-on-providers en betalingsverwerkers. Volgens Google wordt er echter ook veel misbruik van gemaakt, waarbij gebruikers zonder hun medeweten of toestemming naar ongewenste bestemmingen worden doorgestuurd. Met de introductie van Chrome 68 zal content in een iframe niet zomaar meer een andere website kunnen laden. Dit is straks alleen nog mogelijk met toestemming van de gebruiker. Zodra Chrome het gedrag waarneemt, net als bij een pop-up, krijgt de gebruiker de optie om de redirect toe te staan. Ook gaat Google het gebruik van tab-unders aanpakken. Een tab-under is wanneer een pagina zowel een pop-up naar een bepaalde bestemming opent en de openingspagina naar third-party content navigeert. Meestal wordt dit gedrag gebruikt om de gebruiker naar de gewenste bestemming door te sturen, terwijl er tegelijkertijd een tab met een ongewenste bestemming wordt geopend. Ook dit gedrag gaat Chrome blokkeren, waarbij gebruikers vervolgens de mogelijkheid hebben om de redirect toe te staan. Wanneer Chrome 68 verschijnt is nog onbekend. Een bètaversie is nu al te proberen. bron: security.nl

Het actief aangevallen beveiligingslek in Flash Player waarvoor gisteren een noodpatch van Adobe verscheen is ontdekt dankzij VirusTotal, de online virusscandienst van Google. Via de kwetsbaarheid kan een aanvaller volledige controle over de computer krijgen. De aanval werd ontdekt in een Excel-document dat een Flash-object laadde, dat de exploit bevatte. Deze exploit maakte vervolgens misbruik van de op dat moment onbekende kwetsbaarheid, ook wel een zero-day genoemd. In het verleden werden zeroday-lekken in Flash Player vaak via websites aangevallen. Browsers hebben maatregelen tegen allerlei plug-ins genomen, waaronder Flash Player. Microsoft Office ondersteunt echter nog steeds embedded ActiveX-controls. Wat opviel aan het zeroday-lek was dat die door meerdere onderzoekers en securitybedrijven los van elkaar was ontdekt en aan Adobe gerapporteerd. Adobe bedankte in het beveiligingsbulletin voor de kwetsbaarheid de bedrijven ICEBRG, 360 Threat Intelligence Center, Qihoo 360 Core Security en Tencent PC Manager. Gisteren publiceerde 360 Core Security al verschillende details over de aanval, waaronder het gebruik van een Excel-spreadsheet met salarisinformatie. Het bedrijf liet weten dat het de aanval op 1 juni had ontdekt. Nu heeft ook securitybedrijf ICEBRG een analyse online gezet, waarin het zegt de aanval ook op 1 juni te hebben ontdekt. Het bedrijf meldt dat op 31 mei iemand vanaf een ip-adres in Qatar het document naar VirusTotal heeft geüpload. VirusTotal is een dienst van Google waar gebruikers verdachte bestanden door zo'n 60 anti-virusbedrijven kunnen laten scannen. Geüploade bestanden worden echter gedeeld met onderzoekers en securitybedrijven, wat verklaart dat meerdere securitybedrijven op dezelfde dag de kwetsbaarheid vonden. Wie achter de aanval zit en wie het doelwit was is volgens ICBRG niet met zekerheid te zeggen. bron: security.nl

Het Tor Project waarschuwt internetgebruikers voor tracking door Facebook en andere partijen, en adviseert gebruikers van het sociale netwerk om Tor Browser te gebruiken. Volgens Silvia Puglisi is het web veranderd in een systeem van "surveillance-kapitalisme", waar advertentienetwerken gebruikers over het web volgen en continu allerlei persoonlijke informatie verzamelen voor het maken van profielen. "Door het web te gebruiken ben je een doelwit. En vanwege de ongebreidelde tracking op websites word je elke keer dat je het web gebruikt een eenvoudiger doelwit", zo merkt ze op. Zelfs gebruikers die geen cookies accepteren of niet op hun Google- of Facebook-account zijn ingelogd kunnen nog steeds door derde partijen worden gevolgd en geprofileerd. Dit kan via http-verzoeken. Het http-verzoek dat een browser naar een website verstuurt kan allerlei persoonlijke voorkeuren en instellingen bevatten, zoals taal- en fontinstellingen, geïnstalleerde browserextensies en batterijstatus. Door een specifiek http-verzoek tegen een bepaald tijdsvenster, locatie of getoonde interesses af te zetten is het mogelijk om een gebruiker te identificeren. Het is daarom belangrijk dat gebruikers doen wat ze kunnen om door trackers en advertentiebedrijven geëxploiteerd te worden, stelt Puglisi. Ze gaat ook in op de manier waarop Facebook gegevens over mensen verzamelt. Dit gebeurt via like-knoppen, berichten op de sociale netwerksite en mobiele applicaties. Als oplossing adviseert Puglisi het gebruik van Tor Browser. De browser laat gebruikers via het Tor-netwerk surfen, dat hun werkelijke ip-adres afschermt. Daarnaast beschikt Tor Browser over verschillende maatregelen om tracking te voorkomen. Zo kunnen websites en trackers in geopende tabs niet zien wat de gebruiker in de andere tabs doet. Link shimming Daarnaast biedt Tor Browser voor Facebook-gebruikers een techniek genaamd "link shimming". Een link op Facebook.com wijst niet direct naar de bedoelde website, maar eerst naar een url van Facebook. Deze url stuurt de gebruiker vervolgens door naar de bedoelde website. Zodra een link op Facebook.com door een gebruiker wordt geopend ziet Facebook daardoor wie de gebruiker is, waar die vandaan komt en waar die naar toe gaat. Facebook gebruikt echter code om link-tracking voor gebruikers te verbergen. Zodra die met hun muis over een link bewegen lijkt die gewoon direct naar de bedoelde website te gaan en wordt de tracking-link verborgen. Wanneer gebruikers de link openen wordt de tracking-link alsnog uitgevoerd. Om dit tegen te gaan stript Tor Browser alle tracking-links op Facebook, zodat gebruikers direct naar de bedoelde website gaan, zonder dat dit eerst langs Facebook gaat. De techniek werd eerder al aan de Privacy Badger-extensie voor Chrome, Firefox en Opera toegevoegd. bron: security.nl

Deze week liet een beveiligingsonderzoeker weten dat 115.000 Drupal-sites een ernstig beveiligingslek bevatten waardoor aanvallers de websites op afstand kunnen overnemen, maar het Drupal-ontwikkelteam bestrijdt dit. Voor zijn onderzoek keek Troy Mursch van Bad Packets Report naar het bestand changelog.txt dat op elke Drupal-website te vinden is. Daarin staat vermeld op welke Drupal-versie de website draait. Volgens het Drupal-ontwikkelteam is dit geen goede manier om te bepalen of een website kwetsbaar is. Het is namelijk mogelijk dat de beheerder alleen een beveiligingsupdate heeft geïnstalleerd, waardoor het changelog-bestand niet is aangepast. "We vinden dat de genoemde getallen onnauwkeurig zijn en het is misleidend om aan de hand van deze spaarzame informatie conclusies te trekken", aldus het ontwikkelteam. In een reactie stelt Mursch dat het inderdaad mogelijk is dat de websites in kwestie de beveiligingsupdate hebben geïnstalleerd. De enige manier om dit te valideren is het uitvoeren van de exploit, wat strafbaar is. Dat neemt niet weg dat het een feit is dat er 115.000 Drupal-sites op een verouderde versie draaien. Iets wat volgens de onderzoeker nooit verstandig is. bron: security.nl

Hardwarefabrikant Creative, vooral bekend van geluidskaarten voor computers, heeft het eigen forum gesloten nadat van ruim 480.000 gebruikers de gegevens zijn gestolen. Het forum, dat op een oude versie van forumsoftware vBulletin draaide, werd vorige maand gehackt. Bij de hack werden 483.000 unieke e-mailadressen buitgemaakt, alsmede gebruikersnamen, ip-adressen en gesalte md5-wachtwoordhashes. Naar aanleiding van de hack is het forum nu door Creative gesloten, zo meldt onderzoeker Troy Hunt. De hardwarefabrikant maakt in de aankondiging geen melding van de hack. De e-mailadressen zijn toegevoegd aan de website Have I Been Pwned, waar gebruikers kunnen controleren of ze slachtoffer van een bekend datalek zijn geworden. 63 procent van de e-mailadressen in het Creative-lek komt ook in andere door Have I Been Pwned geïndexeerde datalekken voor. bron: security.nl

Kwaadwillende springen graag in op bedreigingen van andere. Het beste is de raad en stappen van abbs te volgen en even op zijn antwoord te wachten. Tot die tijd moet je niet op onbekende meldingen klikken of gebruikersnamen en wachtwoorden invullen. Hiermee activeer je alleen maar de aanval en wordt herstel heel lastig tot zelfs onmogelijk.

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat met zijn 35 megabyte opmerkelijk groot is en de Master Boot Record (MBR) van de harde schijf vervangt. De omvang van de RedEye-ransomware is te verklaren door drie wav-bestanden en verschillende afbeeldingen. De drie audiobestanden worden gebruikt voor het afspelen van een "eng" geluid, dat als doel heeft om de gebruiker bang te maken, aldus onderzoeker Bart Blaze. Naast het versleutelen van bestanden vervangt de ransomware ook de MBR van de harde schijf. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. De ransomware zegt dat het bestanden met AES256 versleutelt, maar Blaze ontdekte dat de bestanden op zijn machine met 0 bytes werden overschreven of gevuld, waardoor ze onbruikbaar werden. Wat ook opvalt is dat de vervangen MBR verwijzingen naar het YouTube-kanaal van de auteur bevat, aldus onderzoeker Jakub Kroustek. Hoe de ransomware wordt verspreid laten de onderzoekers niet weten. bron: security.nl

Adobe heeft net een noodpatch uitgebracht voor een ernstig beveiligingslek in Flash Player dat actief wordt gebruikt bij het aanvallen van Windows-gebruikers. Volgens Adobe gaat het om "beperkte, gerichte aanvallen" waarbij Microsoft Office-documenten met embedded Flash-content worden gebruikt. Zodra een gebruiker het document opent wordt Adobe Flash Player aangeroepen en de exploit uitgevoerd, waarna de aanvallers bijvoorbeeld malware op het systeem kunnen installeren. Het aangevallen beveiligingslek is door verschillende securitybedrijven en onderzoekers los van elkaar ontdekt en aan Adobe gerapporteerd. Naast de aangevallen kwetsbaarheid zijn er ook drie andere kwetsbaarheden verholpen, waarvan er ook één als ernstig is aangemerkt. Adobe adviseert gebruikers van Flash Player om de update zo snel als mogelijk te installeren, waarbij als voorbeeld 72 uur wordt gegeven. Gebruikers krijgen het advies om te updaten naar Flash Player 30.0.0.113. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers om de update "snel" te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. bron: security.nl

Meer dan vijftig cameramodellen van fabrikant Foscam zijn door drie kwetsbaarheden op afstand over te nemen, waarbij alleen het kennen van het ip-adres voldoende is. Gebruikers krijgen dan ook het dringende advies om de firmware te updaten, aangezien details over de lekken nu openbaar zijn gemaakt. De problemen werden gevonden door onderzoekers van securitybedrijf Vdoo. Ze ontdekten dat het mogelijk was om zonder authenticatie willekeurige bestanden van de camera te verwijderen. Daarnaast konden de onderzoekers door het versturen van een get-request een buffer overflow veroorzaken. Als laatste waren de camera's kwetsbaar voor shell command injection. Door de drie kwetsbaarheden te combineren was het mogelijk voor een aanvaller om vanaf het internet of een lokaal netwerk root-toegang te krijgen. Het enige dat hiervoor was vereist was het ip-adres of de dns-naam van de camera. Vdoo waarschuwde Foscam dat inmiddels firmware-updates heeft uitgebracht. Meer dan 50 cameramodellen waren kwetsbaar en gebruikers wordt aangeraden om de firmware te updaten. De camera's beschikken niet over een automatische updatefunctie, wat inhoudt dat gebruikers dit zelf moeten doen. bron: security.nl

Google heeft een nieuwe Chrome-versie uitgerold wegens een beveiligingslek waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen. Het beveiligingsprobleem bevond zich in de manier waarop Chrome met de CSP-header van websites omging. Content Security Policy (CSP) is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen. Via CSP kunnen beheerders domeinen opgeven die de browser als geldige aanbieder moet beschouwen voor het uitvoeren van scripts. Een browser die CSP ondersteunt zal dan alleen nog maar bestanden uitvoeren die afkomstig zijn van domeinen op de whistelist en alle andere scripts negeren. De kwetsbaarheid, die door onderzoeker Michal Bentkowski werd ontdekt en gerapporteerd, wordt door Google als "high" omschreven. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Hoeveel Bentkowski voor zijn bugmelding krijgt is nog niet bekendgemaakt. Gebruikers krijgen het advies om naar Chrome 67.0.3396.79 te updaten, wat op de meeste systemen automatisch zal gebeuren. Het aantal Nederlandse Chrome-gebruikers op de desktop kende volgens StatCounter een sterke stijging in mei. De browser zou inmiddels een marktaandeel van bijna 64 procent hebben. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgerold die gebruikers kan waarschuwen als er wordt geprobeerd om toegang tot de microfoon te krijgen. Via de privacyinstellingen van het besturingssysteem kunnen gebruikers aangeven of en welke apps de microfoon mogen gebruiken. Wanneer het gebruik van de microfoon in de privacyinstellingen staat uitgeschakeld en een app probeert om toegang te krijgen zal Windows 10 bij de eerste keer een notificatie tonen dat het gebruik van de microfoon is geblokkeerd. Vervolgens is het via de notificatie mogelijk om de privacyinstellingen aan te passen. De nieuwe "privacyverbetering" is te testen in Windows 10 Insider Preview Build 17686. Wanneer de feature onder de normale versie zal worden uitgerold is nog niet bekend. bron: security.nl

De VPNFilter-malware die allerlei routers infecteert kan ook computers in het achterliggende netwerk aanvallen. Dat hebben onderzoekers van Cisco bekendgemaakt. In mei werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven. VPNFilter wordt omschreven als een "multi-stage, modulair platform". Volgens de onderzoekers had de malware drie modules, maar alleen de eerste twee modules waren beschreven. Nu is er ook een analyse van de derde module online verschenen. Deze derde module genaamd "ssler" maakt het mogelijk om man-in-the-middle-aanvallen op computers in het netwerk uit te voeren. De malware kan kwaadaardige code in het webverkeer injecteren, zonder dat gebruikers dit door hebben. Zo is het mogelijk om bijvoorbeeld exploits in het webverkeer te injecteren en achterliggende systemen over te nemen. Ssler onderschept hiervoor al het verkeer dat voor poort 80 bedoeld. De iptables-firewall van het apparaat wordt hiervoor aangepast zodat al het verkeer voor poort 80 naar een lokale service op poort 8888 wordt doorgestuurd. Alle uitgaande webverzoeken op poort 80 worden door ssler onderschept en kunnen worden bekeken en gemanipuleerd voordat ze naar de bedoelde http-dienst worden doorgestuurd. Daarnaast worden in alle http-verzoeken vermeldingen van https:// vervangen door http://. Op deze manier is het mogelijk om gevoelige gegevens te onderscheppen, aldus de onderzoekers. Volgens Cisco laat de derde module van VPNFilter zien dat de malware veel gevaarlijker is dan eerst werd aangenomen. Daarnaast laten de onderzoekers weten dat veel meer routers kwetsbaar zijn, waaronder modellen van fabrikanten Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE. In eerste instantie werd gemeld dat de malware het alleen op apparaten van Linksys, MikroTik, Netgear en QNAP had voorzien. Hoe de apparaten precies besmet raken is nog altijd onbekend. bron: security.nl