Captain Kirk

Onderzoekers hebben een agressieve cryptominer ontdekt die de computer laat crashen zodra geprobeerd wordt om de malware te verwijderen. WinstarNssmMiner, zoals securitybedrijf Qihoo 360 de malware noemt, kijkt eerst wat voor soort anti-virussoftware op het systeem is geïnstalleerd. Wanneer "degelijke" anti-virussoftware wordt aangetroffen, zoals Avast of Kaspersky Lab aldus de onderzoekers, zal de malware automatisch stoppen. Gaat het echter om zwakke anti-virussoftware, dan zal de malware die uitschakelen. De malware start ook twee processen, waarvan er één de computer voor cryptomining inzet, terwijl het tweede proces de virusscanner probeert te detecteren om zo detectie te ontlopen. Wanneer slachtoffers proberen om de malware te stoppen en verwijderen zal de computer crashen, zo laten de onderzoekers verder weten. Hiervoor heeft de malware het crypto-miningproces als kritiek proces ingesteld. Wanneer het proces wordt beëindigd zal zodoende de computer crashen. Aan de hand van de wallet die de cryptominer gebruikt hebben de onderzoekers vastgesteld dat die al 133 Monero heeft verkregen, wat bijna 23.000 euro is. bron: security.nl

Onderzoekers hebben malware ontdekt die cache en sleutelbestanden van de versleutelde chatdienst Telegram steelt om zo sessies te kapen. De eerste versie van de malware, die zich op de desktopversie van Telegram richt, werd op 10 april van dit jaar ontdekt, gevolgd door een tweede variant vier dagen later. Dat meldt Cisco in een analyse. De eerste versie kon alleen inloggegevens en cookies in de browser stelen, alsmede alle tekstbestanden die op het systeem werden gevonden. De tweede variant maakte ook de desktopcache en sleutelbestanden van Telegram buit en inloggegevens voor het spelplatform Steam. De maker van de malware zou verschillende video's hebben gemaakt waarin wordt uitgelegd hoe de verzamelde bestanden zijn te gebruiken om Telegram-sessies te kapen. De onderzoekers merken op dat de malware geen gebruik maakt van kwetsbaarheden in Telegram. "De malware richt zich op de desktopversie van Telegram, die geen Secret Chats ondersteunt en zwakke standaardinstellingen heeft", aldus onderzoeker Vitor Ventura. Telegram maakt standaard geen gebruik van end-to-end-encryptie. Bij Secret Chats wordt er wel via deze encryptiemethode gecommuniceerd en zijn berichten alleen door de afzender en ontvanger te lezen. "De malware maakt misbruik van het ontbreken van Secret Chats in de desktopapplicatie, wat een feature is en geen bug", gaat Ventura verder. Daarnaast beschikt de desktopversie van Telegram niet over een automatisch uitlogfunctie. "Deze twee elementen samen laten de malware de sessie en vervolgens berichten kapen", zegt de onderzoeker. Ook contacten en eerdere chatgesprekken van het slachtoffer worden hierbij gecompromitteerd. Ventura merkt op dat de malware zich voornamelijk op Russisch sprekende gebruikers richt. bron: security.nl

Microsoft heeft een nieuwe regel opgesteld voor anti-virussoftware die op Windows 10 draait. De Windows Security Center (WSC) service vereist voortaan dat anti-virussoftware als een beveiligd proces draait. Pas dan wordt het door het WSC geregistreerd. Een beveiligd proces staat alleen vertrouwde, gesigneerde code toe en heeft ingebouwde bescherming tegen aanvallen waarbij wordt geprobeerd om code in het proces te injecteren. Dit moet de Windows-kernel beschermen tegen aanvallen die op systeemkritieke onderdelen zijn gericht. Virusscanners bevinden zich diep in het besturingssysteem en een kwetsbaarheid of aanval kan dan ook vergaande gevolgen hebben. Anti-virussoftware die hier niet aan voldoet zal niet in de gebruikersinterface van het Windows Security Center van Windows 10 worden weergegeven en Windows Defender zal in deze gevallen naast de geïnstalleerde virusscanner draaien. Microsoft heeft de nieuwe verplichting al doorgevoerd in de Windows 10 Insider Preview Build 17672. Gebruikers kunnen in deze testversie van het besturingssysteem via een registersleutel de vereiste uitschakelen, maar Microsoft merkt op dat deze sleutel uiteindelijk zal worden verwijderd. bron: security.nl

Screenshots die Firefox-gebruikers maakten en besloten op te slaan werden in een publiek toegankelijke cloud bewaard. Daar waren ze voor iedereen toegankelijk, zo ontdekte een Nederlandse ethische hacker op Twitter. Firefox Screenshots is een feature die gebruikers screenshots laat maken en delen. Zodra er een screenshot is gemaakt kunnen gebruikers kiezen voor een knop met de tekst "Opslaan", een downloadknop of de optie om de afbeelding naar het klembord te kopiëren. Zodra gebruikers voor Opslaan kozen werd de afbeelding naar screenshots.firefox.com geupload en geïndexeerd door zoekrobots. Via bijvoorbeeld Google kon er specifiek naar screenshots op dit subdomein worden gezocht. Nadat het probleem via Twitter openbaar was gemaakt kwam Mozilla binnen twee uur met een oplossing. Ook heeft Mozilla aan Google gevraagd om de domeinen te "strippen". bron: security.nl

De versleutelde chatdienst Signal heeft opnieuw een ernstig beveiligingslek in de Desktop-app verholpen waardoor een aanvaller op afstand code had kunnen uitvoeren. Het ging om een variant van de aanval die op 14 mei werd geopenbaard. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Onderzoekers ontdekten dat het mogelijk was om willekeurige code uit te voeren door een kwaadaardige link naar een Signal Desktop-gebruiker te sturen. Verdere interactie was niet nodig en de aanval werkte platformonafhankelijk. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Onderzoeker Matthew Bryant besloot naar eigen zeggen te raden waar de kwetsbaarheid zich precies bevond en hoe die te misbruiken was. Hij ontdekte dat als er een HTML-bericht werd gemaakt en er vervolgens met Quoted Reply op het bericht werd gereageerd, de originele HTML-code ook als HTML werd beschouwd. Bryant installeerde de update van 11 mei, maar tot zijn verbazing bleek zijn exploit nog steeds te werken. Bryant besefte dat de onderzoekers voor hun exploit gewone Signal-berichten verstuurden die als HTML werden geïnterpreteerd. Ze maakten geen gebruik van Quoted Replies die Bryant voor zijn exploit gebruikte. Hij waarschuwde daarop het Signal-team. Binnen twee uur werd er een update onder Signal Desktop-gebruikers uitgerold. bron: security.nl

Red Hat, CentOS en Fedora hebben een ernstig beveiligingslek in de dhcp-client gedicht waardoor een aanvaller willekeurige code met rootrechten had kunnen uitvoeren. De kwetsbaarheid kon zich voordoen bij systemen die de NetworkManager gebruiken om via dhcp (dynamic host configuration protocol) de netwerkconfiguratie op te vragen. Een kwaadaardige dhcp-server of een aanvaller op het lokale netwerk die dhcp-responses kon spoofen had via de kwetsbaarheid op deze systemen willekeurige commando's met rootrechten kunnen uitvoeren. De NetworkManager wordt door sommige besturingssystemen ook gebruikt op server-systemen. Red Hat heeft updates uitgebracht voor Enterprise Linux 6 en 7. Ook zijn er updates voor CentOS 6 en 7 verschenen, alsmede Fedora 27 en 28. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat er binnenkort een proof-of-concept exploit voor deze kwetsbaarheid zal worden gepubliceerd. bron: security.nl

Onderzoekers hebben eind maart een pdf-document ontdekt dat twee zeroday-lekken in Adobe Acrobat Reader en Windows combineerde waardoor systemen volledig konden worden overgenomen. Gisteren verscheen er een beveiligingsupdate van Adobe voor het lek in Acrobat Reader. Vorige week dinsdag werd het beveiligingslek in Windows al door Microsoft gepatcht. Het pdf-document was door iemand naar een publieke repository voor malware geupload, waar onderzoekers van anti-virusbedrijf ESET het bestand vonden. Het document bleek misbruik van twee onbekende kwetsbaarheden te maken waardoor een aanvaller op afstand code met kernelrechten had kunnen uitvoeren. Alleen het openen van het pdf-document was voldoende geweest. Acrobat beschikt over een sandbox die als een extra beveiligingslaag fungeert. Zelfs wanneer een aanvaller erin slaagt om code uit te voeren moet de aanvaller nog uit de sandbox breken om het onderliggende systeem over te nemen. Het ontsnappen uit de sandbox wordt meestal gedaan via een kwetsbaarheid in het besturingssysteem. Via het zeroday-lek in Windows konden de aanvallers hun rechten verhogen. De combinatie van beidde lekken maakte het zo mogelijk om een systeem volledig te compromitteren wanneer er een kwaadaardig pdf-document werd geopend. Het ontdekte pdf-document bevatte geen "payload". ESET vermoedt dan ook dat het document mogelijk vroegtijdig in de ontwikkeling is ontdekt. In de aankondiging van de beveiligingsupdate liet Adobe weten dat het niet bekend is met exploits in "het wild" die van de kwetsbaarheid misbruik maken. Wel adviseerde het softwarebedrijf om de beveiligingsupdate snel te installeren, waarbij als voorbeeld binnen 72 uur werd gegeven. Adobe adviseert normaliter om Acrobat-updates binnen 30 dagen te installeren. Het advies om snel te updaten wordt alleen gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. bron: security.nl

Een beveiligingslek in de desktopapplicatie van de versleutelde chat-app Signal had aanvallers op afstand code kunnen laten uitvoeren, waardoor gevoelige data kon worden gestolen. Alleen het versturen van een speciaal geprepareerd bericht naar een Signal Desktop-gebruiker was voldoende geweest. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Beveiligingsonderzoekers Ivan Ariel Barrera Oro, Alfredo Ortega en Juliano Rizzo ontdekten het probleem bij toeval toen ze een link met cross-site scripting (XSS) op een andere website via Signal Desktop uitwisselden. De desktopapplicatie bleek niet goed met de link om te gaan. Content Security Policy (CSP) zorgde er echter voor dat de scripts die via de kwaadaardige link werden aangeroepen niet werkten. Door de url binnen een iframe te verwerken was het echter wel mogelijk om dit te doen, zelfs het laden van code vanaf een SMB-share werkte. "Het belangrijke is dat het geen interactie van het slachtoffer vereist, anders dan een gesprek te starten. Iedereen kan binnen Signal een gesprek starten, dus een aanvaller hoefde alleen een speciaal geprepareerde url te versturen om zonder verdere interactie het slachtoffer te hacken. En het is platformonafhankelijk", aldus de onderzoekers. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Gisteren maakten de onderzoekers details over het lek bekend. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van de privacyplug-in Privacy Badger uitgebracht die een manier blokkeert waarop Facebook gebruikers volgt. Het gaat om een techniek genaamd link-tracking. Hierdoor ziet Facebook wanneer een gebruiker een link op Facebook opent. Een link op Facebook.com wijst niet direct naar de bedoelde website, maar eerst naar een url van Facebook. Deze url stuurt de gebruiker vervolgens door naar de bedoelde website. Zodra een link op Facebook.com door een gebruiker wordt geopend ziet Facebook daardoor wie de gebruiker is, waar die vandaan komt en waar die naar toe gaat. Facebook gebruikt echter code om link-tracking voor gebruikers te verbergen. Zodra die met hun muis over een link bewegen lijkt die gewoon direct naar de bedoelde website te gaan en wordt de tracking-link verborgen. Wanneer gebruikers de link openen wordt de tracking-link alsnog uitgevoerd. Om dit tegen te gaan stript Privacy Badger alle tracking-links op Facebook, zodat gebruikers direct naar de bedoelde website gaan, zonder dat dit eerst langs Facebook gaat. De komende maanden zal de EFF verder onderzoek doen naar de manieren waarop Facebook, Google en Twitter internetgebruikers op hun eigen sites volgen en hier mogelijk ook maatregelen tegen nemen. Privacy Badger is beschikbaar voor Chrome, Firefox en Opera. bron: security.nl

Adobe heeft vandaag belangrijke beveiligingsupdates uitgebracht voor Acrobat en Acrobat Reader die in totaal 47 beveiligingslekken verhelpen, waarvan er 24 als ernstig zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardig pdf-document is in dit geval voldoende. Via de overige beveiligingslekken was het mogelijk om beveiligingsmaatregelen te omzeilen en informatie te achterhalen, waaronder wachtwoordhashes. Gebruikers krijgen het advies om te updaten naar Acrobat DC of Acrobat Reader versie 22018.011.20040, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30080, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30418. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. In tegenstelling tot het vorige beveiligingsbulletin van Adobe voor Acrobat Reader wordt nu geadviseerd om de beveiligingsupdates snel te installeren. Als voorbeeld wordt gegeven het installeren van de update binnen 72 uur. In februari werd nog een termijn van 30 dagen aangehouden voor het installeren van de updates. Het advies om snel te updaten wordt gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. Adobe zegt dat het niet bekend is met aanvallen die al op dit moment van de kwetsbaarheden misbruik maken. bron: security.nl

De Nederlandse beveiligingsonderzoeker Sjoerd van der Hoorn, die onlangs in het nieuws kwam met zijn onderzoek naar openbare beroepsregisters, heeft een Chrome-extensie ontwikkeld die reacties en andere ingevoerde tekst op websites versleutelt. "Zo kan bijvoorbeeld op een openbaar forum een gecodeerd bericht worden achtergelaten", aldus Van der Hoorn tegenover Security.NL. Ook wanneer gebruikers op locaties zijn waar andere beveiligde kanalen niet beschikbaar zijn wordt het gebruik van "Geheim", zoals de extensie heet, aangeraden om een versleuteld bericht via een openbaar kanaal achter te laten. De nieuwste versie van Geheim ondersteunt standaard AES (symmetrische) en RSA (asymmetrische) encryptie en kan door de gebruiker zelf worden uitgebreid met andere coderingsmethoden en sleutels. Alle encryptie en decryptie vindt plaats op de computer van de gebruiker. Van der Hoorn stelt dat hij geen toegang tot de gegevens van gebruikers heeft noch wachtwoorden en encryptiemethodes. De Geheim-extensie is open source. Voor de toekomst wil Van der Hoorn ondersteuning voor One-time pad sleutels toevoegen. "De enige 100 procent onbreekbare vorm van encryptie, waarbij alleen sleuteluitwisseling en -beheer mogelijkheid biedt om dit te kraken", zo merkt hij op. Daarnaast staat er een eenvoudigere methode om veilig sleutels en encryptiemethoden te kunnen importeren, exporteren, en delen in de planning. bron: security.nl

Onderzoekers waarschuwen voor ernstige kwetsbaarheden in PGP/GPG en S/MIME, software voor het versleutelen van e-mail, waardoor het mogelijk is om de inhoud van versleutelde e-mailberichten te lezen. Details over de beveiligingslekken zullen morgen bekend worden gemaakt, maar de onderzoekers hebben samen met de Amerikaanse burgerrechtenbeweging EFF besloten om gebruikers nu al te waarschuwen. "De EFF heeft contact gehad met het onderzoeksteam en kan bevestigen dat deze kwetsbaarheden een direct risico vormen voor mensen die deze tools gebruiken om via e-mail te communiceren, waaronder het mogelijk achterhalen van de inhoud van berichten die in het verleden zijn verstuurd", aldus Gennie Gebhart van de EFF. De burgerrechtenbeweging adviseert gebruikers om tools die automatisch met PGP-versleutelde e-mail ontsleutelen uit te schakelen of te verwijderen. Voor Thunderbird met Enigmail, Apple Mail met GPGTools en Outlook met Gpg4win heeft de EFF een handleiding gemaakt waarin wordt uitgelegd hoe de plug-ins zijn uit te schakelen. De burgerrechtenbeweging merkt op dat het om een tijdelijke maatregel gaat totdat er een echte oplossing beschikbaar is. "Totdat de ontdekte kwetsbaarheden beter zijn begrepen en verholpen, moeten gebruikers naar alternatieve end-to-end-versleutelde kanalen zoeken, zoals Signal, en tijdelijk stoppen met het versturen en met name het lezen van met PGP-versleutelde e-mail." Update Werner Koch, de ontwikkelaar van GNU Privacy Guard, laat via Twitter en de GnuPG-mailinglist weten dat de reactie van de EFF overtrokken is. Het probleem zou worden veroorzaakt door het gebruik van HTML in e-mails en de manier waarop die door sommige MIME-parsers worden verwerkt. Als oplossing adviseert Koch om geen HTML-mail te gebruiken. Daarnaast wordt het gebruik van geauthenticeerde encryptie aangeraden. Update 2 De website met informatie over de kwetsbaarheid, die EFAIL wordt genoemd, is online verschenen. Er worden twee aanvallen besproken. Om de EFAIL-aanvallen uit te voeren moet een aanvaller een versleuteld bericht van het slachtoffer bezitten en vervolgens een HTML-mail naar het slachtoffer sturen. Bij de eerste aanval verstuurt een aanvaller een HTML-mail met daarin het onderschepte versleutelde bericht. De e-mailclient ontsleutelt het versleutelde bericht en de HTML-code zorgt ervoor dat die naar een server van de aanvaller wordt teruggestuurd. Bij de tweede aanval wordt er gebruik gemaakt van het feit dat OpenPGP geen integriteitscontrole verplicht. Een aanvaller kan zodoende een versleuteld bericht onderscheppen en dit aanpassen. Vervolgens zal de e-mailclient van het slachtoffer het aangepaste bericht ontsleutelen. De aanpassing van de aanvaller zorgt ervoor dat de ontsleutelde inhoud van het bericht naar zijn server wordt gestuurd. Om de twee EFAIL-aanvallen te voorkomen wordt dan ook het uitschakelen van HTML-mails aangeraden. De onderzoekers merken op dat in het geval van S/MIME of PGP versleutelde e-mails worden versleuteld met de publieke sleutels van alle ontvangers en de afzender. Om beschermd te zijn moeten alle deelnemers aan de e-mailconversatie het weergeven van HTML in hun e-mailclient uitschakelen. Update 3 De Duitse overheid stelt dat S/MIME en PGP veilig te gebruiken zijn zolang ze correct en veilig geïmplementeerd zjin. Zo wordt aangeraden om het weergeven van actieve content in de e-mailclient uit te schakelen. Verder moeten mailservers en e-mailclients tegen ongeautoriseerde toegangspogingen worden beschermd, aldus het advies van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Update 4 Onderzoeker Robert Graham heeft een analyse van de kwetsbaarheid gepubliceerd. Hij stelt dat de aanval alleen werkt als een aanvaller de e-mail van een slachtoffer heeft onderschept en de e-mailclient staat ingesteld om standaard remote content te downloaden. Verder zou de aanval niet in alle gevallen eenvoudig te reproduceren zijn. "In plaats van PGP en S/MIME uit te schakelen moet je controleren dat je e-mailclient staat ingesteld om geen remote/externe content te downloaden. Dat is zelfs zonder dit lek al een grote privacy-overtreding", aldus Graham. Update 5 De ontwikkelaars van GnuPG en Gpg4Win hebben een verklaring gegeven waarin ze stellen dat de aanval tegen "buggy e-mailclients" is gericht. Wie zich zorgen over de aanval maakt krijgt het advies om naar de laatste versie van GnuPG te updaten en te controleren dat de gebruikte e-mailplug-in correct met MDC-fouten omgaat. Iets dat de meeste clients zouden doen. Alleen GnuPG-gebruikers die een zeer oude versie draaien lopen mogelijk risico. Het gaat dan om de 1.0-serie, terwijl op dit moment GnuPG versie 2.2 de meest recente versie is. Update 6 De Amerikaanse burgerrechtenbeweging EFF heeft nu ook meer details over de EFAIL-aanvallen vrijgegeven en blijft erbij dat PGP voorlopig niet gebruikt moet worden. bron: security.nl

In de Ubuntu Snaps Store zijn kwaadaardige applicaties ontdekt die systemen naar cryptovaluta lieten delven. Het gaat om twee packages genaamd 2048buntu en Hextris. Beide applicaties bleken een verborgen cryptominer te bevatten, aldus een klacht op GitHub gericht aan Ubuntu-beheerder Canonical. Naar aanleiding van de klacht werden alle applicaties van de ontwikkelaar verwijderd. De Ubuntu Snap Store laat iedereen zogeheten "snap packages" uploaden, in tegenstelling tot packages die via de officiële Ubuntu-repositories worden aangeboden. Dit moet het eenvoudiger maken om packages te ontwikkelen en die onder andere Linux-gebruikers te verspreiden, maar zorgt er ook voor dat het eenvoudiger wordt om malware te verspreiden, aldus critici op Reddit. bron: security.nl

Een jaar na de uitbraak van WannaCry mist nog altijd 29 procent van de Windows-computers wereldwijd de Microsoft-update die tegen de ransomware beschermt. Daarnaast is de exploit die van het lek misbruik maakt nog altijd zeer populair en wordt nu vaker waargenomen dan ten tijde van WannaCry. Dat melden anti-virusbedrijven Avast en ESET. WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Via de kwetsbaarheid is het mogelijk om op afstand computers over te nemen. De EternalBlue-exploit waar WannaCry gebruik van maakt om het Windows-lek aan te vallen is afkomstig van de Amerikaanse geheime dienst NSA. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt, een maand na het uitkomen van beveiligingsupdate MS17-010 die computers beschermt. Een week na het uitkomen van de EternalBlue-exploit verschenen er al berichten dat systemen hiermee werden aangevallen en geïnfecteerd met ransomware. Drie weken later sloeg WannaCry toe. Volgens Avast heeft 29 procent van de Windows-computers wereld beveiligingsupdate MS17-010 niet geïnstalleerd. In Azerbeidzjan is dit zelfs 61 procent. De virusbestrijder denkt dat mensen de update niet installeren omdat ze niet weten dat dit belangrijk is. Ook vermoedt ESET dat er organisaties zijn die de update opzettelijk niet installeren omdat ze geen downtime willen. Hoewel de update die tegen de EternalBlue-exploit bescherming biedt al meer dan een jaar beschikbaar is, is de exploit nog altijd zeer populair. ESET stelt dat het de exploit vaker detecteert dan op het moment van WannaCry. Naast WannaCry maakt ook andere malware gebruik van EternalBlue. De recente piek in de onderstaande grafiek wordt waarschijnlijk door de Satan-ransomware veroorzaakt, die zich ook via de exploit verspreidt. bron: security.nl

Onderzoekers waarschuwen voor malafide Chrome-extensies die Facebook-wachtwoorden stelen en de sociale mediasite gebruiken om andere Chrome-gebruikers te infecteren. De infectieketen begint met een malafide link op Facebook die naar een zogenaamde YouTube-pagina wijst. Deze pagina vraagt de gebruiker om een extensie te installeren voor het afspelen van video's. Eenmaal geïnstalleerd steelt de malafide extensie het Facebook-wachtwoord en Instagram-cookies van de gebruiker en stuurt een malafide link naar de Facebook-vrienden van het slachtoffer of plaatst de link als nieuw Facebook-bericht. Tevens wordt er een cryptominer geïnstalleerd voor het delven van cryptovaluta. Ook kan de malware clickfraude op YouTube plegen. De malafide extensies zijn kopieën van legitieme extensies waar een geobfusceerd script aan is toegevoegd voor het uitvoeren van de kwaadaardige activiteiten. Volgens securitybedrijf Radware, dat de malware ontdekte, wordt dit gedaan om de controle van Google in de Chrome Web Store te omzeilen. Om detectie en verwijdering door de gebruiker te voorkomen blokkeert de malware het openen van de extensie-tab in Chrome. Daarnaast worden bepaalde Facebook-pagina's geblokkeerd, zodat de gebruiker geen berichten kan aanpassen of verwijderen. Ook wordt het downloaden van de Chrome Cleanup Tool en beveiligingsprogramma's via Facebook geblokkeerd. bron: security.nl

Google heeft dit jaar weer een ernstig beveiligingslek in Chrome gepatcht waardoor een aanvaller het onderliggende systeem in het ergste geval had kunnen overnemen. Het gaat om een "keten" van kwetsbaarheden waardoor een aanvaller uit de sandbox van Chrome had kunnen ontsnappen en code op het systeem had kunnen uitvoeren met de rechten van de gebruiker. Een anonieme onderzoeker rapporteerde het beveiligingsprobleem op 23 april aan Google. Vanwege de impact van ernstige kwetsbaarheden streeft de internetgigant ernaar om dergelijke lekken binnen 30 dagen te patchen. Ernstige beveiligingslekken worden in vergelijking met andere browsers zelden door externe onderzoekers in Chrome gevonden. Dit jaar heeft Google echter al vier van dergelijke kwetsbaarheden verholpen, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. Wat voor beloning de anonieme onderzoeker krijgt voor het melden van de kwetsbaarheid is nog niet bekendgemaakt. Updaten naar Chrome 66.0.3359.170 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Is het gelukt? CCleaner wil nog wel eens een keertje toch resten laten zitten. Mocht je probleem nog niet opgelost zijn, laat het even weten. Dan kunnen we nog proberen ze handmatig te verwijderen.

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ondersteuning biedt voor inloggen via usb-tokens op websites, gesponsorde content en Windows Group Policy. Ook zijn er verschillende kwetsbaarheden verholpen, maar details waren op het moment van schrijven niet beschikbaar. Firefox 60 is de eerste browser die de Web Authentication API ondersteunt. Deze programmeerinterface laat gebruikers via een usb-token, zoals een YubiKey, op websites inloggen, zonder dat er een wachtwoord moet worden ingevoerd. Volgens Mozilla biedt Web Authentication een extra beveiligingslaag. De feature werkt echter alleen bij websites die Web Authentication ondersteunen. Naast usb-tokens zal Web Authentication in de toekomst ook smartphones of biometrische kenmerken gaan ondersteunen, zoals inloggen via gezichtsherkenning of vingerafdrukken. Op dit moment worden alleen usb-tokens ondersteund. Gebruikers sluiten hun usb-token aan, waarna die door de website wordt gelezen. Vervolgens wordt de gebruiker automatisch ingelogd op zijn account. Gepersonaliseerde content Een andere nieuwe feature is gepersonaliseerde content voor Amerikaanse Firefox-gebruikers. Als die een nieuwe tab openen kunnen er in het gedeelte "Recommendations by Pocket" gesponsorde verhalen verschijnen. Mozilla merkt op dat de personalisatie niet ten koste van de privacy gaat. De aanbevelingen die gebruikers te zien krijgen worden lokaal op de computer bepaald. Mozilla, Pocket en sponsors ontvangen dan ook geen kopie van de browsegeschiedenis, aldus Mozilla. Windows Group Policy Voor beheerders die Firefox binnen hun organisatie willen uitrollen ondersteunt de browser nu Windows Group Policy. Op deze manier wordt het veel eenvoudiger om de browser voor een groot aantal werkplekken te configureren. Naast Windows Group Policy kan er ook van een JSON-bestand gebruik worden gemaakt dat op Mac, Linux en Windows werkt. Verder worden TLS-certificaten van Symantec die voor 1 juni 2016 zijn uitgegeven niet meer vertrouwd. Wanneer Firefox-gebruikers websites bezoeken die nog van deze certificaten gebruikmaken krijgen ze een certificaatwaarschuwing te zien. Updaten naar Firefox 60 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Onderzoekers hebben voor het eerst Internet of Things-malware ontdekt die een herstart van het systeem kan overleven. Het gaat om een variant van de "Hide and Seek" bot die onder andere ip-camera's via beveiligingslekken en Telnet-toegang besmet, zo meldt anti-virusbedrijf Bitdefender. IoT-malware, zoals Mirai, is eenvoudig te verwijderen door het besmette apparaat in kwestie te herstarten. De malware bevindt zich namelijk alleen in het geheugen van het apparaat, dat door een herstart wordt gewist. De nieuwe varianten van Hide and Seek kopiëren zich na een succesvolle infectie echter naar /etc/init.d/ en zorgen ervoor dat ze bij het starten van het systeem worden geladen. Het is hierbij wel nodig dat de infectie via Telnet plaatsvindt, aangezien rootrechten zijn vereist om de malware naar de init.d-directory te kopiëren. Volgens Bitdefender bevindt het Hide and Seek-botnet, dat uit zo'n 90.000 apparaten bestaat, zich nog in de groeifase. De beheerders zouden dan ook zoveel mogelijk machines proberen te infecteren voordat het botnet voor bijvoorbeeld ddos-aanvallen of andere doelen wordt ingezet. Zo beschikken de nieuwste varianten over twee nieuwe exploits om ip-camera's van onder andere AVTech en Wansview te infecteren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die ernstige kwetsbaarheden in Flash Player en Creative Cloud Desktop Application verhelpen. Via de beveiligingslekken kan een aanvaller willekeurige code op het systeem uitvoeren. In het geval van Flash Player gaat het om één ernstige kwetsbaarheid. Gebruikers krijgen het advies om te updaten naar Flash Player 29.0.0.171. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers om de update "snel" te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. In Creative Cloud Desktop Application zijn drie kwetsbaarheden opgelost, waarvan er één als ernstig is aangemerkt. De andere twee lekken laten een aanvaller zijn rechten op het systeem verhogen. Gebruikers krijgen het advies om Creative Cloud 4.5.0.331 te installeren. Ook in het geval van deze update krijgen gebruikers het advies om die "snel" uit te rollen. Als laatste is er ook nog een update voor Adobe Connect verschenen. Dit vanwege een kwetsbaarheid waardoor de authenticatie is te omzeilen. Dit lek werd door Adobe echter als belangrijk bestempeld. bron: security.nl

Tijdens de patchdinsdag van mei heeft Microsoft twee beveiligingslekken in Internet Explorer en Windows gepatcht die actief werden aangevallen voordat er een update beschikbaar was. Securitybedrijf Qihoo 360 waarschuwde in april voor het IE-lek dat via een Microsoft Word-document werd aangevallen. Alleen het openen van een kwaadaardig Word-document of het bezoeken van een kwaadaardige of gehackte website met een kwetsbaar systeem is voldoende om aanvallers willekeurige code op het systeem uit te laten voeren. Ook anti-virusbedrijf Kaspersky Lab rapporteerde het probleem aan Microsoft. "We verwachten dat deze kwetsbaarheid één van de meest aangevallen lekken in de nabije toekomst zal worden, aangezien het niet lang zal duren voordat exploitkit-auteurs die zowel via drive-by downloads in de browser als spearphishing-aanvallen via documenten zullen misbruiken", aldus onderzoeker Vladislav Stolyarov. Het tweede zeroday-lek dat Microsoft deze maand patchte geeft een aanvaller die al toegang tot een systeem heeft de mogelijkheid om code met kernelrechten uit te voeren. Aangezien een systeem al gecompromitteerd moet zijn is de ernst van dit beveiligingslek, dat door een onderzoeker van anti-virusbedrijf ESET werd ontdekt, door Microsoft als "belangrijk" bestempeld. Twee andere kwetsbaarheden in de Windows-kernel waardoor een aanvaller zijn rechten kan verhogen en informatie kan achterhalen waren ook al voor het uitkomen van de updates openbaar gemaakt, maar zijn volgens Microsoft niet aangevallen. Van de 67 kwetsbaarheden die Microsoft deze maand heeft verholpen zijn er 21 als ernstig aangemerkt, 42 als belangrijk en vier als "laag". Het gaat ook om kwetsbaarheden in Microsoft Office waardoor een aanvaller een kwetsbaar systeem kan overnemen als er een kwaadaardig document wordt geopend. Verder zijn er beveiligingslekken in ChakraCore, .NET Framework en Exchange Server gepatcht. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Aanvallers hebben een manier gevonden om het filter van Office 365 te omzeilen zodat e-mails met kwaadaardige links niet worden gefilterd, zo stelt securitybedrijf Avanan. Microsoft scant inkomende e-mails van gebruikers op bekende kwaadaardige links. De filters van Office 365 blijken echter niet goed met de base-tag in html-mails om te gaan. Door het gebruik van deze tag is het mogelijk om de kwaadaardige link te "splitten". Links die het filter anders zou blokkeren worden in dergelijke gevallen gewoon doorgelaten. De link wordt in de e-mailclient gewoon weergegeven. De ontvanger kan echter nog steeds zien dat het om een kwaadaardige link gaat. Volgens Avanan maken aanvallers gebruik van de techniek om de filters van Office 365 te misleiden en phishingmails te versturen. Microsoft is ingelicht, maar wanneer er een oplossing komt is onbekend. In deze video wordt de aanval gedemonstreerd. bron: security.nl

Mozilla gaat het ftp-protocol deels in Firefox 61 blokkeren, zo heeft de opensource-ontwikkelaar aangekondigd. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te kopiëren. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd. "Het fundamentele onderliggende probleem met ftp is dat alle data onversleuteld wordt uitgewisseld en in platte tekst verstuurd, waardoor aanvallers de verstuurde data kunnen stelen, spoofen en zelfs aanpassen. Veel malware-campagnes maken gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers", aldus Mozillas Christoph Kerschbaumer. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Firefox 61 staat gepland voor 26 juni van dit jaar. Eind vorig jaar kondigde Google al aan dat Chrome ftp-locaties als "niet veilig" gaat weergeven. bron: security.nl

Chipfabrikant Intel zou aanstaande maandag met de eerste beveiligingsupdates voor de nieuwe Spectre-lekken komen, maar dit is uitgesteld. De in totaal acht kwetsbaarheden in Intel-processors worden vooralsnog Spectre Next Generation (Spectre NG) genoemd en maken het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. De eerste updates stonden voor vandaag, 7 mei, gepland, met een tweede reeks in augustus. Eén van de kwetsbaarheden werd door onderzoekers van Google ontdekt, die vandaag de details bekend zouden maken. Vandaag zou namelijk de deadline verlopen die Intel had gekregen voor het uitbrengen van een patch. Google geeft bedrijven die het over een kwetsbaarheid inlicht 90 dagen de tijd om een update te ontwikkelen. Nu meldt het Duitse Heise dat Intel meer tijd nodig heeft voor het uitbrengen van de updates. Intel zou van plan zijn om op 21 mei met een "gecoördineerde release" van microcode-updates te komen. Tegelijkertijd zullen er details over twee van de Spectre NG-lekken verschijnen. Volgens Heise is het niet zeker dat ook deze datum wordt gehaald, aangezien Intel verder uitstel tot 10 juli heeft aangevraagd. Het gevaarlijkste Spectre NG-lek, waardoor er uit een virtual machine kan worden ontsnapt, zou pas op 14 augustus worden gepatcht. De kwetsbaarheden zijn aanwezig in nagenoeg alle Intel-processors sinds 2010. bron: security.nl

De afgelopen dagen zijn honderden ongepatchte Drupal-sites gehackt en gebruikt voor cryptomining. Het gaat onder andere om websites van de Amerikaanse overheid en dierentuin van San Diego. De aanvallers voegen een Coinhive-script aan de sites toe dat de browser van bezoekers cryptovaluta laat delven. Onderzoeker Troy Mursch ontdekte het specifieke script op 348 Drupal-sites. Al deze websites hadden gemeen dat ze ongepatcht waren. Zowel in maart als in april werden twee zeer ernstige Drupal-lekken gepatcht waardoor aanvallers volledige controle over websites kunnen krijgen. Experts lieten eerder al weten dat alle ongepatchte websites in principe als gehackt moeten worden beschouwd. Wereldwijd zijn er zo'n 1,2 miljoen Drupal-sites. Hoeveel daarvan nog steeds kwetsbaar of gehackt zijn is onbekend. De aanval die Mursch ontdekte is niet de enige. Eerder werden ook al andere aanvallen waargenomen waarbij gehackte Drupal-sites voor cryptomining werden ingezet. In het geval van de 348 gehackte websites bevinden de meeste zich in de Verenigde Staten, gevolgd door Frankrijk en Canada. bron: security.nl