Captain Kirk

Mozilla heeft een actief aangevallen kritieke kwetsbaarheid in Firefox in 25 uur gepatcht, zo laat de browserontwikkelaar weten. Vorige week bleek dat gebruikers van Tor Browser, dat een aangepaste Firefox-versie gebruikt, via het beveiligingslek zijn aangevallen. In een blogposting geeft Mozilla iets meer informatie over de aanval, waarover het vorige week dinsdag door antivirusbedrijf ESET werd ingelicht.. De virusbestrijder had een zogenoemde 'full exploit chain' in handen gekregen waarmee een aanvaller op afstand code op de computer van gebruikers kan uitvoeren. Mozilla ontving de informatie en wist in 25 uur de exploit te analyseren, waarbij de nodige reverse engineering was vereist, en een update te ontwikkelen. Eerder dit jaar ontving Mozilla nog een industry award omdat het kwetsbaarheden die tijdens hackwedstrijd Pwn2Own werden gedemonstreerd in 21 uur had verholpen. Bij deze wedstrijd staat Mozilla klaar en weet het dat er mogelijk onbekende beveiligingslekken worden gedemonstreerd. In dit geval was er geen voorbereiding. Naast het verhelpen van de kwetsbaarheid kijkt Mozilla naar eigen zeggen ook naar maatregelen om Firefox beter tegen dit soort aanvallen te beschermen. bron: https://www.security.nl

Ik gok dat je bedoelt dat je tegen problemen aan loopt wanneer je niet de originele inktpatronen in je printer wilt gebruiken. Dit is een bekend voorval. Ook ik heb eens geprobeerd inktpatrones van derde in een HP-printer te gebruiken. Gaf eigenlijk niets anders dan ellende. Uiteindelijk heb ik ze maar weer vervangen voor de originele patronen. Was klaar met iedere keer een work-around toe te moeten passen.

Gebruikers van Tor Browser zijn aangevallen via een kritieke kwetsbaarheid in Firefox waarvoor Mozilla eerder deze week een beveiligingsupdate uitbracht. Dat laat het Tor Project weten, de ontwikkelaars van Tor Browser en het Tor-netwerk. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Om het Tor-netwerk te kunnen gebruiken is Tor Browser vereist. De browser bestaat uit een aangepaste versie van Firefox, aangevuld met verschillende browserplug-ins en andere aanpassingen om gebruikers extra te beschermen. Deze week meldde Mozilla dat aanvallers actief misbruik maken van een een kritieke kwetsbaarheid in Firefox (CVE-2024-9680), waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. De kwetsbaarheid was gevonden door een onderzoeker van antivirusbedrijf ESET. Alleen het bezoeken van een gecompromitteerde of malafide website of te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Hoelang gebruikers via de kwetsbaarheid zijn aangevallen voordat de patch beschikbaar kwam is onbekend. Ook verdere details ontbraken. Er is nu een nieuwe versie van Tails verschenen, een op privacy gericht besturingssysteem dat ook van het Tor-netwerk en Tor Browser gebruikmaakt. In de release notes van de nieuwe Tails-versie meldt het Tor Project dat het via Mozilla heeft vernomen dat Tor Browser-gebruikers via het beveiligingslek in Firefox zijn aangevallen. Meer informatie is op dit moment niet beschikbaar. In het verleden zijn vaker kwetsbaarheden in Firefox gebruikt voor het aanvallen van Tor Browser-gebruikers. Onder andere de FBI zat achter deze aanvallen. bron: https://www.security.nl

Aanvallers maken actief misbruik van onversleutelde persistent cookies van de F5 BIG-IP Local Traffic Manager (LTM) om zo andere apparaten op het netwerk te vinden, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het cyberagentschap roept organisaties op om de persistent cookies te versleutelen. F5 BIG-IP bestaat uit hard- en software voor het beheer en beveiligen van netwerkverkeer. De Local Traffic Manager wordt gebruikt voor load balancing, monitoring, logging en analytics. Het systeem bevindt zich tussen clients en hosts en kan zo het verkeer van en naar een datacenter beheren. Standaard stuurt de LTM onversleutelde cookies naar clients. F5 adviseert het versleutelen van cookies. Het CISA geeft nu een zelfde advies. Informatie van onversleutelde persistent cookies kan aanvallers helpen om andere apparaten op het netwerk te vinden. Het agentschap geeft niet heel veel details, maar stelt dat aanvallers in de praktijk de cookies gebruiken om andere apparaten op het netwerk, die niet aan het internet zijn blootgesteld, te enumereren. bron: https://www.security.nl

Meer dan 28.000 mensen zijn door het downloaden van illegale software besmet geraakt met cryptomalware, zo stelt antivirusbedrijf Doctor Web. De gebruikers hadden illegale versies van kantoorsoftware geïnstalleerd, alsmede cheats voor online games en beleggingsbots. De software bevatte malware die het systeem van gebruikers inzette voor cryptomining, waarbij de rekenkracht van de computer wordt gebruikt voor het minen van cryptovaluta. Daarnaast biedt deze malware aanvallers ook toegang tot het besmette systeem. Daarnaast bevatte de malware ook een 'clipper' voor het stelen van cryptovaluta. Clipper-malware maakt gebruik van het feit dat cryptogebruikers die een betaling willen doen of geld naar een andere wallet willen overmaken hiervoor vaak het walletadres van de begunstigde kopiëren en vervolgens in een veld op de transactiepagina plakken. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. De aanvallers zouden op deze manier zeker zesduizend dollar aan crypto hebben buitgemaakt. Volgens Doctor Web zijn meer dan 28.000 slachtoffer van de malware geworden. "Aangezien de computers van slachtoffers door het installeren van illegale versies van populaire software besmet raakten, blijft het belangrijkste advies om dit soort incidenten te voorkomen het downloaden van software van officiële bronnen, het gebruik van opensource-alternatieven en installeren van adequate antivirussoftware." bron: https://www.security.nl

Firewalls van Palo Alto Networks zijn via verschillende kritieke kwetsbaarheden in Palo Alto Networks Expedition op afstand over te nemen, zo laat het securitybedrijf weten, dat updates heeft uitgebracht om de problemen te verhelpen. Via de kritieke kwetsbaarheden is command injection mogelijk en kan een ongeauthenticeerde aanvaller uit de Expedition-database gebruikersnamen, cleartext wachtwoorden, apparaatconfiguraties en API-keys van PAN-OS firewalls stelen. Via de gestolen inloggegevens zou een aanvaller vervolgens toegang tot de firewall kunnen krijgen. De impact van de drie kritieke kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score tussen de 9.2 en 9.9. Expedition is een tool voor het migreren van configuraties van een andere leverancier naar PAN-OS, het besturingssysteem dat op de netwerkapparaten van Palo Alto Networks draait. Het netwerkbedrijf zegt niet bekend te zijn met actief misbruik, maar waarschuwt dat proof-of-concept exploitcode op internet is te vinden. Details over de kwetsbaarheden zijn door securitybedrijf Horizon3.AI openbaar gemaakt. Naast het installeren van de beschikbaar gemaakte updates wordt organisaties ook aangeraden om te controleren of hun firewall al niet is gecompromitteerd. bron: https://www.security.nl

Het Internet Archive heeft de persoonlijke gegevens van 31 miljoen gebruikers gelekt. Het gaat om e-mailadressen, gebruikersnamen en met het bcrypt-algoritme gemaakte wachtwoordhashes. Dat heeft de archiveringswebsite via X bekendgemaakt. De gegevens werden eind september bij de website buitgemaakt, zo meldt datalekzoekmachine Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomen. De 31 miljoen gestolen e-mailadressen zijn inmiddels aan Have I Been Pwned toegevoegd. 54 procent daarvan was al via een ander datalek bij de zoekmachine bekend. Hoe de gegevens konden worden gestolen is niet bekend. De website liet enige tijd een melding van een aanvaller zien dat het te maken had met een datalek. Internet Archive laat daarover weten dat de website via een JavaScript-library is gedefacet en dat er gebruikersnamen, e-mailadressen en gesalte en gehashte wachtwoorden zijn gestolen. De website was de afgelopen dagen ook het doelwit van meerdere ddos-aanvallen. Het Internet Archive archiveert onder andere software, video's, audio en websites. Vorige maand had het Internet Archive meer dan 866 miljard webpagina's gearchiveerd. bron: https://www.security.nl

Mozilla waarschuwt gebruikers van Firefox voor een actief aangevallen kritieke kwetsbaarheid in de browser waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. Alleen het bezoeken van een gecompromitteerde of malafide website of te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Het probleem bevindt zich in een onderdeel genaamd 'Animation timelines', dat wordt gebruikt bij het weergeven van CSS-animaties. De kwetsbaarheid zorgt voor een use-after-free waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren. Mozilla heeft beveiligingsupdates voor de kwetsbaarheid uitgebracht, maar laat niet weten hoelang gebruikers al via het lek zijn aangevallen. Gebruikers worden opgeroepen te updaten naar Firefox 131.0.2, Firefox ESR 115.16.1 of Firefox ESR 128.3.1. Dit kan via Mozilla.org of de automatische updatefunctie. De impact van de kwetsbaarheid, aangeduid als CVE-2024-9680, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Tor Project heeft een nieuwe versie van Tor Browser uitgebracht, aangezien die op Firefox is gebaseerd, en roept gebruikers op meteen te updaten. bron: https://www.security.nl

Aanvallers maken gebruik van SharePoint, OneDrive en Dropbox voor het uitvoeren van phishingaanvallen en sinds halverwege april is er een toename zichtbaar, aldus Microsoft. Om detectie te voorkomen werken de aanvallers met afgeschermde bestanden die alleen voor de doelwitten van de aanval toegankelijk zijn. Daarnaast zijn de bestanden 'view-only', waardoor ze niet te downloaden zijn en beveiligingsoplossingen niet de aanwezigheid van embedded url's kunnen detecteren, stelt Microsoft. De aanval bestaat uit verschillende stappen, waarbij als eerste het SharePoint-, OneDrive- of Dropbox-account van een leverancier wordt gecompromitteerd die door het doelwit wordt vertrouwd. De aanvaller maakt vervolgens in de genoemde bestandshostingsdiensten een malafide bestand aan. Vervolgens wordt het bestand met alleen het doelwit of doelwitten gedeeld. Die ontvangen dan een bericht dat de vertrouwde leverancier met hen een bestand heeft gedeeld. De gebruikers moeten eerst inloggen voordat ze het bestand kunnen bekijken. Dit bestand is alleen toegankelijk voor het beoogde doelwit, zal na bepaalde tijd verdwijnen en het pdf-document dat via het bestand wordt gedeeld is niet te downloaden. Het malafide document doet zich voor als een 'preview' en probeert de gebruiker op een "View my message" link te laten klikken. Zodra de gebruiker op deze link klinkt wordt er een phishingpagina geladen die om inloggegevens vraagt en de multifactorauthenticatie probeert te voltooien. Via de phishingpagina krijgt de aanvaller een token in handen waarmee toegang tot het account van het doelwit wordt verkregen. Deze toegang wordt vervolgens gebruikt voor business email compromise (BEC) aanvallen, waaronder ook ceo-fraude valt. bron: https://www.security.nl

De Duitse overheid heeft een security-audit van wachtwoordmanager KeePass laten uitvoeren, die twee kleine, mogelijke problemen heeft opgeleverd. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, lanceerde in 2021 het 'Code Analysis of Open Source Software' (CAOS)-project. De bedoeling van dit project is het onderzoeken van opensourceprogramma's waar steeds meer overheden en mensen gebruik van maken. Eerder werd al gekeken naar communicatiesoftware Matrix, microbloggingplatform Mastodon en videoconferentiesoftware Jitsi en BigBlueButton. De nieuwste audit die het BSI liet uitvoeren is van wachtwoordmanager KeePass. De Duitse overheidsinstantie moet de resultaten nog op de eigen website publiceren, maar KeePass laat weten dat er twee kleine potentiële beveiligingsproblemen zijn aangetroffen en onderdelen van de code die verbeterd konden worden. Deze verbeteringen zijn inmiddels in versie 2.57.1 doorgevoerd. bron: https://www.security.nl

Microsoft heeft in een testversie van Edge nieuwe technologie beschikbaar gemaakt voor het tonen van gerichte advertenties binnen de browser. Vooralsnog zijn 'Privacy-Preserving Ads' niet beschikbaar voor gebruikers in Europa. Op den duur zal ook Edge third-party cookies, die vaak voor tracking worden gebruikt, uitfaseren. Om ervoor te zorgen dat gerichte advertenties toch mogelijk blijven kondigde Microsoft eerder dit jaar de 'Ad Selection API' aan. Het techbedrijf omschrijft de API als een 'browser platform feature' waarmee adverteerders en uitgevers zonder third-party cookies toch 'relevante advertenties' kunnen tonen. Hiervoor kijkt Microsofts nieuwe systeem naar het browsegedrag van gebruikers. Het techbedrijf claimt dat hierbij de privacy van gebruikers wordt beschermd en die 'volledige controle' over hun eigen data hebben. Net als bij huidige advertenties maakt ook Microsofts oplossing gebruik van advertentieveilingen. De feature is nu beschikbaar in de Canary- en Dev-versies van Edge, waar gebruikers de API zelf moeten inschakelen. Het gaat hier om vroege testversies, vooral bedoeld voor ontwikkelaars en gebruikers die als eerste nieuwe features willen testen. Microsoft stelt dat de huidige test zowel voor gebruikers als ontwikkelaars is bedoeld, die zo kunnen kijken hoe de nieuwe advertentiemethode op hun websites werkt. Of en wanneer de feature voor Europese gebruikers beschikbaar komt laat Microsoft niet weten. bron: https://www.security.nl

Malware die air-gapped systemen kan infecteren is jarenlang ingezet in Europa, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. De aanvallen zijn volgens de virusbestrijder het werk van een spionagegroep genaamd GoldenJackal, die een niet nader genoemde overheidsorganisatie in Europa van mei 2022 tot en met maart 2024 meerdere keren met de malware aanviel. Bij een air-gap is een systeem fysiek gescheiden van onveilige netwerken, zoals het internet of onveilige lokale netwerken. Een offline of niet verbonden computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. ESET ontdekte twee verschillende toolsets van de spionagegroep die air-gapped systemen via besmette usb-sticks proberen te infecteren. De initiële infectiemethode is echter onbekend. De aanval begint bij systemen die met internet verbonden zijn en besmet worden. Zodra op deze systemen een usb-stick wordt aangesloten zal de malware die infecteren. Wanneer de besmette usb-stick vervolgens op een air-gapped systeem wordt aangesloten, en de gebruiker de malware uitvoert, zal ook dit systeem besmet raken. ESET denkt dat de malware hiervoor een map-icoon gebruikt. De gebruiker denkt een map te openen, terwijl het in werkelijkheid een uitvoerbaar bestand is. Zodra de malware is uitgevoerd kopieert die gegevens van het air-gapped systeem naar de usb-stick. Zodra de usb-stick weer op het met internet verbonden systeem wordt aangesloten kan de gestolen data van het air-gapped systeem naar de aanvallers worden gestuurd. De eerste toolset om air-gapped systemen aan te vallen wordt volgens ESET al sinds 2019 door GoldenJackal ingezet. In dat jaar was een Zuid-Aziatische ambassade in Belarus het doelwit. De tweede toolset is sinds 2022 in gebruik. "Met de vereiste complexiteit is het vrij bijzonder dat GoldenJackal in vijf jaar tijd niet één, maar twee verschillende toolsets heeft ontwikkeld en uitgerold om air-gapped systemen te infecteren", aldus de onderzoekers. Volgens het antivirusbedrijf laat dit zien dat de spionagegroep een 'geraffineerde dreigingsactor' is, die bekend is met de netwerksegmentatie die doelwitten toepassen. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland honderdvijftig ‘small office and home office’ routers (soho-routers) geïdentificeerd die onderdeel van botnets zijn. Het grootste deel daarvan bevindt zich in Zuid-Holland. Voor eigenaren van ASUS-routers heeft de overheidsinstantie via GitHub een script beschikbaar gemaakt om de aanwezigheid van kwaadaardige processen en bestanden op het apparaat te controleren. De routers in kwestie zijn besmet met TheMoon-malware en Alogin-botnetmalware, zo laat het NCSC in een analyse weten. De malwarefamilies werden ontdekt tijdens onderzoek naar verdachte activiteiten op ASUS-netwerkrouters van bedrijven en consumenten. Zowel particulieren als bedrijven gebruiken deze routers voor hun internetverbinding. "Het betreft hier expliciet de apparatuur die consumenten en bedrijven zelf openstellen richting het internet en niet netwerkapparatuur die verstrekt is door internetproviders", zo stelt het NCSC. Het verdachte internetverkeer kwam aan het licht doordat de ip-adressen van deze routers gerapporteerd werden wegens veelvuldige authenticatiepogingen op ssh-servers. Ook werd duidelijk dat deze routers deel uitmaakten van het Alogin-botnet dat uit besmette Asus-routers bestaat. Het NCSC kon met toestemming van een eigenaar van een besmette ASUS-router de malware veilig stellen en vervolgens onderzoek doen. De analyse daarvan is een blogposting beschreven. Daarin doet de overheidsinstantie ook aanbevelingen, waaronder het tijdig installeren van firmware-updates, vervangen van end-of-life apparaten en het niet direct blootstellen van netwerkapparaten aan internet zonder juiste beveiligingsmaatregelen. Daarnaast werkt het NCSC samen met partners om contact op te nemen met en meldingen te sturen naar getroffen gebruikers. bron: https://www.security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft meer dan honderd kwetsbaarheden in verschillende producten verholpen, waaronder twee beveiligingslekken in Windows waar aanvallers actief misbruik van maken. Tevens zijn twee problemen in Windows gepatcht waardoor systemen zonder enige interactie van gebruikers op afstand door aanvallers zijn over te nemen. De eerste actief aangevallen kwetsbaarheid (CVE-2024-43573) bevindt zich in het Windows MSHTML-platform, waarin Microsoft de afgelopen maanden meerdere beveiligingslekken verhielp die al voor het uitkomen van de updates actief werden misbruikt. Via het beveiligingslek proberen aanvallers het doelwit een malafide bestand te laten openen dat op een PDF-bestand lijkt, maar in werkelijkheid een MSHTML-bestand is dat via Internet Explorer wordt uitgevoerd, ook al is de browser op het systeem uitgeschakeld. De tweede kwetsbaarheid (CVE-2024-43572) die Microsoft deze maand heeft gerepareerd en al voor het uitkomen van de patch werd misbruikt bevindt zich in de Microsoft Management Console. In dit geval moet een aanvaller het slachtoffer zover zien te krijgen om een malafide MMC snap-in te laden. Via de Microsoft Management Console is het mogelijk om admintools te maken, opslaan en openen. Een snap-in is een tool die binnen MMC wordt gehost. Microsoft geeft geen verdere details over de aard en omvang van het misbruik. Twee andere beveiligingslekken die deze maand opvallen, maar die volgens Microsoft niet worden misbruikt, zijn aanwezig in Remote Desktop Protocol Server (CVE-2024-43582) en Microsoft Configuration Manager (CVE-2024-43468). Beide kwetsbaarheden maken het mogelijk voor ongeauthenticeerde aanvallers om systemen op afstand zonder enige interactie van gebruikers over te nemen. In het geval van het lek in Remote Desktop Protocol Server moet een aanvaller hiervoor een speciaal geprepareerd pakket naar een RPC-host sturen. De kwetsbaarheid in de Configuration Manager is via het versturen van een speciaal request te misbruiken. De beschikbaar gestelde updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Ivanti Connect Secure en Policy Secure maakt het mogelijk voor aanvallers om code op vpn-servers uit te voeren. Het bedrijf heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Ivanti Connect Secure, eerder nog bekend als Pulse Secure, is een vpn-oplossing waarmee gebruikers toegang tot het netwerk van hun organisatie kunnen krijgen. In het verleden is Connect Secure vaker het doelwit van aanvallen geweest. De kwetsbaarheid (CVE-2024-37404) waarvoor Ivanti nu waarschuwt bevindt zich in de adminportal van de vpn-oplossing en is alleen te misbruiken als een aanvaller toegang tot inloggegevens van een beheerder heeft. Ondanks deze vereiste is de impact van het beveiligingslek op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Ivanti raadt organisaties aan de beschikbare update te installeren. Daarnaast wordt geadviseerd om admintoegang alleen voor de managementinterface in te schakelen en ervoor te zorgen dat deze interface verbonden is met een geïsoleerd intern netwerk. bron: https://www.security.nl

Een kwetsbaarheid in de WordPressplug-in LatePoint, die op duizenden websites actief is, laat aanvallers door middel van SQL Injection het adminwachtwoord wijzigen, om zo de website volledig over te nemen. Via LatePoint kunnen WordPress-sites online reserveringen en afspraken van gebruikers beheren. De plug-in zou op meer dan zevenduizend websites geïnstalleerd zijn, meldt securitybedrijf Wordfence. Onderzoekers vonden twee kritieke kwetsbaarheden in de plug-in. Het eerste probleem wordt veroorzaakt door het onvoldoende escapen van gebruikersinvoer, waardoor SQL Injection mogelijk is. Dit zorgt ervoor dat een ongeauthenticeerde aanvaller van elk account, waaronder de beheerder, het wachtwoord kan wijzigen. Voorwaarde voor misbruik is wel dat de optie 'Use WordPress users as customers' actief is, die standaard niet ingeschakeld staat. Het tweede probleem zorgt ervoor dat een gebruiker als elke gebruiker kan inloggen, waaronder de beheerder, als het 'user id' bekend is. Wederom moet de optie 'Use WordPress users as customers' zijn ingeschakeld. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van LatePoint kwamen op 24 september met een volledige update. Daarop heeft Wordfence nu de details openbaar gemaakt. Het gaat hier om een commerciële plug-in, waardoor er geen cijfers zichtbaar zijn van hoeveel sites niet up-to-date zijn, zoals met plug-ins op WordPress.org wel het geval is. bron: https://www.security.nl

Chipfabrikant Qualcomm waarschuwt voor een actief misbruikte kwetsbaarheid die aanwezig is in een groot aantal chipsets. Het bedrijf heeft firmware-updates uitgebracht om het probleem te verhelpen. Smartphonefabrikanten moeten die update binnen hun eigen patches verwerken en onder hun gebruikers uitrollen. De kwetsbaarheid, aangeduid als CVE-2024-43047, bevindt zich in een onderdeel verantwoordelijk voor 'digital signal processing'. Een aanvaller die al toegang tot de telefoon heeft kan dit beveiligingslek misbruiken voor het veroorzaken van een use after free. Hierdoor kan een aanvaller onder andere code uitvoeren of zijn rechten verhogen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het probleem raakt meer dan zestig chipsets van Qualcomm. Verdere details over het beveiligingslek of de waargenomen aanvallen zijn niet gegeven. Qualcomm meldt alleen dat misbruik is bevestigd door Google Project Zero en Amnesty International Security Lab, wat doet vermoeden dat het lek is gebruikt bij de verspreiding van spyware. Het CVE-nummer staat nog niet in de beveiligingsbulletins van Google en Samsung vermeld. "Hopelijk wordt de kwetsbaarheid snel op Androidtoestellen verholpen", zo laat de Google-onderzoeker weten die het probleem ontdekte. bron: https://www.security.nl

Mozilla gaat een actievere rol spelen in online advertenties, waarbij een balans tussen commercieel gewin en publiek belang cruciaal is, zo heeft de Firefox-ontwikkelaar aangekondigd. De afgelopen weken kwam Mozilla onder vuur te liggen vanwege tracking in Firefox. Er werd zelfs een klacht over Mozilla bij de Oostenrijkse privacytoezichthouder ingediend. Volgens Mozilla-president Mark Surman is de huidige advertentie-industrie 'fundamenteel kapot', maar ziet hij geen toekomst waarbij advertenties zullen verdwijnen. Mensen staan in het huidige advertentielandschap niet op de eerste plaats en hun privacy wordt niet gerespecteerd, aldus Surman. "Er moeten betere opties komen. Mozilla kan een sleutelrol spelen in het ontwikkelen van deze betere opties, niet alleen door ervoor te pleiten, maar ook door ze daadwerkelijk te bouwen." De Mozilla-president merkt op dat online advertenties niet te negeren zijn. "Het is een belangrijke factor voor hoe het internet werkt en wordt gefinancierd. We moeten het recht in de ogen kijken en proberen te repareren." De oplossing die Mozilla voor zich ziet bestaat uit wetgeving, standaarden en producten die privacy respecterende advertenties mogelijk maken. Surman ziet geen wereld voor zich waarin advertenties er niet meer zijn, maar kan zich naar eigen zeggen wel een wereld voorstellen waarin online adverteren op een manier gebeurt waarbij de privacy van iedereen wordt gerespecteerd en waar commerciële en publieke belangen in balans zijn. "Mozilla wordt actiever in online adverteren. Onze hypothese is dat we tegelijkertijd moeten werken aan openbaar beleid, standaarden, producten en infrastructuur", zegt Mozilla-ceo Laura Chambers. Zowel Chambers als Surman maken excuses voor de 'verwarring en zorgen' die zijn ontstaan over de Privacy Preserving Attribution technologie in Firefox. De methode waarmee Mozilla binnen Firefox wil meten hoe succesvol advertenties zijn. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritiek SQL Injection-lek in Ivanti Endpoint Manager (EPM), zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Ivanti kwam afgelopen mei met updates voor de kwetsbaarheid, aangeduid als CVE-2024-29824. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server kan dan ook vergaande gevolgen hebben, omdat zo ook andere apparaten van de organisatie zijn aan te vallen. Via CVE-2024-29824 kan een ongeauthenticeerde aanvaller willekeurige code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. Op het moment dat Ivanti het probleem in mei verhielp waren er volgens het bedrijf nog geen aanwijzingen dat er misbruik van werd gemaakt. Volgens het CISA is dat inmiddels wel het geval. Details over de waargenomen aanvallen zijn niet gegeven. Amerikaanse overheidsinstantie die met Ivanti EPM werken zijn opgedragen om de beveiligingsupdates voor 23 oktober te installeren. bron: https://www.security.nl

Honderdduizenden routers van fabrikant DrayTek bevatten een kritiek beveiligingslek waardoor ze op afstand door aanvallers zijn over te nemen. Dat stelt securitybedrijf Forescout op basis van eigen onderzoek. DrayTek heeft firmware-updates uitgebracht, maar elf van de 24 kwetsbare routermodellen zijn end-of-life en worden niet meer met patches ondersteund. Ook voor deze modellen heeft DrayTek echter updates uitgebracht. Volgens onderzoekers zijn 704.000 DrayTek-routers vanaf internet benaderbaar, waarvan er 43 procent end-of-life zijn. Onderzoekers van Forescout vonden in totaal veertien kwetsbaarheden in de routermodellen. De gevaarlijkste daarvan is CVE-2024-41592. Dit beveiligingslek maakt remote code execution mogelijk. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Forescout telde op internet 704.000 routers waarvan de gebruikersinterface benaderbaar is. Meer dan 425.000 daarvan bevinden zich in de EU. Van de aangetroffen routers is 43 procent end-of-life, 20 procent end-of-service en 37 procent wordt nog actief ondersteund. 72 procent van deze routers is volgens Forescout bij mkb-bedrijven in gebruik. Beheerders worden aangeraden om beschikbare firmware-updates te installeren. In het geval van routers die end-of-life zijn wordt geadviseerd die te vervangen. Tevens krijgen beheerders het advies om remote toegang uit te schakelen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid waardoor het mogelijk is om commando's op Zimbra-mailservers uit te voeren, zo waarschuwt securitybedrijf Proofpoint. Zimbra kwam vorige maand met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-45519. Eind september verscheen er proof-of-concept exploitcode online. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige commando's op de mailserver uitvoeren. In het beveiligingsbulletin spreekt Zimbra van het uitvoeren van commando's, terwijl Proofpoint het over remote code execution heeft. Bij de aanvallen versturen de aanvallers e-mails die van Gmail afkomstig lijken en in het CC-veld de malafide commando's bevatten. Volgens securitybedrijf HarfangLab vindt er inmiddels grootschalig misbruik plaats. Via de kwetsbaarheid installeren de aanvallers een webshell, zodat ze toegang tot de mailserver behouden en verdere aanvallen kunnen uitvoeren. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

UBlock-ontwikkelaar Raymond Hill heeft de lite-versie van zijn adblocker van Mozilla Add-ons verwijderd, nadat dit eerder ten onrechte door Mozilla zelf werd gedaan. UBlock Origin is veruit de populairste Firefox-extensie, met meer dan 8,4 miljoen gebruikers. De nummer twee, Video DownloadHelper, volgt op afstand met 1,9 miljoen gebruikers, wat aangeeft hoe populair uBlock Origin is. De manier waarop extensies in onder andere Google Chrome en Mozilla Firefox werken staat beschreven in een Manifest. Lange tijd werkten browsers met Manifest V2, maar Google is bezig om deze versie uit te faseren en te vervangen door Manifest V3. Deze versie kent echter allerlei beperkingen voor voornamelijk adblockers. Er is geen Manifest V3-versie van uBlock Origin beschikbaar. Vanwege de nieuwe Manifest V3-regels lanceerde Hill twee jaar geleden een 'lite' versie van de adblocker genaamd uBlock Origin Lite. Dit is een beperkte versie van uBlock Origin met minder mogelijkheden. Huidige gebruikers van uBlock Origin zullen niet automatisch naar de lite-versie worden overgezet, omdat er te grote verschillen zijn. Mozilla heeft aangegeven Manifest V2 voorlopig te blijven ondersteunen. De lite-versie van de adblocker is echter ook beschikbaar voor Firefox-gebruikers en was te downloaden via addons.mozilla.org. Ruim vijfduizend Firefox-gebruikers hadden dit gedaan. Onlangs kreeg Hill twee e-mails van Mozilla dat zijn nieuwste versies van uBlock Origin Lite niet aan de regels voldeden. Zo zou de extensie geen privacybeleid hebben en 'geen toegang voor dataverzamelen' vragen, ook al doet de extensie dit helemaal niet. Hill liet weten dat hij geen 'tijd of motivatie' had om aan 'deze nonsens' te verspillen. Mozilla verwijderde de recente versies van uBlock Origin Lite en liet alleen de allereerste versie staan. Een aantal dagen later liet Mozilla in een reactie op de kritiek van Hill weten dat het inderdaad om een fout ging en de beslissing incorrect was. Daarop werden de nieuwe versies van de extensie weer teruggeplaatst. De uBlock-ontwikkelaar is naar eigen zeggen helemaal klaar met het controleproces van Mozilla en heeft nu besloten uBlock Origin Lite van addons.mozilla.org te verwijderen en de extensie zelf via GitHub te hosten. bron: https://www.security.nl

Criminelen zijn erin geslaagd om in te breken op webservers van hostingbedrijf Rackspace, zo heeft het bedrijf aan klanten laten weten. De aanvallers maakten gebruik van een kwetsbaarheid in het SL1-monitoringplatform van ScienceLogic dat Rackspace gebruikt. De kwetsbaarheid was op het moment van de aanval onbekend, aldus Rackspace tegenover verschillende media. Volgens het hostingbedrijf worden de getroffen systemen gebruikt voor het genereren van interne performancerapporten en blijkt uit forensisch onderzoek dat er geen toegang tot klantconfiguraties of hun gehoste data is verkregen. Wel hadden de aanvallers toegang tot monitoringinformatie met een 'low-security sensitivity'. Waar deze informatie precies uit bestond laat Rackspace niet weten. Wel zegt het hostingbedrijf dat alle getroffen klanten zijn ingelicht en die geen verdere stappen hoeven te ondernemen. Vanwege de aanval hadden klanten geen toegang tot het monitoringdashboard. De kwetsbaarheid die de aanvallers gebruikten bevond zich in een niet nader genoemde 'third-party utility' die met het SL1-platform wordt meegeleverd. Het probleem is inmiddels door ScienceLogic verholpen. ScienceLogic laat aan The Register weten dat er geen CVE-nummer voor de kwetsbaarheid is uitgegeven. bron: https://www.security.nl

icrosoft is begonnen met de uitrol van Windows 11 versie 24H2, ook bekend als de Windows 11 2024 Update. Deze versie bevat allerlei nieuwe features en zal op de Enterprise en Education versies van Windows 11 drie jaar lang door Microsoft worden ondersteund. Windows 11 versie 24H2 bevat op het gebied van security verschillende nieuwe onderdelen, waaronder Personal Data Encryption (PDE) voor bekende Windows-mappen en Windows protected print mode. Daarmee hoeft er geen gebruik meer worden gemaakt van third-party software installers. Verder is support voor Wi-Fi 7 toegevoegd, een nieuwe wifi-standaard, en zal Windows 11 voortaan ook het hashing-algoritme SHA-3 ondersteunen. Gebruikers kunnen nu ook zien welke apps toegang tot wifi-netwerken in de omgeving hebben en zijn verschillende delen van de Windows-kernel via 'memory safe' programmeertaal Rust herschreven. Daarnaast zijn er ook aanpassingen aan het Server Message Block (SMB) protocol doorgevoerd en ondersteunt Windows nu het maken van 7-zip- and TAR-archiefbestanden. Windows 11 versie 24H2 is beschikbaar via Windows Server Update Services (WSUS) en Windows Update for Business. Het techbedrijf laat weten een gefaseerde uitrol te hanteren en het onder gebruikers te verspreiden als data aantoont dat hun apparaat er klaar voor is. In de aankondiging laat Microsoft ook weten dat het aanpassingen aan de fel bekritiseerde Recall-feature heeft doorgevoerd. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Standaard staat de feature uit voor alle commerciële apparaten en moet het via een policy worden toegestaan voordat gebruikers zich via een opt-in kunnen aanmelden. Eenmaal ingeschakeld worden gebruikers eerst via Windows Hello bevestigd voor de feature beschikbaar is. bron: https://www.security.nl

Vpn-providers beschermen niet je privacy op internet en zijn niet te vertrouwen, zowel de gratis als betaalde aanbieders, zo stelt TechCrunch in een serie artikelen waarin het stelt dat de meeste mensen geen vpn nodig hebben. Wanneer een vpn wel is vereist is het verstandiger om zelf een vpn-server op te zetten, aldus het online magazine. "Vpn-providers zijn bijna overal", merkt redacteur Zack Whittaker op. Hij wijst naar alle online advertenties en influencers op YouTube die reclame voor vpn-diensten maken. "Vpn's zijn een bloeiende industrie die beweren je privacy te beschermen door je anoniem op internet te houden door je browsegeschiedenis te verbergen. Geloof het niet. Vpn-providers zijn over het algemeen niet goed voor je privacy." Whittaker benadrukt dat een vpn-provider alleen het verkeer van gebruikers omleidt via de eigen servers. "Dat roept de vraag op: Waarom zou je een vpn die belooft je privacy te beschermen meer vertrouwen dan je internetprovider? Het eenvoudige antwoord is dat je dat niet kunt, en dat je dat ook niet zou moeten doen." Eén van de problemen is dat gebruikers niet kunnen zien wat er met hun data gebeurt, merkt de redacteur op. TechCrunch heeft een eenvoudige flowchart gemaakt waarin staat wanneer het nuttig kan zijn een vpn te gebruiken. Het gaat dan vooral om het omzeilen van geografische beperkingen om content in een andere regio te bekijken. "Vpn's kunnen in bepaalde gevallen handig zijn, maar het is belangrijk om hun beperkingen te kennen. Vertrouw niet op vpn-providers om je privacy of anonimiteit te beschermen", besluit Whittaker. Wie toch een vpn nodig heeft kan die volgens TechCrunch beter zelf opzetten, waarbij een uitleg wordt gegeven om een eigen server gebaseerd op Tailscale op te zetten. bron: https://www.security.nl