Captain Kirk

Microsoft heeft opnieuw gewaarschuwd voor een groep die op grote schaal password spray-aanvallen uitvoert. De groep, die door Microsoft 'Peach Sandstorm' wordt genoemd, is volgens het techbedrijf verantwoordelijk voor aanvallen op duizenden organisaties. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. "In tegenstelling tot bruteforce-aanvallen, waarbij een enkel account met veel wachtwoorden wordt bestookt, helpen password spray-aanvallen aanvallers om hun kans op succes te vergroten en de kans op automatische lock-outs te verkleinen", aldus Microsoft. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Vorig jaar september kwam Microsoft ook al met een waarschuwing voor de groep. In april en mei van dit jaar zag Microsoft password spray-aanvallen tegen organisaties in de defensie-, ruimte-, onderwijs- en overheidssector in de Verenigde Staten en Australië. Daarbij maakte de groep, net als bij andere aanvallen, gebruik van de “go-http-client” user agent, aldus Microsoft. In het geval van een succesvolle aanval adviseert Microsoft naast het resetten van wachtwoorden ook het intrekken van session cookies, alsmede het ongedaan maken van MFA-aanpassingen die de aanvallers bij gecompromitteerde accounts doorvoerden. Verder moeten organisaties onveilige wachtwoorden weren en is het verstandig om bij accounts met hogere rechten die het doelwit waren een onderzoek uit te voeren. bron: https://www.security.nl

Meer dan honderdduizend websites lopen door een kritieke kwetsbaarheid in een gebruikte plug-in het risico om te worden aangevallen en een beveiligingsupdate is niet beschikbaar. Volgens securitybedrijf Patchstack gaat het om een zeer gevaarlijke kwetsbaarheid en zal het naar verwachting op grote schaal door criminelen worden misbruikt. Het beveiligingslek is aanwezig in TI WooCommerce Wishlist waarmee webshops klanten de optie kunnen bieden om producten op een wishlist te plaatsen, zodat die op een later moment zijn aan te schaffen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Wishlist-plug-in. Volgens cijfers van WordPress.org maken meer dan honderdduizend websites gebruik van de plug-in. Die blijkt gebruikersinvoer niet goed te escapen, waardoor voor ongeauthenticeerde aanvallers SQL-Injection mogelijk is. Een aanvaller kan zo bijvoorbeeld de inhoud van de database stelen of andere aanvallen uitvoeren. Patchstack heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Securitybedrijf Wordfence hanteert een impactscore van 9.8. De ontwikkelaar van de plug-in heeft geen update beschikbaar gesteld, waardoor alle websites die van de plug-in gebruikmaken risico lopen. bron: https://www.security.nl

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg. Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding. Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen. bron: https://www.security.nl

De makers van chatsoftware Pidgin waarschuwen voor een malafide plug-in die via de officiële website werd geadverteerd en een keylogger bevatte. Ook maakte de 'ss-otr' plug-in screenshots en stuurt die samen met onderschepte inloggegevens naar derden. Pidgin biedt een pagina met daarop third-party plug-ins die volgens de omschrijving zijn ontwikkeld door 'trusted authors'. De malafide plug-in werd op 6 juli aan het overzicht op Pidgin.im toegevoegd. Op 16 augustus kregen de Pidgin-ontwikkelaars een melding dat er een keylogger in de plug-in aanwezig was en die screenshots maakte. Daarop werd de plug-in 'stilletjes' van de pagina verwijderd en een onderzoek gestart. Vorige week kon worden bevestigd dat er inderdaad een keylogger in de plug-in aanwezig is. Volgens de Pidgin-ontwikkelaars werd de keylogger niet opgemerkt omdat de plug-in geen broncode verstrekte, maar alleen binaries om te downloaden. Voortaan wordt voor alle plug-ins verplicht dat ze een link naar een OSI Approved Open Source License hebben en er enige due diligence is verricht om te verifiëren dat de plug-in veilig voor gebruikers is. Pidgin adviseert gebruikers die de malafide plug-in hebben geïnstalleerd om die meteen te verwijderen. bron: https://www.security.nl

Internetproviders en managed serviceproviders zijn sinds juni het doelwit van aanvallen waarbij een kwetsbaarheid in Versa Director wordt gebruikt om malware te installeren waarmee inloggegevens van klanten kunnen worden gestolen, zo stelt securitybedrijf Lumen. Versa kwam gisteren met een beveiligingsbulletin waarin het voor de kwetsbaarheid waarschuwt. Vorige week waarschuwde de Amerikaanse overheid al voor actief misbruik van het lek. Versa Director is een platform dat wordt gebruikt om netwerkconfiguraties te beheren van clients die de SD-WAN software van Versa gebruiken. Het wordt vooral gebruikt door internetproviders en managed serviceproviders. Een kwetsbaarheid in het product (CVE-2024-39717) maakt het mogelijk voor een aanvaller met adminrechten om malafide bestanden naar de server te uploaden. Bij de aanvallen die Lumen waarnam werd via het beveiligingslek een webshell geïnstalleerd. Via een webshell kunnen aanvallers toegang tot een gecompromitteerde server behouden en verdere aanvallen uitvoeren. In dit geval bleek dat het primaire doel van de webshell was om inloggegevens te onderscheppen, waarmee het mogelijk was om als geauthenticeerde gebruiker toegang tot de netwerken van downstream klanten te krijgen. De gegevens worden in plaintext onderschept als klanten ze invoeren, aldus de uitleg van Lumen. "Eenmaal geïnjecteerd kaapt de webshell de authenticatiefunctie van Versa, waardoor aanvallers passief inloggegevens in plaintext kunnen onderscheppen, waardoor het mogelijk wordt om de downstream infrastructuur van klanten via legitieme inloggegevens te compromitteren", zo stelt het securitybedrijf. Dat zegt dat het bij vijf internetproviders en managed serviceproviders de malware heeft aangetroffen, maar geeft geen namen. De aanvallen werden begin deze maand nog waargenomen. Er zijn meerdere Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of ze gecompromitteerd zijn. bron: https://www.security.nl

Een kritieke kwetsbaarheid in WPML, een plug-in voor WordPress-sites met meer dan één miljoen installaties, maakt het mogelijk om kwetsbare websites op afstand over te nemen. De impact van de kwetsbaarheid (CVE-2024-6386) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Op 20 augustus is een update voor de plug-in verschenen en nu zijn de details van de kwetsbaarheid openbaar gemaakt. WPML is een plug-in die WordPress-sites meertalig maakt. Meer dan één miljoen websites maken er gebruik van. Door onvoldoende invoervalidatie is server-side template injection mogelijk, wat kan leiden tot remote code execution. Daarmee is het mogelijk om de website volledig over te nemen, aldus securitybedrijf Wordfence. Om misbruik van de aanval te maken moet een aanvaller wel geauthenticeerde toegang tot de post editor hebben. Wordfence zegt dat het de ontwikkelaar van de plug-in op 27 juni informeerde. Er kwam geen reactie, waarop op 7 juli een tweede poging werd gedaan. Wederom kwam er geen reactie, waarop op 29 juli een derde poging volgde. Uiteindelijk verscheen op 20 augustus versie 4.6.13 waarin het probleem is verholpen. WPML is een betaalde plug-in, er zijn dan ook geen cijfers beschikbaar van het aantal installaties dat is bijgewerkt of niet, zoals bij plug-ins het geval is die direct via WordPress.org worden aangeboden. Beheerders krijgen het advies om zo snel mogelijk te updaten. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Chrome waar op 21 augustus een update voor verscheen. Het beveiligingslek, aangeduid als CVE-2024-7965, bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. Op 21 augustus kwam Google met updates voor Chrome die een actief aangevallen V8-kwetsbaarheid verhielpen met het CVE-nummer CVE-2024-7971. Gisterenavond heeft Google het beveiligingsbulletin bijgewerkt en laat nu weten dat aanvallers ook misbruik van CVE-2024-7965 maken. Dit werd na het uitkomen van de updates bij Google gemeld. Details over de aanvallen zijn niet gegeven. De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Beide kwetsbaarheden zijn verholpen in Google Chrome 128.0.6613.84/.85 voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is de update waarmee beide beveiligingslekken zijn verholpen op 22 augustus uitgekomen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in het besturingssysteem dat op firewalls van fabrikant SonicWall draait maakt het mogelijk voor aanvallers om de apparaten of stand aan te vallen. SonicWall heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Via het beveiligingslek in SonicOS, aangeduid als CVE-2024-40766, kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen. Verdere details zijn niet door SonicWall gegeven, behalve dat het een 'improper access control' kwetsbaarheid betreft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Als workaround wordt aangeraden om toegang tot het firewall management te beperken tot alleen vertrouwde bronnen of toegang vanaf het internet tot het firewall WAN management uit te schakelen. bron: https://www.security.nl

Ik heb jaren met Pinnacle gewerkt en had toen ook al last van dit probleem. Wanneer je een beetje Google-t, kom je op meerdere fora mensen met dit probleem tegen. Er worden wel wat mogelijke oplossingen besproken, maar deze helpen niet of maar een beetje. Het lijkt een vaak voorkomend probleem te zijn waar niet echt een oplossing voor is. Ik hoop dat je de licentiesleutel weer naar voren kunt toveren en dat dan een nieuwe installatie wel het probleem voor je op zal lossen. Hou ons op de hoogte.

De criminelen achter de Qilin-ransomware stelen bij aangevallen bedrijven en organisaties wachtwoorden van besmette machines. Het gaat dan specifiek om inloggegevens die door medewerkers in Google Chrome zijn opgeslagen. Dat laat antivirusbedrijf Sophos weten. De virusbestrijder roept op om geen wachtwoorden in de browser op te slaan en een aparte wachtwoordmanager te gebruiken. Net als veel andere ransomwaregroepen steelt ook de Qilin-groep eerst allerlei data van organisaties, voordat systemen worden versleuteld. Onlangs onderzocht Sophos een aanval op een organisatie. De aanvallers hadden door middel van gecompromitteerde VPN-inloggegevens toegang tot de organisatie gekregen. De niet nader genoemde VPN-oplossing maakte geen gebruik van multifactorauthenticatie. Nadat de aanvallers toegang hadden voerden ze een script uit waarmee van alle op het netwerk aangesloten machines de in Google Chrome opgeslagen wachtwoorden werden gestolen. Hierna werden alle hierbij gebruikte bestanden en event logs van zowel de domeincontroller als besmette machines verwijderd. Volgens het antivirusbedrijf werd dit gedaan om het lastiger te maken om de omvang van de datadiefstal te bepalen. Nadat het bewijs was verwijderd werden op de systemen alle bestanden versleuteld en de 'ransom note' achtergelaten. "Een dergelijke succesvolle aanval houdt in dat verdedigers niet alleen alle Active Directory-wachtwoorden moeten wijzigen, maar ook (in theorie) eindgebruikers moeten vragen om hun websites voor tientallen, mogelijk honderden, third-party sites aan te passen waarvoor gebruikers hun inloggegevens in de Chrome-browser hebben opgeslagen", zegt Lee Kirkpatrick van Sophos. Hij adviseert organisaties om van aparte wachtwoordmanager-applicaties gebruik te maken. "Het is keer op keer bewezen dat het gebruik van een browser-gebaseerde wachtwoordmanager onveilig is." bron: https://www.security.nl

WordPress-sites aangevallen via kritiek lek in LiteSpeed Cache Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen. Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.

De helpdesksoftware van SolarWinds is kwetsbaar door de aanwezigheid van een hardcoded credential, waardoor een ongeauthenticeerde aanvaller toegang tot het systeem kan krijgen en data kan aanpassen. Het gaat om een kritiek beveiligingslek waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.1. SolarWinds Web Help Desk is webgebaseerde helpdesksoftware waarmee organisaties verzoeken van hun medewerkers of gebruikers kunnen afhandelen. SolarWinds kwam vandaag met een beveiligingsbulletin dat er een update voor de kwetsbaarheid beschikbaar is, die wordt aangeduid als CVE-2024-28987. Details over het lek zijn verder niet gegeven. Het probleem is verholpen in versie 12.8.3 HF2. Een week geleden waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van een andere kwetsbaarheid (CVE-2024-28986) in de helpdesksoftware. bron: https://www.security.nl

Google waarschuwt voor een kwetsbaarheid in Chrome waar aanvallers actief misbruik van maken en heeft gisterenavond updates uitgebracht om het probleem te verhelpen. Misbruik van het beveiligingslek vond al voor het uitkomen van de patches plaats. De kwetsbaarheid in V8 werd gevonden en gerapporteerd door Microsoft. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het probleem werd op 19 augustus door Microsoft aan Google gemeld. Het is al de zesde keer dit jaar dat Google actief aangevallen Chrome-kwetsbaarheden patcht. Google Chrome 128.0.6613.84/.85 is beschikbaar voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Microsoft maakt de omstreden Windows-feature Recall in oktober beschikbaar voor Windows Insiders. In juni kreeg Microsoft felle kritiek te verduren van beveiligings- en privacyexperts, die voor de gevolgen van Recall waarschuwden. Recall is een nieuwe 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Vanwege de felle kritiek kondigde Microsoft aan dat het Recall opt-in ging maken, in plaats van standaard in te schakelen. Daarnaast werd ook de release uitgesteld. Nu laat het techbedrijf weten dat Recall in oktober beschikbaar komt voor Windows Insiders. Microsoft stelt dat security de "topprioriteit" van het bedrijf blijft en het bij de uitrol van Recall met meer details komt. bron: https://www.security.nl

Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in GitHub Enterprise Server maakt het voor ongeauthenticeerde aanvallers mogelijk om kwetsbare servers op afstand over te nemen. GitHub heeft updates uitgebacht om het probleem te verhelpen. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Toegang kan onder andere worden geregeld door middel van SAML (Security Assertion Markup Language) single sign-on (SSO) via een identiteitsprovider. Een "XML signature wrapping" kwetsbaarheid bij enterprise servers die van SAML-authenticatie met bepaalde identiteitsproviders gebruikmaken zorgt ervoor dat een ongeauthenticeerde aanvaller met toegang tot de server, SAML-responses kan vervalsen om zo toegang te krijgen tot een gebruiker met beheerdersrechten. Misbruik van het beveiligingslek zorgt ervoor dat een aanvaller zonder eerst in te loggen ongeautoriseerde toegang kan krijgen, aldus de beschrijving van het lek. De impact van de kwetsbaarheid (CVE-2024-6800) is op een schaal van 1 tot en met 10 beoordeeld met een 9.5. Het probleem is verholpen in versies 3.13.3, 3.12.8, 3.11.14 en 3.10.16. bron: https://www.security.nl

Tienduizenden WordPress-sites lopen door een kritieke kwetsbaarheid in donatieplug-in GiveWP het risico om door aanvallers te worden overgenomen. Via GiveWP kunnen WordPress-sites donaties ontvangen of een fundraiser opzetten. Meer dan honderdduizend WordPress-sites maken gebruik van de plug-in. Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller door middel van ongeauthenticeerde ' PHP object Injection' op afstand willekeurige code op het systeem kan uitvoeren. Bij PHP object Injection wordt gebruikersinvoer niet goed gesanitized, waardoor het mogelijk is om een payload te injecteren die een PHP object wordt, aldus securitybedrijf Wordfence. In het geval van de kwetsbaarheid in GiveWP kan een aanvaller willekeurige code uitvoeren, willekeurige bestanden verwijderen waaronder de WordPress-configuratie en een kwetsbare website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Wordfence waarschuwde de ontwikkelaar op 13 juni, maar kreeg geen reactie. Op 28 juni volgde een tweede poging. Deze tweede poging had ook geen resultaat, waarop op 6 juli het securityteam van WordPress.org werd gewaarschuwd. Op 7 augustus kwam de ontwikkelaar met versie 3.14.2 waarin het probleem is verholpen. Gebaseerd op cijfers van WordPress.org over het aantal WordPress-sites dat beschikbare updates installeert, blijkt dat meer dan veertigduizend sites niet up-to-date zijn en risico op aanvallen lopen. bron: https://www.security.nl

Aanvallers hebben sinds juni een kwetsbaarheid in Windows gebruikt voor de installatie van een rootkit, zo stelt securitybedrijf Gen Digital. Microsoft rolde vorige week dinsdag een beveiligingsupdate uit om het probleem te verhelpen. Via het beveiligingslek in de Windows Ancillary Function Driver, aangeduid als CVE-2024-38193, kan een aanvaller die al toegang tot een systeem heeft SYSTEM-rechten krijgen. Deze rechten gebruikten de aanvallers voor de installatie van de FudModule-rootkit, waarmee de aanvallers hun activiteiten voor aanwezige beveiligingssoftware kunnen verbergen, aldus het securitybedrijf. Ook kan de rootkit aanwezige antivirus- en monitoringssoftware uitschakelen. "De kwetsbaarheid liet aanvallers normale beveiligingsbeperkingen omzeilen en gevoelige systeemgebieden bereiken die die meeste gebruikers en systeembeheerders niet kunnen bereiken", zegt Emma Brownstein van Gen Digital, waar onder andere Norton, Avast, Avira, AVG en CCleaner deel van uitmaken. Het is niet voor het eerst dat aanvallers voor de installatie van de FudModule-rootkit een kwetsbaarheid in Windows gebruiken waar op het moment van de aanval geen update voor beschikbaar is. Dat gebeurde ook al eerder dit jaar. Volgens Gen Digital zit de Noord-Koreaanse Lazarus Group achter de aanvallen. De groep wordt verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Daarnaast zou de groep honderden miljoenen euro's aan cryptovaluta bij cryptobeurzen en -bedrijven hebben gestolen. bron: https://www.security.nl

QNAP heeft een nieuwe versie van QTS uitgebracht, die NAS-apparaten tegen ransomware moet beschermen. QTS is het besturingssysteem dat op de NAS-apparaten van QNAP draait. Met QTS 5.2 is er een nieuwe feature toegevoegd die bestanden actief monitort op verdacht gedrag. Wanneer 'verdacht bestandsgedrag' wordt gedetecteerd zal het systeem bestanden back-uppen of de bestandsactiviteit blokkeren. Het gaat onder andere om het activeren van een read-only mode en het maken van een snapshot. Daarnaast wordt de gebruiker gewaarschuwd. Gebruikers kunnen de beveiligingsmaatregelen tegen ransomware of menselijke fouten aanpassen, om zo het risico op dataverlies te voorkomen wanneer ongewone bestandsactiviteiten zich voordoen. Via een dashboard kunnen gebruikers ook zien hoe vaak bestanden op hun NAS worden aangepast, aangemaakt of verwijderd. De feature moet risico's van ransomware of menselijke fouten tegengaan, aldus QNAP. De afgelopen jaren zijn NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Hierbij werden bestanden op tienduizenden NAS-apparaten versleuteld en moesten gebruikers losgeld betalen om weer toegang tot hun data te krijgen. Om toegang tot de systemen te krijgen maakten de aanvallers gebruik van bekende kwetsbaarheden waarvoor updates beschikbaar waren, maar die niet door gebruikers waren geïnstalleerd, maar ook zerodaylekken waar geen patches voor waren ontwikkeld. bron: https://www.security.nl

Verschillende kritieke kwetsbaarheden in digitale leeromgeving Moodle maken het mogelijk voor een aanvaller om op afstand malafide code uit te voeren, beheerderstaken uit te voeren, informatie te achterhalen, data aan te passen of beveiligingsmaatregelen te omzeilen. De makers hebben updates uitgebracht waarmee de in totaal zestien kwetsbaarheden zijn verholpen. Moodle is een gratis open source leermanagementsysteem (LMS) dat wereldwijd door onderwijsinstellingen wordt gebruikt. Meerdere van de kwetsbaarheden zijn aangemerkt als 'serious', waaronder één die remote code execution mogelijk maakt, alsmede een IDOR-kwetsbaarheid en de mogelijkheid om willekeurige bestanden te lezen. De Duitse overheid adviseert beheerders om de updates tijdig te installeren. bron: https://www.security.nl

Verschillende Microsoft-apps voor macOS laten een aanvaller meeliften op gegeven permissies, om bijvoorbeeld zonder gebruikersinteractie toegang tot de camera te krijgen of e-mails te versturen, en hoewel Microsoft is ingelicht, zijn de problemen niet verholpen, zo laat Cisco weten. De problemen werden in acht Microsoft-apps gevonden, maar zijn nog aanwezig in Microsoft Excel, Outlook, PowerPoint en Word. Een malafide app op het systeem kan hier misbruik van maken en zo de permissies gebruiken die de Microsoft-apps hebben. Dit is mogelijk doordat een aanvaller via de malafide app in de processen van de Microsoft-applicaties een library kan injecteren. Deze library krijgt dan alle permissies die de applicatieprocessen hebben. "Een aanvaller zou bijvoorbeeld e-mails via het gebruikersaccount kunnen versturen zonder dat de gebruiker dit opmerkt, audio opnemen, foto's maken of video's opnemen, allemaal zonder enige gebruikersinteractie", aldus Cisco. De applicaties van Microsoft maken wel gebruik van bescherming tegen 'library injection'-aanvallen, maar ze hebben ook een optie ingeschakeld genaamd 'com.apple.security.cs.disable-library-validation'. Dit kan bijvoorbeeld nodig zijn voor het laden van plug-ins, maar zorgt er ook voor dat een aanvaller zijn code kan injecteren. Cisco vond dit probleem bij acht Microsoft-applicaties. Het techbedrijf heeft bij vier applicaties de optie verwijderd. Excel, Outlook, PowerPoint en Word zijn echter nog kwetsbaar. bron: https://www.security.nl

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die gebruikers waarschuwt voor een kwetsbare XTS master key. In de waarschuwing staat dat de master key van het versleutelde volume kwetsbaar voor een aanval is die de dataveiligheid compromitteert. Vervolgens worden gebruikers opgeroepen een nieuw versleuteld volume aan te maken en daar alle data naar toe te verplaatsen. In de waarschuwing staat geen verdere informatie over het soort aanval. Naast de detectie van kwetsbare XTS master keys zijn in VeraCrypt 1.26.13 ook verschillende andere aanpassingen doorgevoerd. Het gaat daarbij ook om specifieke fixes voor de Windows-, Linux-, macOS- en FreeBSD-versies. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken. bron: https://www.security.nl

Een ransomwaregroep gebruikt een malafide Windows-updatescherm voor het stelen van data van AnyDesk-gebruikers. Dat laat antivirusbedrijf Sophos in een analyse weten. Volgens de virusbestrijder gebruikt de ransomwaregroep, met de naam Mad Liberator, social engineering om toegang te krijgen tot organisaties die met AnyDesk werken. Via deze software is het mogelijk om computers op afstand te beheren. Het wordt onder andere door it-afdelingen en helpdesks gebruikt. AnyDesk maakt voor elk apparaat waarop het is geïnstalleerd gebruik van een een negen- of tiencijferige unieke id-code. Het is mogelijk voor een remote gebruiker om toegang tot een AnyDesk-systeem te krijgen door de betreffende id-code invoeren. De gebruiker van het systeem krijgt dan een pop-up om de verbinding goed te keuren. Pas als de gebruiker deze goedkeuring geeft wordt zijn systeem door de remote gebruiker op afstand overgenomen. Bij een aanval die Sophos onderzocht wist de ransomwaregroep deze verbinding goedgekeurd te krijgen, maar hoe dit precies is gegaan kan het antivirusbedrijf niet zeggen. Wel is duidelijk dat de aanvallers nadat ze toegang tot het systeem hadden een programma uitvoerden dat een malafide Windows-updatescherm liet zien. Hierdoor dacht de gebruiker van het systeem dat er een update werd uitgevoerd. Om te voorkomen dat de gebruiker via de Esc-knop dit programma zou beëindigen hadden de aanvallers gebruikersinvoer via keyboard en muis uitgeschakeld. Terwijl de gebruiker het malafide updatescherm te zien kreeg werd in de achtergrond het OneDrive-account van de gebruiker benaderd, alsmede bestanden op een gedeelde netwerkmap die vervolgens via AnyDesk werden gestolen. De aanvallers lieten vervolgens een notitie achter waarin ze dreigden de bestanden openbaar te maken tenzij er losgeld werd betaald. De getroffen organisatie maakt gebruik van AnyDesk, waardoor de betreffende gebruiker dacht dat het om een legitiem verzoek van de it-afdeling ging. Naast het onderwijzen van gebruikers over dergelijke socialengineering-aanvallen krijgen organisaties het advies om Anydesk Access Control Lists te implementeren, om alleen toegang van bepaalde systemen toe te staan. Onlangs claimde de ransomwaregroep nog een aanval op het Nederlandse COIN bv. bron: https://www.security.nl

Microsoft is twee maandenlang vergeten te melden dat er een actief aangevallen kwetsbaarheid in Windows zat waarvoor het een patch had uitgebracht. Via het beveiligingslek was het mogelijk om de SmartScreen-beveiligingsfeature te omzeilen. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows SmartScreen een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het beveiligingslek (CVE-2024-38213) zorgt ervoor dat de waarschuwing niet verschijnt. Dit beveiligingslek werd eerder dit jaar door Trend Micro aan Microsoft gerapporteerd. De virusbestrijder ontdekte in maart dat criminelen actief misbruik van de kwetsbaarheid maakten om gebruikers door middel van 'copy-paste' operaties met malware te infecteren. Het probleem deed zich voor bij Web-based Distributed Authoring and Versioning (WebDAV). Via WebDAV is het mogelijk om bestanden op servers te bekijken en delen. De criminelen wisten gebruikers zo ver te krijgen om een bestand in een WebDAV share naar hun eigen systeem te kopieren en daarna uit te voeren. "Helaas hebben aanvallers ontdekt dat Windows niet altijd goed het Mark-of-the-Web aan bestanden toekent die via WebDAV worden aangeboden", aldus Peter Girnus van ZDI, een onderdeel van Trend Micro. Eerder dit jaar werd al een soortgelijke kwetsbaarheid ontdekt (CVE-2024-21412) In juni kwam Microsoft met een beveiligingsupdate voor het probleem, waardoor bestanden die vanaf een WebDAV share worden gecopypastet wel een Mark-of-the-Web krijgen. Het bestaan van de kwetsbaarheid en update werden echter niet aan gebruikers gemeld. Dat gebeurde pas aflopen dinsdag, twee maanden later. Hoe het kon dat deze informatie werd vergeten laat Microsoft niet weten. bron: https://www.security.nl

Microsoft heeft een testversie van de nieuwe Windows Sanbox voor Windows 11 uitgerold die over meer opties beschikt voor het uitwisselen van data tussen de host en de sandbox. De Windows Sandbox biedt een 'lichtgewicht desktopomgeving' voor het uitvoeren van applicaties. Software die binnen de sandbox wordt geïnstalleerd blijft binnen de sandbox en draait gescheiden van de host-machine, aldus de uitleg van Microsoft. De sandbox is daarnaast tijdelijk. Wanneer die wordt gesloten zullen ook alle software en bestanden worden verwijderd. Voor Windows 11 werkt Microsoft aan een nieuwe versie van de sandbox. Deze versie biedt de mogelijkheid om bijvoorbeeld informatie via het clipboard tussen de host en sandbox uit te wisselen. Ook de mogelijkheid om mappen te delen is nu beschikbaar, alsmede 'audio/video input control'. Verder beschikt de nu uitgebrachte testversie over een 'supervroege' versie van command line support. De Windows Sandbox Client Preview is beschikbaar via Windows 11 Insider Preview Build 27686. bron: https://www.security.nl