Captain Kirk

Gratis virusscanners doen niet onder voor betaalde anti-viruspakketten, zo blijkt uit een verzameling van 'real-world' anti-virustests die door het Oostenrijkse testlab AV-Comparatives werden uitgevoerd. Voor de tests, die van februari tot en met juni van dit jaar plaatsvonden, werd er met echte besmette links en drive-by downloads op internet getest. In de testperiode werden er 1080 kwaadaardige links en websites met een gepatcht Windows 10-systeem bezocht. F-Secure en Trend Micro weten alle malware-exemplaren zonder tussenkomst van de gebruiker te blokkeren. De gratis versies van Avast en AVG missen zes exemplaren. Microsofts Windows Defender, de in Windows 10 ingebouwde virusscanner, mist één exemplaar. In twintig andere gevallen was het aan de gebruiker om te bepalen of de malware werd uitgevoerd of niet. Van de achttien virusscanners eindigt Quick Heal onderaan. Dit anti-viruspakket mist 19 malware-exemplaren en laat de gebruiker twintig keer beslissen. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. F-Secure en Trend Micro, die zo goed presteerden bij de detectie van malware, gaan nu hard onderuit. F-Secure gaat maar liefste 111 keer de fout in, terwijl Trend Micro 38 keer vals alarm geeft. Ook Symantec heeft moeite met dit onderdeel, zo blijkt uit de 24 valse waarschuwingen. Emsisoft, Kaspersky Lab en VIPRE presteren op dit onderdeel het beste met één false positive. Vanwege het grote aantal false postives krijgen F-Secure, Trend Micro en Symantec een lagere uiteindelijke beoordeling. Uiteindelijk worden Avast, AVG, Avira, Bitdefender, Kaspersky Lab, McAfee, Tencent en VIPRE als 'Advanced+' beoordeeld, de hoogste beoordeling. De gratis virusscanners van Microsoft en Panda worden als Advanced beoordeeld, net als de oplossingen van Symantec, ESET, Trend Micro en F-Secure. De oplossing van BullGuard eindigt onderaan en krijgt alleen de vermelding "getest". bron: security.nl

Een beveiligingslek in de pdf-lezer van Google Chrome is eind juni "per ongeluk" verholpen, zo meldt onderzoeker Zhou Aiting van het Qihoo 360 Vulcan Team. Aiting had op 17 april een kwetsbaarheid in de pdf-lezer van Chrome gevonden waardoor een aanvaller willekeurige code had kunnen uitvoeren. De kwetsbaarheid alleen was niet voldoende om uit de sandbox van Chrome te beveiligen, waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen of aanpassen. Twee dagen nadat Google door de onderzoeker was ingelicht werd er een patch voor het probleem ontwikkeld. Deze patch werd op 10 mei onder Chrome-gebruikers uitgerold. Voor zijn bugmelding ontving Aiting 5.000 dollar. De onderzoeker ontdekte dat de patch niet volledig was en het nog steeds mogelijk bleek om het beveiligingslek aan te vallen. Eind juni kwam er echter een onverwachte oplossing voor het probleem. Google besloot namelijk het datatype waardoor de aanval mogelijk was in de pdf-lezer te verwijderen en door het gebruik van een vector te vervangen. Daardoor werd ook de kwetsbaarheid "per ongeluk" verholpen, aldus Aiting. bron: security.nl

Het ontwikkelplatform GitHub gaat ontwikkelaars voortaan waarschuwen als ze voor hun softwareproject gebruikmaken van Python-packages met bekende kwetsbaarheden. Het kan dan bijvoorbeeld gaan om softwarebibliotheken of opensourceprogramma's waar het project gebruik van maakt. Meer dan 75 procent van de GitHub-projecten heeft dergelijke "dependencies". De waarschuwingen laten ontwikkelaars weten waar de kwetsbaarheid zich bevindt, wat die precies inhoudt en wat een mogelijke oplossing is. Bij publieke repositories staan de waarschuwingen automatisch ingeschakeld. De beveiligingswaarschuwingen werden eind vorig jaar ingevoerd voor JavaScript en Ruby. GitHub wist op deze manier miljoenen kwetsbaarheden in softwareprojecten van gebruikers te ontdekken. Vanaf deze week wordt ook Python ondersteund. Op dit moment worden Python-gebruikers voor een aantal recente kwetsbaarheden gewaarschuwd. GitHub is echter van plan om de komende weken ook oudere Python-kwetsbaarheden aan de database toe te voegen, zo laat het ontwikkelplatform in een blogposting weten. bron: security.nl

De makers van het op privacy gerichte besturingssysteem Tails zoeken mensen die willen helpen met het testen van de nieuwe VeraCrypt-support. VeraCrypt is een programma voor het versleutelen van systemen en bestanden. Tails heeft nu ondersteuning voor VeraCrypt in het besturingssysteem ingebouwd, zodat gebruikers eenvoudig hun met VeraCrypt versleutelde schijven en containers kunnen ontsleutelen. De VeraCrypt-ondersteuning is in een nieuwe bètaversie te testen. De ontwikkelaars hopen op feedback van gebruikers, zoals de aanwezigheid van bugs, de bruikbaarheid van de feature, of er dingen duidelijker kunnen en of er technische problemen zijn. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

De software van securitybedrijf Malwarebytes blokkeert verschillende dubieuze adblockers wat voor vragen van gebruikers heeft gezorgd. "Het gaat hier niet om een false positive", zo laat het bedrijf weten. Onder andere in de Chrome Web Store verschijnen geregeld malafide extensies die zich als bekende adblocker voordoen. Zo werd in april bekend dat miljoenen Chrome-gebruikers een nep-adblocker hadden geïnstalleerd. Om gebruikers te beschermen blokkeert Malwarebytes verschillende van deze nep-adblockers. Het gaat om AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube en Webutation. Aangezien de mogelijkheden van Malwarebytes zijn beperkt om de extensies volledig te verwijderen worden de domeinen geblokkeerd waar de extensies verbinding mee maken. In het geval gebruikers een waarschuwing over een malafide extensie krijgen doen ze er verstandig aan om die te verwijderen, aldus het advies van het securitybedrijf. Verder wordt gebruikers aangeraden om eerst de extensie te controleren voordat ze die installeren. bron: security.nl

Hostingbedrijf DomainFactory heeft klanten gewaarschuwd voor een datalek en adviseert om van allerlei diensten het wachtwoord te wijzigen. Volgens de hostingprovider, die onderdeel van GoDaddy is, heeft de aanvaller mogelijk toegang gehad tot klantnamen, bedrijfsnamen, klantnummers, adresgegevens, e-mailadresssen, telefoonnummers, het DomainFactory-telefoonwachtwoord, geboortedatum en banknaam en rekeningnummer. Details over hoe de aanvaller toegang wist te krijgen worden niet gegeven, behalve dat de gebruikte aanvalsvector is beveiligd en er aanvullende maatregelen zijn genomen om ongeautoriseerde toegang te voorkomen. DomainFactory stelt dat met gecompromitteerde gegevens identiteits- en bankfraude kan worden gepleegd. Klanten krijgen dan ook het advies hun bankafschriften in de gaten te houden. Daarnaast worden klanten aangeraden om hun klanten-, telefoon-, e-mail-, ftp-, ssh- en database-wachtwoorden te wijzigen. DomainFactory geeft verder aan dat het melding heeft gedaan bij de Duitse beschermingsautoriteit. bron: security.nl

Aanvallers zijn erin geslaagd om certificaten van netwerkbedrijf D-Link en Changing Information Technologies te stelen die worden gebruikt voor het signeren van software en hebben daarmee hun malware gesigneerd. De gestolen certificaten werden gebruikt voor het signeren van de Plead-malware en een gerelateerde wachtwoordsteler. De Plead-malware is een backdoor die aanvallers op afstand volledige controle over het systeem geeft, zo meldt anti-virusbedrijf ESET. Via de wachtwoordsteler werden in Google Chrome, Internet Explorer, Microsoft Outlook en Mozilla Firefox opgeslagen wachtwoorden gestolen. Het bij D-Link gestolen certificaat werd op 3 juli ingetrokken, een dag later volgde het certificaat van Changing Information Technology. Toch maken de aanvallers nog steeds van dit laatste certificaat gebruik voor het signeren van hun malware. Hoe de aanvallers de certificaten konden stelen is onbekend. Door hun malware met de gestolen certificaten te signeren konden de aanvallers die als legitieme applicatie voordoen en heeft de malware een grotere kans om niet te worden opgemerkt. Het komt vaker voor dat aanvallers gestolen certificaten voor hun malware gebruiken. Een bekend voorbeeld is de Stuxnet-worm die gebruikmaakte van certificaten die bij RealTeak en JMicron waren gestolen. Volgens anti-virusbedrijf Trend Micro is de Plead-malware tegen de Taiwanese overheid en private organisaties ingezet. De aanvallers hebben het daarbij vooral op vertrouwelijke documenten voorzien. Om de malware te verspreiden maken de aanvallers gebruik van spearphishingmails die een kwaadaardige bijlage bevatten of naar de malware linken. De meegestuurde of gelinkte bestanden doen zich voor als documenten en maken gebruik van de right-to-left-override (RTLO) techniek om de bestandsextensie van de malware te verbergen. bron: security.nl

Firefox gaat gebruikers beter uitleggen waarom ze bij het bezoeken van een website een certificaatwaarschuwing krijgen. Websites die een beveiligde verbinding aanbieden maken hiervoor gebruik van een tls-certificaat. De browser controleert voor het opzetten van de verbinding de geldigheid van het certificaat is. Als er een probleem wordt aangetroffen geeft de browser een waarschuwing. Certificaatwaarschuwingen kunnen voor verschillende redenen worden gegeven, zoals de tijd van de computer die niet goed staat ingesteld of een verlopen certificaat. Het kan echter ook gaan om een man-in-the-middle-aanval waarbij een aanvaller via een malafide tls-certificaat gegevens van de gebruiker probeert te stelen. Firefox zal nu beter aan gebruikers uitleggen wat het exacte probleem is, wat ze eraan kunnen doen en de gebruiker een optie bieden om de pagina te verlaten. De nieuwe waarschuwing moet in Firefox 63 verschijnen, die voor 23 oktober gepland staat. bron: security.nl

Er is een nieuwe variant van de GandCrab-ransomware ontdekt die Windows XP-systemen via smb kan infecteren, waarmee het de eerste ransomware is die dit kan, zo stelt beveiligingsonderzoeker Kevin Beaumont. Oorspronkelijk werd de ransomware via e-mailbijlagen en besmette advertenties verspreid. De nieuwste variant maakt echter ook gebruik van een smb-exploit om systemen te infecteren. Het gaat zowel om oudere Windows-versies als Windows XP en Server 2003, als nieuwere edities. De exploit maakt hiervoor gebruik van een kwetsbaarheid die ook door de WannaCry-ransomware werd gebruikt en vorig jaar maart door Microsoft werd gepatcht. Hoewel WannaCry en Windows XP vaak samen werden genoemd werkte de exploit van WannaCry niet standaard tegen Windows XP-computers. De meeste machines die WannaCry infecteerde draaiden op Windows 7. De exploit waar GandCrab over beschikt werkt wel tegen XP. Daarmee is het de eerste ransomware die Windows XP-systemen op een wormachtige manier kan besmetten, aldus Beaumont. Volgens de onderzoeker worden meestal organisaties met een slechte beveiliging door de ransomware getroffen en kan de meeste anti-virussoftware het vrij snel detecteren. Nu de ransomware ook legacy-systemen zoals XP en Server 2003 kan besmetten kunnen ook oudere omgevingen risico lopen waar bijvoorbeeld geen anti-virussoftware wordt gebruikt. Beheerders krijgen dan ook het advies om Microsoft Bulletin MS17–010 te installeren, aangezien deze update bescherming tegen de smb-exploit biedt. bron: security.nl

Onderzoekers van anti-virusbedrijf Kaspersky Lab hebben een malware-exemplaar ontdekt dat kijkt of de besmette computer geschikt is voor ransomware of dat er beter een cryptominer kan worden geïnstalleerd. Voor de verspreiding van de malware wordt er van e-mailbijlagen gebruikgemaakt. De bijlagen bevatten een Word-document dat van een embedded uitvoerbaar bestand is voorzien en de gebruiker vraagt om binnen Word Bewerken in te schakelen. Als gebruikers op het embedded bestand klikken verschijnt er een waarschuwing van Windows User Account Control. Wanneer de gebruiker het bestand toestaat om aanpassingen aan de computer te maken wordt er een downloader uitgevoerd. Deze downloader bepaalt met welke malware de computer wordt geïnfecteerd. Hiervoor kijkt de downloader naar de aanwezigheid van een map genaamd "Bitcoin" in de map AppData. Als deze map bestaat wordt er ransomware geïnstalleerd. Wanneer de map niet wordt aangetroffen en de computer over meer dan twee logische processors beschikt, zal er een cryptominer worden geïnstalleerd. Deze cryptominer gebruikt de computer voor het delven van cryptovaluta. Als er geen Bitcoin-map en slechts één logische processor aanwezig is probeert de downloader zich via gedeelde mappen naar alle computers in het lokale netwerk te kopiëren. Ongeacht of de ransomware of cryptominer wordt geïnstalleerd kijkt de downloader of er bepaalde anti-virussoftware actief is. Wanneer deze virusscanners niet worden aangetroffen zal de downloader Windows Defender uitschakelen. Gedurende de operatie verstuurt de downloader e-mails met informatie over het systeem naar de aanvaller. Het gaat onder andere om computernaam en ip-adres. De malware is vooral in Rusland en Kazachstan aangetroffen. bron: security.nl

Veel tweedehands geheugenkaartjes bevatten privégegeven van de vorige eigenaar, zo hebben onderzoekers van de Universiteit van Hertfordshire vastgesteld. Voor hun onderzoek kochten ze honderd geheugenkaartjes via eBay, veilingen en tweedehandswinkels. Vervolgens werd er van de geheugenkaartjes een forensische kopie gemaakt en geanalyseerd. De onderzoekers vonden intieme foto's en selfies, kopieën van paspoorten, contactlijsten, navigatiebestanden, pornografie, cv's, browsegeschiedenis, identificatienummers en andere belangrijke persoonlijke documenten. Via de navigatiebestanden was het bijvoorbeeld mogelijk om de thuislocatie van de gebruiker te bepalen, alsmede afgelegde locaties en als "interessant" aangemerkte plekken. 36 van de onderzochte geheugenkaartjes waren helemaal niet door de eigenaar of verkoper gewist. 29 kaartjes waren geformatteerd, maar konden nog steeds zonder veel moeite worden hersteld. Van twee kaartjes waren de gegevens wel verwijderd, maar nog steeds terug te vinden. Een kwart van de aangeschafte kaartjes was grondig gewist via een wistool en bevatte geen terug te halen informatie. Vier kaartjes waren defect en de resterende vier bleken geen data te bevatten. De reden hiervan kon echter niet worden vastgesteld. "Zoals dit onderzoek laat zien is het probleem niet dat mensen hun sd-kaart niet leegmaken; het is dat ze het niet goed doen. Het gewoon verwijderen van een bestand van een apparaat verwijdert alleen de verwijzing naar het bestand op de geheugenkaart. Het verwijdert niet de enen en nullen waar het bestand uit bestaat. De data blijft op de kaart totdat het door iets anders wordt overschreven", zegt Paul Bischoff van Comparitech. Hij merkt op dat geheugenkaartjes volledig moeten worden gewist en geformatteerd voordat ze worden weggedaan. bron: security.nl

WordPress heeft een belangrijke beveiligingsupdate uitgebracht die een kwetsbaarheid verhelpt waardoor kwaadwillende gebruikers bestanden buiten de upload-directory konden verwijderen en wanneer er aan bepaalde voorwaarden werd voldaan ook de website konden overnemen. Om de aanval uit te voeren moest een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" was al voldoende om de kwetsbaarheid te misbruiken. De kwetsbaarheid werd meer dan 7 maanden geleden aan WordPress gerapporteerd en eind juni door een securitybedrijf openbaar gemaakt, aangezien er nog steeds geen update beschikbaar was. Naast de kwetsbaarheid zijn in WordPress 4.9.7 ook zeventien niet security-gerelateerde bugs verholpen. Beheerders van WordPress-sites krijgen het advies om direct hun websites te updaten. Dit kan via WordPress.org en de automatische updatefunctie van het contentmanagementsysteem. WordPress draait op 30 procent van alle websites. bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft richtlijnen gepubliceerd die moeten helpen bij het ontwikkelen van veilige software. Volgens het NCSC is het bij de ontwikkeling van veilige software niet alleen van belang om op technisch vlak kwetsbaarheden te voorkomen of verhelpen, maar moeten ook de processen zo zijn ingericht dat ontwikkelaars goed hun werk kunnen doen. De "Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software" moeten hierbij helpen (pdf). De richtlijnen zijn ingedeeld volgen het SIVA-raamwerk. Dit raamwerk beschrijft richtlijnen voor het beleids-, uitvoerings- en beheersingsdomein. De beleids- en beheersingsdomeinen zijn daarin overkoepelend van toepassing over het gehele applicatiestelsel. De uitvoeringsrichtlijnen zijn afhankelijk van het type software. Concreet noemt het document zaken als het opstellen van een informatiebeveiligingsbeleid, het toepassen van risicomanagement, processen voor penetratietests, logging, monitoring en patchmanagement. Het document van het NCSC is bedoeld voor securitymanagers, it-auditors en personen die betrokken zijn bij het ontwerp­ en ontwikkelproces, de implementatie en het beheer van applicaties. bron: security.nl

Gebruikers van Windows 7 ontvangen na 3 weken weer signature-updates voor Windows Defender, het ingebouwde anti-malwareprogramma van Microsoft. Windows Defender wordt via Windows Update met nieuwe signatures bijgewerkt, maar had sinds 11 juni geen updates meer ontvangen. De bekende anti-virusveteraan Vesselin Vladimirov Bontchev meldde gisteren op Twitter dat het programma weer wordt geüpdatet. Iets dat door Windows-expert Woody Leonhard wordt bevestigd. Windows Defender op Windows 7 is een basale tool die Microsoft eigenlijk door Security Essentials heeft vervangen. Afhankelijk van de gebruikte anti-virussoftware op het systeem wordt Windows Defender uitgeschakeld. Waarom Defender de afgelopen weken niet werd bijgewerkt is onbekend. bron: security.nl

Google en Mozilla hebben de browserextensie Stylish uit hun stores verwijderd omdat die de browsegeschiedenis van ruim 2 miljoen gebruikers verzamelde en terugstuurde naar de ontwikkelaar. Via Stylish konden gebruikers het uiterlijk en de gebruikersinterface van websites aanpassen. Vorig jaar januari werd de extensie echter van "bonus-spyware" voorzien die alle websites opslaat die gebruikers bezoeken, aldus onderzoeker Robert Heaton in een analyse van de extensie. Naar aanleiding van zijn onderzoek werden Google en Mozilla gevraagd om de extensie te verwijderen en blokkeren. Volgens Mozilla heeft Stylish de regels geschonden en is het daarom uit de store verwijderd en ook bij gebruikers uitgeschakeld. Stylish was door zo'n 300.000 Firefox-gebruikers geïnstalleerd. Daarnaast maakten bijna 1,9 miljoen Chrome-gebruikers gebruik van de extensie. Stylish is echter niet meer in de Chrome Web Store te vinden. Google heeft geen verklaring gegeven en het is onduidelijk of die ook bij Chrome-gebruikers is verwijderd. In het verleden heeft Google vaker malafide extensies uit de Web Store verwijderd, maar moesten gebruikers die vervolgens zelf in Chrome verwijderen. bron: security.nl

Mozilla heeft opnieuw een update voor de e-mailclient Thunderbird uitgebracht die gebruikers tegen de EFAIL-aanval moet beschermen, alsmede tegen aanvallen via SettingContent-ms-bestanden. Via de EFAIL-aanval is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. Thunderbird 52.9 verhelpt in totaal twaalf kwetsbaarheden, waaronder twee EFAIL-lekken. Via de twee kwetsbaarheden is het mogelijk om ontsleutelde S/MIME-gedeeltes via HTML of CSS te lekken wanneer ze aan een HTML reply/forward worden toegevoegd, aldus de omschrijving van Mozilla. SettingContent-ms-bestanden Onlangs waarschuwde onderzoeker Matt Nelson voor aanvallen via SettingContent-ms-bestanden. Dit is een bestandsformaat van Windows 10 dat eigenlijk XML-code is om snelkoppelingen naar het Configuratiescherm te maken. Het is echter ook mogelijk om andere uitvoerbare bestanden aan te roepen. Een aanvaller kan een SettingContent-ms-bestand aan een Office-document toevoegen. De gebruiker wordt dan bij het openen van het document gevraagd of hij dit bestand wil uitvoeren, maar krijgt verder geen waarschuwing te zien. "Windows 10 waarschuwt gebruikers niet voor het openen van uitvoerbare bestanden met de SettingContent-ms-extensie, zelfs wanneer ze gedownload zijn van het internet en het "Mark of the Web" hebben. Zonder deze waarschuwing kunnen nietsvermoedende gebruikers, onbekend met dit nieuwe bestandstype, een ongewenst uitvoerbaar bestand uitvoeren", aldus Mozilla. Ook zorgt het ervoor dat een WebExtension met de beperkte "downloads.open" permissie zonder interactie van de gebruiker willekeurige code op Windows 10-systemen kan uitvoeren. Thunderbird gaat dit nu tegen. Updaten naar Thunderbird 52.9 kan via de automatische updatefunctie en Thunderbird.net. bron: security.nl

Malafide macro's worden al jaren toegepast om internetgebruikers met malware te infecteren, maar onderzoekers hebben nu een aanval ontdekt waarbij de macro's op een opmerkelijke manier worden ingezet. In plaats van het downloaden en uitvoeren van malware, zoals gebruikelijk is, worden snelkoppelingen op het bureaublad aangepast. Als de gebruiker deze snelkoppelingen opent wordt de malware pas uitgevoerd. Dat melden onderzoekers van anti-virusbedrijf Trend Micro. De aanval begint met een document dat de ontvanger vraagt om macro's in te schakelen. Standaard blokkeert Microsoft Office dit. Zodra de gebruiker macro's inschakelt zal de malafide macro naar snelkoppelingen op het bureaublad zoeken. Daarbij wordt er met name gezocht naar snelkoppelingen van Skype, Google Chrome, Mozilla Firefox, Opera en Internet Explorer. Zodra er één van deze snelkoppelingen is gevonden wordt de malware gedownload. Vervolgens wordt de snelkoppeling vervangen door een snelkoppeling die naar de malware wijst. Ook wordt de snelkoppeling op de Quick Launch balk aangepast. Wanneer de gebruiker op de snelkoppeling klikt wordt de malware ook daadwerkelijk uitgevoerd. Deze werkwijze zorgt ervoor dat het de gebruiker is die de malware uitvoert in plaats van het programma. Het uiteindelijke doel van de malware is het installeren van Ammyy Admin, een remote administration tool voor het beheren van computers op afstand, en het verzamelen van informatie. bron: security.nl

Windows 10 is niet kwetsbaar voor de twee zeroday-exploits die eind maart in een pdf-document werden aangetroffen. Ook zijn er geen aanvallen waargenomen die van de onbekende kwetsbaarheden in Windows en Adobe Acrobat Reader gebruik hebben gemaakt, zo heeft Microsoft laten weten. Zerodaylekken zijn kwetsbaarheden waarvoor nog geen updates van de fabrikant beschikbaar zijn. Hierdoor kunnen zeroday-aanvallen erg effectief zijn. De meeste aanvallen maken echter gebruik van kwetsbaarheden waarvoor al wel updates beschikbaar zijn, maar nog steeds werken omdat gebruikers en organisaties geen patches installeren. Eind maart vonden onderzoekers van anti-virusbedrijf ESET via VirusTotal, de online virusscandienst van Google, een pdf-document dat twee zerodaylekken in Adobe Acrobat Reader en Windows combineerde. Via de twee kwetsbaarheden konden systemen volledig worden overgenomen. Het ging echter nog om een testdocument zonder malware, maar met twee functionele zeroday-exploits. "Het vinden en neutraliseren van twee zeroday-exploits voordat een aanvaller ze kon gebruiken was een fantastisch resultaat van de goede samenwerking tussen onderzoekers van ESET, Microsoft en Adobe", zegt Microsofts Matt Oh. Hij merkt op dat Microsoft geen aanvallen heeft waargenomen waarbij de twee exploits zijn ingezet. Daarnaast blijkt dat de gebruikte zeroday-exploit voor Windows alleen tegen Windows 7 en Server 2008 werkte. Via deze exploit kon een aanvaller uit de sandbox-beveiliging van Adobe Acrobat Reader ontsnappen en code met verhoogde rechten op het Windows-systeem uitvoeren. De exploit werkt echter niet tegen Windows 10, omdat deze Windows-versie niet kwetsbaar is. "Windows 10-gebruikers zijn dankzij hardening en exploitbescherming van het systeem niet getroffen door de twee exploits", merkt Oh op. De kwetsbaarheden in Windows en Acrobat Reader werden in mei gepatcht. Windows 7 heeft in Nederland nog een marktaandeel van 25,5 procent, zo blijkt uit cijfers van StatCounter. bron: security.nl

Anti-virusbedrijf Symantec heeft een gratis online tool gelanceerd die routers op de VPNFilter-malware checkt. In mei werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven. Daarnaast kan de malware, zodra een router eenmaal is geïnfecteerd, ook computers in het achterliggende netwerk aanvallen. VPNFilter is in staat om apparaten van Linksys, MikroTik, Netgear, QNAP, Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE te infecteren. Hoe de malware dit precies doet is nog altijd niet bekend, maar er wordt aangenomen dat er van bekende kwetsbaarheden of standaardwachtwoorden gebruik wordt gemaakt. De "VPNFilter Check" van Symantec controleert of de router geïnfecteerd is. De check is echter niet volledig, aangezien alleen op de aanwezigheid van de "ssler-plug-in" wordt gecontroleerd. Via deze plug-in kan de malware gegevens onderscheppen en systemen in de rest van het netwerk aanvallen. In het geval deze plug-in niet op de router wordt gedetecteerd wil dat niet zeggen dat die niet door andere onderdelen van de VPNFilter-malware is besmet. Gebruikers die zich zorgen maken dat hun router is gecompromitteerd krijgen het advies om de fabrieksinstellingen terug te zetten, de router uit te schakelen en te herstarten, het standaard beheerderswachtwoord te wijzigen en de laatste firmware-updates te installeren. bron: security.nl

Facebook heeft meer dan 800.000 gebruikers gewaarschuwd over een bug in Facebook en Messenger die ervoor zorgde dat sommige personen die de gebruikers hadden geblokkeerd werden gedeblokkeerd. Wanneer Facebook-gebruikers iemand blokkeren kan die persoon niet meer zien wat er op het profiel wordt geplaatst, de gebruiker als vriend toevoegen of gesprekken met hem of haar beginnen. Ook worden geblokkeerde personen die de gebruiker in eerste instantie als vriend had aangemerkt automatisch 'ontvriend'. Door de bug konden geblokkeerde personen de gebruiker toch benaderen alsmede berichten en foto's zien die de gebruiker op zijn profiel had geplaatst. Het probleem deed zich voor van 29 mei tot en met 5 juni. Inmiddels worden alle geblokkeerde personen weer geblokkeerd. Ook heeft Facebook getroffen gebruikers opgeroepen om hun blocklist te controleren. bron: security.nl

E-mails met HTML-opmaak zijn een beveiligingsrisico, zoals de recente EFAIL-aanval heeft laten zien. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven, zo stelt beveiligingsonderzoeker Hanno Böck. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk om toegang tot de inhoud van versleutelde e-mails te krijgen. Voor het uitvoeren van de aanval werd er van HTML in een e-mail gebruik gemaakt. Het is niet de eerste keer dat HTML binnen e-mails wordt toegepast voor het uitvoeren van aanvallen. "De kern van het probleem is dat er geen verstandig beveiligingsconcept voor HTML-mails is", zegt Böck. "Het begon met een inherent gevaarlijk concept, het embedden van iets in e-mails dat veel te krachtig is, met alleen vage richtlijnen hoe het beveiligd moet worden." Het gebruik van HTML binnen e-mails is niet te vergelijken met het volledige spectrum van HTML zoals het op het web wordt ondersteund. "Dus eigenlijk is het een subgroep van HTML. Er is echter geen consensus, en geen specificatie, wat die subgroep zou moeten zijn", gaat de onderzoeker verder. Het uitschakelen van HTML in de e-mailclient is dan ook de veiligste optie. Het is ook een haalbare optie merkt Böck op. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven en moet er dus gekeken worden hoe ze te beveiligen zijn. De onderzoeker kijkt naar een RFC-document voor het specificeren van welke HTML en CSS is toegestaan binnen HTML-mails. RFC-documenten komen tot stand door een discussie- en publicatieproces en kunnen uiteindelijk tot een standaard leiden. Een dergelijk RFC-document bestaat echter nog niet. bron: security.nl

Aanvallers zijn er dit weekend in geslaagd om gebruikers van de Trezor Wallet-website een phishingsite voor te schotelen, wat vermoedelijk via dns poisoning of bgp hijacking is gedaan. Dat heeft het ontwikkelteam bekendgemaakt. De Trezor Wallet is een apparaat voor het opslaan van cryptovaluta. Dit weekend kregen gebruikers bij het bezoeken van de officiële domeinnaam wallet.trezor.io een certificaatwaarschuwing te zien. De website maakte van een ongeldig ssl-certificaat gebruik. Het bleek te gaan om een phishingsite die gebruikers vroeg hun "recovery seed" te herstellen. Daarnaast werden gebruikers gevraagd om hun ordernummer en recovery seed in te voeren. Volgens Trezor Wallet was ook dit een duidelijke waarschuwing dat er iets mis was, aangezien gebruikers wordt geïnstrueerd om nooit hun ordernummer en recovery seed op een computer in te voeren. Met de gegevens hadden de aanvallers toegang tot opgeslagen cryptovaluta kunnen krijgen. Of en hoeveel slachtoffers er zijn gemaakt laat het ontwikkelteam niet weten. Hoe de aanvallers het voor elkaar kregen om op de officiële domeinnaam een phishingsite te tonen is ook nog onbekend, maar het ontwikkelteam gaat uit van dns poisoning of bgp hijacking. Via beide aanvallen kan een aanvaller de domeinnaam naar een ander ip-adres laten wijzen. Het onderzoek loopt echter nog. De phishingsite is uit de lucht gehaald. bron: security.nl

Het Institute of Electrical and Electronics Engineers (IEEE) heeft zich uitgesproken tegen pogingen van overheden om backdoors aan encryptie toe te voegen of versleuteling te verzwakken. Het IEEE noemt zich de grootste professionele organisatie gericht op het vooruithelpen van technologie voor de mensheid. De afgelopen jaren hebben overheidsinstanties en opsporingsdiensten regelmatig gepleit voor het invoeren van "meestersleutels" of backdoors waarmee encryptie ongedaan is te maken. Volgens het IEEE zorgen dergelijke backdoors ervoor dat kwaadwillenden hier ook misbruik van kunnen maken. Daarnaast zorgt het verzwakken van encryptie er niet voor dat kwaadwillenden geen toegang meer tot sterke encryptie hebben. Ze kunnen opereren vanuit landen die geen backdoors verplichten of maken gebruik van encryptiesoftware die specifiek voor hen is ontwikkeld. Wanneer bedrijven in bepaalde landen worden verplicht om de encryptie in hun producten te verzwakken zal dit een hindernis zijn in het concurreren met andere bedrijven op de wereldwijde markt. Verder waarschuwt het IEEE dat backdoors in consumentenproducten langdurige negatieve gevolgen voor de privacy, veiligheid en burgervrijheden van burgers zullen hebben. "Overheden hebben legitieme veiligheidsbelangen. Het IEEE denkt dat het verplichten van het opzettelijk aanbrengen van backdoors, hoe goed ook bedoeld, deze belangen niet dient en zal leiden tot kwetsbaarheden die voor onvoorziene gevolgen zullen zorgen, alsmede voor sommige voorspelbare negatieve gevolgen", aldus de raad van bestuur van de organisatie. bron: security.nl

Het is precies een jaar geleden dat de NotPetya-malware zich verspreidde en de belangrijkste les is dat bedrijven en organisaties meer moeten doen om te voorkomen dat desktops elkaar besmetten. Dat stelt beveiligingsexpert Robert Graham van securitybedrijf Errata Security, die bijval krijgt van Microsoft. De infectie met NotPetya begon met een boekhoudprogramma dat een besmette update ontving. Zodra er een machine in het netwerk was besmet gebruikte de malware twee manieren om zich verder te verspreiden. Er werden beveiligingslekken in de smb-dienst van Windows gebruikt waardoor eerder ook de WannaCry-ransomware zich verspreidde. Daarnaast maakte NotPetya gebruik van een soort Mimikatz-achtige tool. Via deze tool werden inloggegevens op een besmette machine gestolen. Vervolgens werd er geprobeerd om met deze inloggegevens op andere machines in te loggen. Wanneer de malware de inloggegevens van de beheerder wist te bemachtigen werd het gehele Windows-domein geïnfecteerd. "Een dergelijke manier van verspreiden via Windows-wachtwoorden blijft een plaag voor organisaties", aldus Graham. Als voorbeeld wijst hij naar de ransomware-infectie van de Amerikaanse stad Atlanta, die op soortgelijke wijze plaatsvond en voor miljoenen dollars schade veroorzaakte. "Dit is de belangrijkste les die organisaties moeten leren en degene die ze negeren. Ze moeten meer doen om te voorkomen dat desktops elkaar infecteren, bijvoorbeeld door port-isolation en microsegmentatie." Ook moet er meer controle plaatsvinden op de verspreiding van adminwachtwoorden binnen de organisatie. Veel organisaties gebruiken hetzelfde lokale adminwachtwoord voor elk werkstation, wat de verspreiding van NotPetya-achtige malware eenvoudig maakt. Tevens moet er naar de vertrouwensrelatie tussen domeinen worden gekeken, zodat de beheerder van het ene domein de andere niet kan infecteren. "De lessen die van NotPetya geleerd kunnen worden is niet het patchen van systemen, maar het omgaan met vijandige automatische updates die diep het netwerk binnenkomen en het belangrijkste, het stoppen van de verspreiding van malware via vertrouwensrelaties en rondzwervende beheerderswachtwoorden", stelt Graham. Ook Microsoft waarschuwde deze week voor het probleem van aanvallers die zich via standaardtools lateraal door netwerken bewegen en misbruik van admin-wachtwoorden maken. bron: security.nl

Aanvallers hebben gisteren toegang tot de Gentoo Linux GitHub-pagina gekregen en de inhoud van de pagina's en repositories aangepast. Alle Gentoo-code die op GitHub wordt gehost moest als gecompromitteerd worden beschouwd, aldus een waarschuwing van de Linux-distributie. Code die op de Gentoo-infrastructuur werd gehost heeft geen risico gelopen. Volgens Gentoo-ontwikkelaar Francisco Blas Izquierdo Riera heeft de aanvaller de portage en musl-dev trees met kwaadaardige versies van de ebuilds vervangen met de bedoeling om alle bestanden van de gebruiker te verwijderen. Een ebuild is een bestand dat de Gentoo-packagemanagers gebruiken om een specifieke softwarepackage te identificeren en hoe de packagemanager hiermee moet omgaan. Gentoo-gebruikers krijgen het advies om geen ebuilds te gebruiken die voor 28 juni 20:00 uur Nederlandse tijd via de gehackte GitHub-pagina zijn verkregen. Inmiddels heeft Gentoo weer de controle over de GitHub-pagina. Hoe de aanvaller toegang tot het account wist te krijgen wordt nog onderzocht. bron: security.nl