Captain Kirk

Een detector voor het opsporen van malafide websites heeft de vierde editie van de Dutch Open Hackathon 2018 gewonnen. Het evenement is een initiatief van Stichting Dutch Open Innovation, Big Data Innovatiehub, het Kadaster, Koninklijk Instituut Van Ingenieurs (KIVI), KPN, Politie, PostNL en SIDN. Meer dan honderden ontwikkelaars uit binnen- en buitenland namen deel aan het event. Zij konden gebruikmaken van uiteenlopende datasets en programmeerinterfaces (API's) van de partners en sponsors van het evenement. De keuze van de jury viel op CrimeBusterBot, een automatische bot die malafide websites opspoort. Op basis van webcrawling-informatie en het uitvoeren van een dns-analyse kan de bot complete netwerken van malafide websites blootleggen. Bij de ontwikkeling van de CrimeBusterBot zijn machine learning-technieken toegepast die ervoor zorgen dat de tool automatisch websites aanmerkt als mogelijk malafide. In eerste instantie is de toepassing niet direct gericht op consumenten, maar moet het vooral de Politie en SIDN ondersteunen in hun strijd tegen deze vorm van cybercrime. De ontwikkelaars omschrijven CrimeBusterBot als een tool waarmee gebruikers aan de hand van politiegegevens, certificaat en fysieke adresvalidatie kunnen valideren of een website betrouwbaar is. Ook wordt er gebruik gemaakt van data van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. Volgens de jury pakt CrimeBusterBot een relevant probleem aan en maakt het goed gebruik van de data die de partners beschikbaar hebben gesteld. De ontwikkelaars van CrimeBusterBot wonnen met hun eerste plaats een bedrag van 7.500 euro. Ook wonnen zij de pioniersprijs die werd uitgereikt namens SIDN Fonds. bron: security.nl

Het bedrijf achter de populaire privacyplug-in Ghostery heeft afgelopen vrijdag tijdens het versturen van een e-mail over de nieuwe Europese privacywetgeving de e-mailadressen van gebruikers gelekt. Ghostery is een gratis browserplug-in die advertenties en trackers blokkeert en miljoenen gebruikers heeft. Gebruikers die hiervoor kiezen kunnen een Ghostery-account aanmaken en zich op een mailinglist abonneren. Het Ghostery-account geeft toegang tot verschillende features, zoals het synchroniseren van instellingen over meerdere apparaten. Bij het versturen van de e-mail over de privacywetgeving is van sommige van deze gebruikers het e-mailadres gelekt. In een verklaring stelt Ghostery dat het onlangs heeft besloten om met het gebruik van een third-party e-mailplatform te stoppen en e-mailadressen van gebruikers nu via een eigen systeem beheert. Door een "technisch probleem" en "menselijke fout" werden de e-mails over de nieuwe Europese privacywetgeving in batches verstuurd, waarbij het e-mailadres van alle geadresseerde gebruikers in het "To" veld zichtbaar was. Cliqz, dat de eigenaar van Ghostery is, maakt excuses voor het incident. Het bedrijf heeft, zoals de privacywetgeving vereist, melding van het incident gemaakt. Ook gaat het maatregelen nemen om herhaling te voorkomen. bron: security.nl

Onderzoekers hebben vorige week tijdens een beveiligingsconferentie in San Francisco laten zien hoe een akoestische aanval op harde schijven een laptop kan laten crashen en een bewakingscamera kan saboteren. Dat harde schijven voor dergelijke aanvallen kwetsbaar zijn is niet nieuw. Afgelopen december waarschuwden onderzoekers ook al voor akoestische dos-aanvallen. Akoestische resonantie is een fenomeen waarbij een akoestisch signaal op bepaalde frequenties voor vibraties in een voorwerp zorgt, dat in het ergste geval tot de vernietiging van het voorwerp kan leiden. Een doorsnee harde schijf bestaat uit verschillende platters, platte ronde schijven met een dun laagje van ferromagnetisch materiaal, en de lees- en schrijfkoppen, die zich dicht op de platters bevinden. De data wordt op de platters opgeslagen en de koppen zijn verantwoordelijk voor het lezen en schrijven van data. Doordat harde schijven steeds meer data bevatten moeten de lees- en schrijfkoppen zeer nauwkeurig opereren. Een kleine afwijking van de koppen kan voor een storing zorgen en zelfs de platters beschadigen, waardoor er permanente schade ontstaat. Dit keer keken onderzoekers van de Universiteit van Michigan en Zhejiang University hoe akoestische aanvallen werken en wat er tegen kan worden worden gedaan. "Beschikbaarheid is de belangrijkste beveiligingseigenschap van een harde schijf voor consumenten. Zonder beschikbaarheid heeft het weinig zin om naar beveiligingseigenschappen als vertrouwelijkheid en integriteit te kijken", aldus de onderzoekers (pdf). Toch worden magnetische harde schijven nog steeds voor allerlei belangrijke toepassingen gebruikt, waaronder medische apparatuur. Plotselinge bewegingen kunnen dergelijke harde schijven beschadigen en data corrumperen. Uit eerder onderzoek blijkt dat ook dat luide geluiden, zoals schreeuwen en brandalarmen, de harde schijf kunnen laten vibreren. Deze geluiden kunnen ervoor zorgen dat de harde schijf niet meer reageert. "Wat een mysterie blijft is hoe en waarom onbedoelde vibraties bizarre storingen in harde schijven en ongedefinieerd gedrag in besturingssystemen veroorzaken", zo stellen de onderzoekers. Voor het onderzoek keken ze dan ook hoe opzettelijke vibraties op bepaalde frequenties voor permanent dataverlies, crashes en fysieke beschadigingen kunnen zorgen. Zo laten de onderzoekers een Windows 10-laptop via de ingebouwde speakers van de laptop crashen en lukt het ze om een bewakingscamera geen beeld op te laten nemen. Harde schijven beschikken over een "feedback controller" die de schrijf- en leeskoppen op de juiste positie probeert te houden. Het probleem is echter dat deze controller niet weet dat er een aanval plaatsvindt. De onderzoekers besloten daarop wat extra logica aan de controller toe te voegen die informatie over de aanval verstrekt. Een akoestische aanval en de verplaatsing van de koppen is voorspelbaar. Op deze manier kan de feedback controller op de aanval anticiperen en zo de beweging van de koppen compenseren. Dergelijke logica kan via een firmware-update aan de harde schijf worden toegevoegd. bron: security.nl

Onderzoekers hebben bankmalware ontdekt die een nieuwe techniek gebruikt om de browser te manipuleren en zo geld van bankrekeningen te stelen. De meeste banking Trojans injecteren zich in de processen van de browser om zich zo te verbergen en gegevens voor internetbankieren te stelen. De BackSwap-malware kaapt echter verschillende events van de "Windows message loop". De malware zoekt vervolgens naar objecten waarin vermeld staat dat de gebruiker een transactie gaat uitvoeren. Zodra de malware ziet dat een gebruiker geld naar een rekening overmaakt wordt er voor de specifieke bank kwaadaardige JavaScript-code geladen. Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET. Volgens de onderzoeker heeft de nieuwe techniek als voordeel voor de malware-auteur dat de code niet afhankelijk van de browserarchitectuur is en geen speciale rechten vereist. De BackSwap-malware verspreidt zich via e-mailbijlagen en heeft het op vijf banken in Polen voorzien, waaronder ING. Alleen als het slachtoffer een bedrag in een bepaalde bandbreedte overmaakt wordt de malware actief en zal het rekeningnummer wijzigen. Meestal gaat het om een bedrag tussen de 2300 en 4600 euro. bron: security.nl

Google heeft een nieuwe testversie van Chrome uitgerold die over een betere pop-upblocker beschikt. Twintig procent van de meldingen die Chrome-gebruikers op de desktop doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. In Chrome 64 voorkomt de pop-upblocker dat websites met dergelijke content nieuwe tabs of vensters kunnen openen. Webmasters kunnen via de Google Search Console zien of dergelijke content op hun website is aangetroffen en maatregelen nemen. De nieuwe pop-upblocker is nu te testen in de betaversie van Chrome 64. bron: security.nl

Met de lancering van de Windows 10 April 2018 Update is het nu ook mogelijk om in de InPrivate browsing-mode van Microsoft Edge extensies in te schakelen. Net als Chrome en Firefox ondersteunt ook Edge een "private browsing-mode" die geen informatie over bezochte websites op het systeem opslaat. Voorheen was het in deze mode niet mogelijk om extensies in te schakelen. Na installatie van de Windows 10 April 2018 Update kunnen gebruikers echter per extensie bepalen of ze die ook in de InPrivate browsing-mode willen inschakelen. Hoewel Edge de standaard browser van Windows 10 is, heeft de browsers slechts een marktaandeel van zo'n 4 procent. Daarnaast blijft het aantal beschikbare extensies ver achter bij Chrome en Firefox. Waar deze browsers tienduizenden extensies hebben, zijn er voor Edge slechts 90 extensies beschikbaar. bron: security.nl

Mozilla heeft een optie aan Firefox Focus voor Android toegevoegd die gebruikers extra bescherming tegen tracking door adverteerders moet bieden. Firefox Focus is een op privacy gerichte Firefox-versie voor mobiele apparaten die standaard advertenties en trackers blokkeert en het mogelijk maakt om met een druk op de knop alle gegevens te wissen. Tot nu blokkeerde Firefox Focus alle first party trackers op websites waarvan bekend is dat ze gebruikers van website naar website volgen. Iets wat bekendstaat als "cross-site tracking". De nieuwe optie die aan Firefox Focus is toegevoegd geeft gebruikers meer controle over de herkomst van de trackers die gebruikers volgen. Zo is het mogelijk om bijvoorbeeld alle cookies te blokkeren of alleen die van derde partijen. De nieuwste versie van Firefox Focus voor Android is te downloaden via Google Play en als APK-bestand via GitHub. Firefox Focus is ook beschikbaar voor iOS, maar Mozilla maakt geen melding dat de nieuwe feature ook aan deze versie is toegevoegd. bron: security.nl

Een recent gedicht beveiligingslek in Internet Explorer 11 wordt actief door exploitkits aangevallen. Op dinsdag 8 mei kwam Microsoft met een update voor de kwetsbaarheid, die al sinds april het doelwit van gerichte aanvallen was. Bij deze aanvallen maakten de aanvallers echter gebruik van Word-documenten. Zodra gebruikers het toegestuurde kwaadaardige document openden werd de exploit uitgevoerd. Vier dagen geleden verscheen er een publieke exploit voor IE11 op Windows 7 die de kwetsbaarheid via een website aanvalt. In dit geval is alleen het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie voldoende om met een kwetsbare IE11-versie besmet te raken. De publieke exploit is nu onder andere aan de RIG-exploitkit toegevoegd, zo meldt beveiligingsonderzoeker Kafeine van het blog Malware don't need Coffee. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. RIG is één van de populairste exploitkits van het moment. In het verleden werd de RIG-exploitkit onder andere gebruikt voor het infecteren van computers met ransomware en cryptominers. Volgens Net Applications heeft Internet Explorer 11 nog een marktaandeel van ruim 9 procent. bron: security.nl

Ontwikkelaars hebben een gratis opensource-extensie voor Google Chrome gemaakt die controleert of wachtwoorden van gebruikers ooit via een datalek op straat zijn beland. PassProtect, zoals de extensie heet, kijkt hiervoor in een database van meer dan 500 miljoen gelekte wachtwoorden. De database is afkomstig van onderzoeker Troy Hunt, die de afgelopen jaren tal van datalekken verzamelde. PassProtect is ontwikkeld door identiteitsmanagementbedrijf Okta. Aangezien de wachtwoorden die gebruikers invoeren worden vergeleken met eerder gelekte wachtwoorden gaat het hier om gevoelige data. Volgens Okta slaat PassProtect geen wachtwoorden van gebruikers op en verstuurt die ook niet via het netwerk. Hiervoor maakt de extensie gebruik van k-anonimity. Dit is een door Cloudflare ontwikkelde techniek die het mogelijk maakt om wachtwoorden te verifiëren zonder dat het wachtwoord of de volledige hash worden verstuurd. Als gebruikers op een website een wachtwoord invoeren dat onderdeel van een bekend datalek is, zal PassProtect een waarschuwing laten zien. Okta hoopt dat de extensie ervoor zal zorgen dat gebruikers hun wachtwoord na een datalek zullen wijzigen. PassProtect is te downloaden via de Chrome Web Store en de broncode via via GitHub in te zien. Binnenkort verschijnt er een versie voor Firefox. bron: security.nl

Netwerkfabrikant Netgear heeft gebruikers advies gegeven hoe ze hun router tegen de VPNFilter-malware kunnen beschermen. Gisteren lieten onderzoekers van Cisco weten dat de malware wereldwijd al 500.000 routers en NASsen heeft geïnfecteerd. De exacte infectievector is echter nog altijd onbekend. Wel is bekend dat verschillende Netgear-routers zich onder de getroffen apparaten bevinden. Daarop heeft Netgear een aparte security advisory met advies afgegeven. De fabrikant adviseert gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Via deze laatste functie is het mogelijk om de router op afstand te beheren. Standaard staat de functie uitgeschakeld. In het advies wordt uitgelegd hoe gebruikers kunnen controleren of remote management inderdaad staat uitgeschakeld. MikroTik Fabrikant MikroTik, waarvan ook verschillende modellen het doelwit waren, stelt in een reactie dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Het installeren van de nieuwste RouterOS-versie, het besturingssysteem van MikroTik-routers, verwijdert de malware. bron: security.nl

Google heeft juridische stappen tegen verschillende bedrijven genomen die zich bij bedrijven en organisaties als Google voordoen. De scammers claimen dat ze de zoekranking van bedrijven kunnen verbeteren of ze vragen om geld voor diensten die Google gratis levert. Ook dreigen de scammers dat ze de bedrijven uit de zoekresultaten van Google en Google Maps verwijderen. Eerder deze maand nam de Amerikaanse toezichthouder FTC al maatregelen tegen een dergelijk bedrijf voor het misleiden van consumenten. Nu neemt ook Google stappen tegen verschillende van deze bedrijven. Daarnaast heeft de internetgigant technieken ontwikkeld die moeten helpen bij het identificeren van accounts die bij scams zijn betrokken. Verder is er een nieuwe tool ontwikkeld waar bedrijven scammers en beleidsovertredingen kunnen rapporteren en is er een programma gestart dat bedrijven een overzicht van betrouwbare partners toont. Wanneer bedrijven en organisaties worden gebeld door individuen die zich als een Google-medewerker voordoen adviseert Google om te vragen of ze een e-mail vanaf hun Google-account willen versturen. Alleen Google-medewerkers kunnen namelijk e-mail vanaf @google.com versturen. bron: security.nl

Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap. De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken. VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft. "In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen. Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen. Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent. bron: security.nl

Europol heeft vandaag een waarschuwing afgegeven voor fraude die via social engineering plaatsvindt. De opsporingsdienst spreekt zelfs van één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit. Aanleiding voor de waarschuwing is het oprollen van een bende die via social engineering en phishing 8 miljoen euro wist te stelen. De bende deed zich voor als leveranciers van organisaties in de publiek sector. Vervolgens stelden de criminelen dat de organisatie nog een openstaande rekening had. Zodra er contact met de organisatie was gelegd werd die verteld om het geld naar een andere rekening over te maken. Het ging in deze gevallen om een rekening die door een katvanger was geopend. Volgens Europol heeft de bende bijna 700 rekeningen geopend om het geld van hun illegale activiteiten te ontvangen. Het geld werd vervolgens naar internationale bankrekeningen overgemaakt. Ook hield de bende zich bezig met online fraude tegen private instanties. Hierbij werd er gebruik gemaakt van phishing. Tevens maakte de bende zich schuldig aan oplichting door afbeeldingen van websites te kopiëren en zich als legitieme verhuursites voor te doen. Tijdens het onderzoek naar de bende werden 33 mensen in Roemenië en Spanje aangehouden en vijf woningen doorzocht. "Social engineering-gebaseerde fraude blijft één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit, alsmede voor private en publieke instanties. Elk jaar weten georganiseerde criminele organisaties miljarden te verdienen in wat wordt gezien als de één na grootste bron van criminele verdiensten na de drugshandel", aldus Jari Liukku, hoofd van Europols Serious Organised Crime Centre. bron: security.nl

Mozilla is begonnen om Firefox Accounts van tweefactorauthenticatie te voorzien. Dat heeft de opensource-ontwikkelaar via een blogposting laten weten. Via een Firefox Account kunnen Firefox-gebruikers hun bookmarks, wachtwoorden en open tabbladen op meerdere apparaten benaderen. Om gebruikers een extra beveiligingslaag te bieden is het nu mogelijk om tweefactorauthenticatie in te stellen. Gebruikers moeten dan naast hun wachtwoord ook een aanvullende beveiligingscode invoeren. Hiervoor heeft Mozilla gekozen voor de TOTP-standaard (Time-based One-Time Password). TOTP-codes zijn via verschillende authenticator-apps te genereren, zoals Authy, Duo, FreeOTP en Google Authenticator. Daarnaast is er ondersteuning voor recovery-codes toegevoegd in het geval gebruikers toegang tot hun TOTP-applicatie verliezen. Gebruikers kunnen tweefactorauthenticatie via de instellingen instellen. bron: security.nl

Microsoft gaat volgende maand Flash, Shockwave en Silverlight in Office 365 blokkeren, zo heeft de softwaregigant aangekondigd. Volgens Microsoft maken aanvallers gebruik van de plug-ins om Office-gebruikers aan te vallen. Daarnaast worden ze weinig gebruikt en wordt de ondersteuning van Flash en Silverlight door browsers en besturingssystemen afgebouwd. Zo werd er eerder dit jaar nog een zeroday-aanval ontdekt waarbij aanvallers Excel- en Word-documenten gebruikten die een kwaadaardig Flash-object bleken te bevatten. Een andere reden die Microsoft noemt is dat Adobe vorig jaar juli het einde van de ondersteuning van Flash Player aankondigde. De technologie wordt na 2020 niet meer ondersteund. Microsoft zal naar verwachting Silverlight in 2021 niet meer ondersteunen, waarbij sommige browserontwikkelaars en besturingssystemen de technologie al sinds 2016 niet meer ondersteunen. De aanpassing geldt alleen voor Office 365 en niet voor Office 2016,2013 of 2010. Gebruikers van Office 365 en Office 2016 die de maatregel nu al willen invoeren worden door Microsoft naar deze uitleg verwezen. De softwaregigant zal Flash, Shockwave en Silverlight volgende maand in het Office 365 Monthly Channel blokkeren. In september volgt het Office 365 Semi Annual Targeted (SAT) Channel en in januari 2019 is ook als laatste het Office 365 Semi Annual (SA) Channel aan de beurt. Voor gebruikers die bijvoorbeeld Flash willen inschakelen is het mogelijk om dit te "unblocken". bron: security.nl

Aanvallers maken gebruik van SYLK-bestanden om malware te verspreiden, zo waarschuwt het Internet Storm Center (ISC). SYmbolic LinK (SYLK)-bestanden is een bestandsformaat van Microsoft dat met name wordt gebruikt om data tussen applicaties uit te wisselen, met name spreadsheets. In Windows-omgevingen krijgen de bestanden een op Excel-lijkend icoon. De bestanden worden via e-mail verspreid en doen zich voor als een factuur. Wanneer het bestand wordt geopend zal Excel vragen om dynamische content in het bestand bij te werken. In werkelijkheid zorgt dit ervoor dat er malware op het systeem wordt geïnstalleerd. Het bijwerken van de dynamische content is echter afhankelijk van de Excel-instellingen. Naast het vragen om toestemming kan Excel dit ook automatisch doen, zo meldt ISC-handler Xavier Mertens. bron: security.nl

Microsoft heeft besloten om de rechten die "het hart" van de nieuwe Europese privacywetgeving AVG vormen voor alle gebruikers wereldwijd te laten gelden. Het gaat om de "Data Subject Rights" die mensen onder andere het recht geven om te vragen welke informatie Microsoft over hen heeft verzameld en om die data vervolgens aan te passen, te verwijderen of ergens anders mee naar toe te nemen. Ook heeft Microsoft de privacyverklaring voor consumentenproducten en -diensten bijgewerkt. Volgens de softwaregigant gelden de belangrijkste rechten van de AVG nu voor alle gebruikers wereldwijd. Ook bevat de nieuwe verklaring specifieke informatie en aanpassingen met betrekking tot de AVG. "Maar misschien het belangrijkste is dat het ontworpen is om duidelijker en transparanter te zijn", aldus Microsofts Julie Brill. bron: security.nl

Google en Microsoft waarschuwen voor nieuwe Spectre- en Meltdown-aanvallen waardoor aanvallers toegang tot gevoelige informatie kunnen krijgen. De aanvallen, Speculative Store Bypass (SSB) en Rogue System Register Read (RSRE), zijn zogenaamde "speculative execution side channel" aanvallen en maken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. Via RSRE, wat een variant van de Meltdown-aanval is, kan een aanvaller die al lokale toegang tot een systeem heeft via side-channel analyse systeemparameters uitlezen en gevoelige informatie verkrijgen. SSB is een aanval die misbruik maakt van "speculatieve bypass" en maakt het mogelijk voor een aanvaller om oudere geheugenwaarden in de cpu-stack of andere geheugenlocaties uit te lezen. Zodoende kan code met lagere rechten toegang tot data met hogere rechten krijgen en oudere commando's speculatief uitvoeren. Systemen met processors van AMD, ARM en Intel zijn kwetsbaar. De fabrikanten laten weten dat er updates worden ontwikkeld. Volgens Microsoft vormt de SSB-aanval een klein risico voor gebruikers. Daarnaast heeft Microsoft al eerder updates voor Spectre en Meltdown uitgerold die ook in bepaalde gevallen tegen SSB helpen. AMD laat weten dat Microsoft op dit moment aan AMD-specifieke updates werkt die via Windows Update zullen worden uitgerold en tegen de SSB-aanval bescherming bieden. AMD-processors zijn niet kwetsbaar voor de RSRE-aanval. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT), het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en Red Hat hebben meer informatie over de kwetsbaarheden gepubliceerd bron: security.nl

Dell heeft een beveiligingslek in SupportAssist gedicht, een tool die standaard op de nieuwste Dell-apparaten met Windows wordt meegeleverd. SupportAssist controleert de status van de hardware en software op het systeem en zal bij problemen automatisch informatie naar Dell versturen zodat het "probleemoplossingsproces" kan worden gestart. Onderzoeker Bryan Alexander ontdekte een kwetsbaarheid in de driver van SupportAssist waardoor een ongeprivilegieerde gebruiker zijn rechten op het systeem kan verhogen. Volgens Alexander is er niet echt sprake van een bug, omdat de driver de functie waardoor een gebruiker zijn rechten kan verhogen "maar al te graag blootstelt". Dell werd op 5 april over de kwetsbaarheid geïnformeerd. Vorige week woensdag verscheen SupportAssist versie 2.2 waarin het probleem is verholpen, waarop Alexander details over het beveiligingslek openbaar maakte. bron: security.nl

De Duitse overheid heeft processorfabrikanten opgeroepen om nieuwe kwetsbaarheden genaamd Spectre NG te patchen. Begin mei werd bekend dat er nieuwe beveiligingslekken in de processors van Intel aanwezig zijn en mogelijk ook in die van andere fabrikanten. Via de kwetsbaarheden is het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. Ook kan er toegang tot wachtwoorden en encryptiesleutels worden verkregen. Net als de Spectre-lekken die in januari bekend werden gemaakt maken ook de Spectre NG-lekken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. "Aangezien een kortetermijnrevisie van kwetsbare processors in de praktijk niet realistisch is, moeten deze en soortgelijke toekomstige kwetsbaarheden goed worden opgelost. Alleen met de hulp van fabrikantonafhankelijke patches in hardware en software kan de potentiële schade zoveel mogelijk worden beperkt", aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens het BSI, dat de Spectre NG-lekken heeft onderzocht en bevestigd, is het omwisselen van kwetsbare processors alleen op de lange termijn haalbaar. Op dit moment stelt de Duitse overheidsinstantie dat het niet mogelijk is om de zwakke plekken helemaal te verhelpen en kunnen de risico's alleen worden beperkt. Het BSI roept chipfabrikanten dan ook op om de kwetsbaarheden op te lossen. Cloud- en virtualisatieproviders, die met name door deze kwetsbaarheden risico lopen, moeten de impact voor hun diensten bepalen. Als laatste krijgen eindgebruikers het advies om software-updates zo snel mogelijk te installeren. Onlangs werd bekend dat updates voor Intel-processors zijn uitgesteld. bron: security.nl

Mozilla heeft een nieuwe versie van Thunderbird uitgebracht om gebruikers tegen de EFAIL-aanval te beschermen. Via deze aanval, die afgelopen maandag werd geopenbaard, is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. De kwetsbaarheden die voor de aanval worden gebruikt waren gevonden door onderzoekers van de Universiteit van Münster, Ruhr-Universität Bochum en NXP Semiconductors. Thunderbird 52.8 verhelpt in totaal dertien kwetsbaarheden, waaronder twee EFAIL-lekken die de onderzoekers ontdekten. De eerste kwetsbaarheid maakt het mogelijk om via remote content in een versleuteld bericht de onversleutelde inhoud te achterhalen. Het tweede lek betreft de mogelijkheid om via het src-attribuut de inhoud van versleutelde berichten te achterhalen. Eerder deze week liet Mozilla al weten dat gebruikers tot het verschijnen van Thunderbird 52.8 en 52.8.1 remote content moeten uitschakelen (iets wat de standaardinstelling is) en de optie "allow now" voor het laden van remote content in versleutelde e-mails niet moeten toestaan. Updaten naar Thunderbird 52.8 kan via de e-mailclient en Thunderbird.net. bron: security.nl

Het was al langer bekend dat de nieuwste versie van Windows 10 problemen had met verschillende SSD's, maar nu zorgt het bedrijf ervoor dat computers met deze hardware de update niet langer krijgen. Het gaat om de Intel SSD 600p, Intel SSD Pro 6000p, Toshiba XG4, XG5 en BG3-series. Systemen met de Intel drives krijgen te maken met de zwarte UEFI-schermen en kunnen Windows niet meer starten en gebruikers met de Toshiba SSD's krijgen te maken met oververhitte drives en snel leeglopende accu's. Terugdraaien Gebruikers die deze drives in hun systeem hebben en de nieuwste update al hebben geïnstalleerd wordt aangeraden een rollback uit te voeren of, als het herstelproces faalt, de vorige versie van Windows 10 opnieuw te installeren. Microsoft zegt in verschillende ondersteuningsthreads intensief samen te werken met de fabrikanten om het probleem zo snel mogelijk op te lossen. Het is nog niet bekend wanneer er een patch voorhanden is. bron: Webwereld.nl

Microsoft gaat een maatregel aan Edge en Internet Explorer toevoegen die gebruikers extra bescherming tegen cross-site request forgery (CSRF) aanvallen moet bieden. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om dergelijke aanvallen tegen te gaan gaat Microsoft same-site cookies in Edge en IE ondersteunen. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd. Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Een aanvaller die controle over third-party code op de website heeft kan vervolgens in naam van de gebruiker acties op die website uitvoeren. De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen; een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Same-site cookies zijn backwards compatibel. Browsers die het niet ondersteunen zullen het attribuut negeren en het cookie als een normaal cookie beschouwen. Microsoft heeft de maatregel nu al in een testversie van Edge doorgevoerd. Eerder kondigde ook Mozilla aan dat het same-site cookies in Firefox gaat ondersteunen. bron: security.nl

Vanaf september dit jaar zal Chrome bij https-websites niet meer de melding "Veilig" laten zien. Uiteindelijk zal ook het slotje niet meer worden getoond, zo heeft Google aangekondigd. Begin april werd al bekend dat Google dit van plan was, alleen ontbraken toen concrete details. De internetgigant wil de "positieve beveiligingsindicatoren" gaan verwijderen zodat gebruikers alleen worden gewaarschuwd als er iets mis is. "Gebruikers moeten kunnen verwachten dat het web standaard veilig is en ze worden gewaarschuwd wanneer er een probleem is", zegt Emily Schechter, productmanager Chrome Security. In september met de lancering van Chrome 69 zal daarom de melding "Veilig" niet meer worden getoond. Uiteindelijk zal ook het slotje worden uitgefaseerd. Google was eerder van plan om alle http-sites standaard als "Onveilig" te bestempelen. Volgens Schechter was het aantal http-sites echter te groot om die allemaal van een "duidelijke rode waarschuwing" te voorzien. Vanaf oktober, met de lancering van Chrome 70, zal echter bij alle http-sites waar gebruikers data kunnen invoeren een dergelijke waarschuwing verschijnen. "We hopen dat deze aanpassingen voor een web zullen zorgen dat standaard veilig is te gebruiken", aldus Schechter. bron: security.nl

Internationale politieke organisaties die bescherming tegen ddos-aanvallen zoeken kunnen binnenkort bij Google terecht. Google en Jigsaw, beide onderdelen van moederbedrijf Alphabet, hebben daarvoor Project Shield aangekondigd. Een gratis dienst die Google-technologie gebruikt om ddos-aanvallen te voorkomen. Google besloot eerder al om via Project Shield nieuwsorganisaties en mensenrechtenbewegingen wereldwijd tegen ddos-aanvallen te beschermen. Zo werden vorig jaar nog Nederlandse stemwijzers via Project Shield beschermd. In een aankondiging op Medium stelt Google dat politieke organisaties een essentiële rol in het democratische proces spelen en dezelfde verdediging tegen cyberaanvallen verdienen waar nieuwsorganisaties gebruik van kunnen maken. Google merkt op dat er een toename is van digitale aanvallen tegen democratische instellingen, zowel qua frequentie als intensiteit. Om deze aanvallen af te slaan is Project Shield ontwikkeld, dat gebruik maakt van een "reverse proxy multi-layer defense system". Dat houdt in dat verzoeken van eindgebruikers eerst lang Project Shield gaan. Op deze manier kan Google kwaadaardig verkeer filteren. De legitieme verzoeken worden vervolgens naar de website doorgelaten. Amerikaanse politieke organisaties kunnen nu al gebruik van de dienst maken. De komende maanden zal Project Shield ook onder internationale politieke organisaties worden aangeboden. bron: security.nl