Captain Kirk

Google en Microsoft waarschuwen voor nieuwe Spectre- en Meltdown-aanvallen waardoor aanvallers toegang tot gevoelige informatie kunnen krijgen. De aanvallen, Speculative Store Bypass (SSB) en Rogue System Register Read (RSRE), zijn zogenaamde "speculative execution side channel" aanvallen en maken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. Via RSRE, wat een variant van de Meltdown-aanval is, kan een aanvaller die al lokale toegang tot een systeem heeft via side-channel analyse systeemparameters uitlezen en gevoelige informatie verkrijgen. SSB is een aanval die misbruik maakt van "speculatieve bypass" en maakt het mogelijk voor een aanvaller om oudere geheugenwaarden in de cpu-stack of andere geheugenlocaties uit te lezen. Zodoende kan code met lagere rechten toegang tot data met hogere rechten krijgen en oudere commando's speculatief uitvoeren. Systemen met processors van AMD, ARM en Intel zijn kwetsbaar. De fabrikanten laten weten dat er updates worden ontwikkeld. Volgens Microsoft vormt de SSB-aanval een klein risico voor gebruikers. Daarnaast heeft Microsoft al eerder updates voor Spectre en Meltdown uitgerold die ook in bepaalde gevallen tegen SSB helpen. AMD laat weten dat Microsoft op dit moment aan AMD-specifieke updates werkt die via Windows Update zullen worden uitgerold en tegen de SSB-aanval bescherming bieden. AMD-processors zijn niet kwetsbaar voor de RSRE-aanval. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT), het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en Red Hat hebben meer informatie over de kwetsbaarheden gepubliceerd bron: security.nl

Dell heeft een beveiligingslek in SupportAssist gedicht, een tool die standaard op de nieuwste Dell-apparaten met Windows wordt meegeleverd. SupportAssist controleert de status van de hardware en software op het systeem en zal bij problemen automatisch informatie naar Dell versturen zodat het "probleemoplossingsproces" kan worden gestart. Onderzoeker Bryan Alexander ontdekte een kwetsbaarheid in de driver van SupportAssist waardoor een ongeprivilegieerde gebruiker zijn rechten op het systeem kan verhogen. Volgens Alexander is er niet echt sprake van een bug, omdat de driver de functie waardoor een gebruiker zijn rechten kan verhogen "maar al te graag blootstelt". Dell werd op 5 april over de kwetsbaarheid geïnformeerd. Vorige week woensdag verscheen SupportAssist versie 2.2 waarin het probleem is verholpen, waarop Alexander details over het beveiligingslek openbaar maakte. bron: security.nl

De Duitse overheid heeft processorfabrikanten opgeroepen om nieuwe kwetsbaarheden genaamd Spectre NG te patchen. Begin mei werd bekend dat er nieuwe beveiligingslekken in de processors van Intel aanwezig zijn en mogelijk ook in die van andere fabrikanten. Via de kwetsbaarheden is het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. Ook kan er toegang tot wachtwoorden en encryptiesleutels worden verkregen. Net als de Spectre-lekken die in januari bekend werden gemaakt maken ook de Spectre NG-lekken misbruik van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. "Aangezien een kortetermijnrevisie van kwetsbare processors in de praktijk niet realistisch is, moeten deze en soortgelijke toekomstige kwetsbaarheden goed worden opgelost. Alleen met de hulp van fabrikantonafhankelijke patches in hardware en software kan de potentiële schade zoveel mogelijk worden beperkt", aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens het BSI, dat de Spectre NG-lekken heeft onderzocht en bevestigd, is het omwisselen van kwetsbare processors alleen op de lange termijn haalbaar. Op dit moment stelt de Duitse overheidsinstantie dat het niet mogelijk is om de zwakke plekken helemaal te verhelpen en kunnen de risico's alleen worden beperkt. Het BSI roept chipfabrikanten dan ook op om de kwetsbaarheden op te lossen. Cloud- en virtualisatieproviders, die met name door deze kwetsbaarheden risico lopen, moeten de impact voor hun diensten bepalen. Als laatste krijgen eindgebruikers het advies om software-updates zo snel mogelijk te installeren. Onlangs werd bekend dat updates voor Intel-processors zijn uitgesteld. bron: security.nl

Mozilla heeft een nieuwe versie van Thunderbird uitgebracht om gebruikers tegen de EFAIL-aanval te beschermen. Via deze aanval, die afgelopen maandag werd geopenbaard, is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen. Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. De kwetsbaarheden die voor de aanval worden gebruikt waren gevonden door onderzoekers van de Universiteit van Münster, Ruhr-Universität Bochum en NXP Semiconductors. Thunderbird 52.8 verhelpt in totaal dertien kwetsbaarheden, waaronder twee EFAIL-lekken die de onderzoekers ontdekten. De eerste kwetsbaarheid maakt het mogelijk om via remote content in een versleuteld bericht de onversleutelde inhoud te achterhalen. Het tweede lek betreft de mogelijkheid om via het src-attribuut de inhoud van versleutelde berichten te achterhalen. Eerder deze week liet Mozilla al weten dat gebruikers tot het verschijnen van Thunderbird 52.8 en 52.8.1 remote content moeten uitschakelen (iets wat de standaardinstelling is) en de optie "allow now" voor het laden van remote content in versleutelde e-mails niet moeten toestaan. Updaten naar Thunderbird 52.8 kan via de e-mailclient en Thunderbird.net. bron: security.nl

Het was al langer bekend dat de nieuwste versie van Windows 10 problemen had met verschillende SSD's, maar nu zorgt het bedrijf ervoor dat computers met deze hardware de update niet langer krijgen. Het gaat om de Intel SSD 600p, Intel SSD Pro 6000p, Toshiba XG4, XG5 en BG3-series. Systemen met de Intel drives krijgen te maken met de zwarte UEFI-schermen en kunnen Windows niet meer starten en gebruikers met de Toshiba SSD's krijgen te maken met oververhitte drives en snel leeglopende accu's. Terugdraaien Gebruikers die deze drives in hun systeem hebben en de nieuwste update al hebben geïnstalleerd wordt aangeraden een rollback uit te voeren of, als het herstelproces faalt, de vorige versie van Windows 10 opnieuw te installeren. Microsoft zegt in verschillende ondersteuningsthreads intensief samen te werken met de fabrikanten om het probleem zo snel mogelijk op te lossen. Het is nog niet bekend wanneer er een patch voorhanden is. bron: Webwereld.nl

Microsoft gaat een maatregel aan Edge en Internet Explorer toevoegen die gebruikers extra bescherming tegen cross-site request forgery (CSRF) aanvallen moet bieden. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om dergelijke aanvallen tegen te gaan gaat Microsoft same-site cookies in Edge en IE ondersteunen. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd. Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Een aanvaller die controle over third-party code op de website heeft kan vervolgens in naam van de gebruiker acties op die website uitvoeren. De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen; een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Same-site cookies zijn backwards compatibel. Browsers die het niet ondersteunen zullen het attribuut negeren en het cookie als een normaal cookie beschouwen. Microsoft heeft de maatregel nu al in een testversie van Edge doorgevoerd. Eerder kondigde ook Mozilla aan dat het same-site cookies in Firefox gaat ondersteunen. bron: security.nl

Vanaf september dit jaar zal Chrome bij https-websites niet meer de melding "Veilig" laten zien. Uiteindelijk zal ook het slotje niet meer worden getoond, zo heeft Google aangekondigd. Begin april werd al bekend dat Google dit van plan was, alleen ontbraken toen concrete details. De internetgigant wil de "positieve beveiligingsindicatoren" gaan verwijderen zodat gebruikers alleen worden gewaarschuwd als er iets mis is. "Gebruikers moeten kunnen verwachten dat het web standaard veilig is en ze worden gewaarschuwd wanneer er een probleem is", zegt Emily Schechter, productmanager Chrome Security. In september met de lancering van Chrome 69 zal daarom de melding "Veilig" niet meer worden getoond. Uiteindelijk zal ook het slotje worden uitgefaseerd. Google was eerder van plan om alle http-sites standaard als "Onveilig" te bestempelen. Volgens Schechter was het aantal http-sites echter te groot om die allemaal van een "duidelijke rode waarschuwing" te voorzien. Vanaf oktober, met de lancering van Chrome 70, zal echter bij alle http-sites waar gebruikers data kunnen invoeren een dergelijke waarschuwing verschijnen. "We hopen dat deze aanpassingen voor een web zullen zorgen dat standaard veilig is te gebruiken", aldus Schechter. bron: security.nl

Internationale politieke organisaties die bescherming tegen ddos-aanvallen zoeken kunnen binnenkort bij Google terecht. Google en Jigsaw, beide onderdelen van moederbedrijf Alphabet, hebben daarvoor Project Shield aangekondigd. Een gratis dienst die Google-technologie gebruikt om ddos-aanvallen te voorkomen. Google besloot eerder al om via Project Shield nieuwsorganisaties en mensenrechtenbewegingen wereldwijd tegen ddos-aanvallen te beschermen. Zo werden vorig jaar nog Nederlandse stemwijzers via Project Shield beschermd. In een aankondiging op Medium stelt Google dat politieke organisaties een essentiële rol in het democratische proces spelen en dezelfde verdediging tegen cyberaanvallen verdienen waar nieuwsorganisaties gebruik van kunnen maken. Google merkt op dat er een toename is van digitale aanvallen tegen democratische instellingen, zowel qua frequentie als intensiteit. Om deze aanvallen af te slaan is Project Shield ontwikkeld, dat gebruik maakt van een "reverse proxy multi-layer defense system". Dat houdt in dat verzoeken van eindgebruikers eerst lang Project Shield gaan. Op deze manier kan Google kwaadaardig verkeer filteren. De legitieme verzoeken worden vervolgens naar de website doorgelaten. Amerikaanse politieke organisaties kunnen nu al gebruik van de dienst maken. De komende maanden zal Project Shield ook onder internationale politieke organisaties worden aangeboden. bron: security.nl

Onderzoekers hebben een agressieve cryptominer ontdekt die de computer laat crashen zodra geprobeerd wordt om de malware te verwijderen. WinstarNssmMiner, zoals securitybedrijf Qihoo 360 de malware noemt, kijkt eerst wat voor soort anti-virussoftware op het systeem is geïnstalleerd. Wanneer "degelijke" anti-virussoftware wordt aangetroffen, zoals Avast of Kaspersky Lab aldus de onderzoekers, zal de malware automatisch stoppen. Gaat het echter om zwakke anti-virussoftware, dan zal de malware die uitschakelen. De malware start ook twee processen, waarvan er één de computer voor cryptomining inzet, terwijl het tweede proces de virusscanner probeert te detecteren om zo detectie te ontlopen. Wanneer slachtoffers proberen om de malware te stoppen en verwijderen zal de computer crashen, zo laten de onderzoekers verder weten. Hiervoor heeft de malware het crypto-miningproces als kritiek proces ingesteld. Wanneer het proces wordt beëindigd zal zodoende de computer crashen. Aan de hand van de wallet die de cryptominer gebruikt hebben de onderzoekers vastgesteld dat die al 133 Monero heeft verkregen, wat bijna 23.000 euro is. bron: security.nl

Onderzoekers hebben malware ontdekt die cache en sleutelbestanden van de versleutelde chatdienst Telegram steelt om zo sessies te kapen. De eerste versie van de malware, die zich op de desktopversie van Telegram richt, werd op 10 april van dit jaar ontdekt, gevolgd door een tweede variant vier dagen later. Dat meldt Cisco in een analyse. De eerste versie kon alleen inloggegevens en cookies in de browser stelen, alsmede alle tekstbestanden die op het systeem werden gevonden. De tweede variant maakte ook de desktopcache en sleutelbestanden van Telegram buit en inloggegevens voor het spelplatform Steam. De maker van de malware zou verschillende video's hebben gemaakt waarin wordt uitgelegd hoe de verzamelde bestanden zijn te gebruiken om Telegram-sessies te kapen. De onderzoekers merken op dat de malware geen gebruik maakt van kwetsbaarheden in Telegram. "De malware richt zich op de desktopversie van Telegram, die geen Secret Chats ondersteunt en zwakke standaardinstellingen heeft", aldus onderzoeker Vitor Ventura. Telegram maakt standaard geen gebruik van end-to-end-encryptie. Bij Secret Chats wordt er wel via deze encryptiemethode gecommuniceerd en zijn berichten alleen door de afzender en ontvanger te lezen. "De malware maakt misbruik van het ontbreken van Secret Chats in de desktopapplicatie, wat een feature is en geen bug", gaat Ventura verder. Daarnaast beschikt de desktopversie van Telegram niet over een automatisch uitlogfunctie. "Deze twee elementen samen laten de malware de sessie en vervolgens berichten kapen", zegt de onderzoeker. Ook contacten en eerdere chatgesprekken van het slachtoffer worden hierbij gecompromitteerd. Ventura merkt op dat de malware zich voornamelijk op Russisch sprekende gebruikers richt. bron: security.nl

Microsoft heeft een nieuwe regel opgesteld voor anti-virussoftware die op Windows 10 draait. De Windows Security Center (WSC) service vereist voortaan dat anti-virussoftware als een beveiligd proces draait. Pas dan wordt het door het WSC geregistreerd. Een beveiligd proces staat alleen vertrouwde, gesigneerde code toe en heeft ingebouwde bescherming tegen aanvallen waarbij wordt geprobeerd om code in het proces te injecteren. Dit moet de Windows-kernel beschermen tegen aanvallen die op systeemkritieke onderdelen zijn gericht. Virusscanners bevinden zich diep in het besturingssysteem en een kwetsbaarheid of aanval kan dan ook vergaande gevolgen hebben. Anti-virussoftware die hier niet aan voldoet zal niet in de gebruikersinterface van het Windows Security Center van Windows 10 worden weergegeven en Windows Defender zal in deze gevallen naast de geïnstalleerde virusscanner draaien. Microsoft heeft de nieuwe verplichting al doorgevoerd in de Windows 10 Insider Preview Build 17672. Gebruikers kunnen in deze testversie van het besturingssysteem via een registersleutel de vereiste uitschakelen, maar Microsoft merkt op dat deze sleutel uiteindelijk zal worden verwijderd. bron: security.nl

Screenshots die Firefox-gebruikers maakten en besloten op te slaan werden in een publiek toegankelijke cloud bewaard. Daar waren ze voor iedereen toegankelijk, zo ontdekte een Nederlandse ethische hacker op Twitter. Firefox Screenshots is een feature die gebruikers screenshots laat maken en delen. Zodra er een screenshot is gemaakt kunnen gebruikers kiezen voor een knop met de tekst "Opslaan", een downloadknop of de optie om de afbeelding naar het klembord te kopiëren. Zodra gebruikers voor Opslaan kozen werd de afbeelding naar screenshots.firefox.com geupload en geïndexeerd door zoekrobots. Via bijvoorbeeld Google kon er specifiek naar screenshots op dit subdomein worden gezocht. Nadat het probleem via Twitter openbaar was gemaakt kwam Mozilla binnen twee uur met een oplossing. Ook heeft Mozilla aan Google gevraagd om de domeinen te "strippen". bron: security.nl

De versleutelde chatdienst Signal heeft opnieuw een ernstig beveiligingslek in de Desktop-app verholpen waardoor een aanvaller op afstand code had kunnen uitvoeren. Het ging om een variant van de aanval die op 14 mei werd geopenbaard. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Onderzoekers ontdekten dat het mogelijk was om willekeurige code uit te voeren door een kwaadaardige link naar een Signal Desktop-gebruiker te sturen. Verdere interactie was niet nodig en de aanval werkte platformonafhankelijk. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Onderzoeker Matthew Bryant besloot naar eigen zeggen te raden waar de kwetsbaarheid zich precies bevond en hoe die te misbruiken was. Hij ontdekte dat als er een HTML-bericht werd gemaakt en er vervolgens met Quoted Reply op het bericht werd gereageerd, de originele HTML-code ook als HTML werd beschouwd. Bryant installeerde de update van 11 mei, maar tot zijn verbazing bleek zijn exploit nog steeds te werken. Bryant besefte dat de onderzoekers voor hun exploit gewone Signal-berichten verstuurden die als HTML werden geïnterpreteerd. Ze maakten geen gebruik van Quoted Replies die Bryant voor zijn exploit gebruikte. Hij waarschuwde daarop het Signal-team. Binnen twee uur werd er een update onder Signal Desktop-gebruikers uitgerold. bron: security.nl

Red Hat, CentOS en Fedora hebben een ernstig beveiligingslek in de dhcp-client gedicht waardoor een aanvaller willekeurige code met rootrechten had kunnen uitvoeren. De kwetsbaarheid kon zich voordoen bij systemen die de NetworkManager gebruiken om via dhcp (dynamic host configuration protocol) de netwerkconfiguratie op te vragen. Een kwaadaardige dhcp-server of een aanvaller op het lokale netwerk die dhcp-responses kon spoofen had via de kwetsbaarheid op deze systemen willekeurige commando's met rootrechten kunnen uitvoeren. De NetworkManager wordt door sommige besturingssystemen ook gebruikt op server-systemen. Red Hat heeft updates uitgebracht voor Enterprise Linux 6 en 7. Ook zijn er updates voor CentOS 6 en 7 verschenen, alsmede Fedora 27 en 28. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat er binnenkort een proof-of-concept exploit voor deze kwetsbaarheid zal worden gepubliceerd. bron: security.nl

Onderzoekers hebben eind maart een pdf-document ontdekt dat twee zeroday-lekken in Adobe Acrobat Reader en Windows combineerde waardoor systemen volledig konden worden overgenomen. Gisteren verscheen er een beveiligingsupdate van Adobe voor het lek in Acrobat Reader. Vorige week dinsdag werd het beveiligingslek in Windows al door Microsoft gepatcht. Het pdf-document was door iemand naar een publieke repository voor malware geupload, waar onderzoekers van anti-virusbedrijf ESET het bestand vonden. Het document bleek misbruik van twee onbekende kwetsbaarheden te maken waardoor een aanvaller op afstand code met kernelrechten had kunnen uitvoeren. Alleen het openen van het pdf-document was voldoende geweest. Acrobat beschikt over een sandbox die als een extra beveiligingslaag fungeert. Zelfs wanneer een aanvaller erin slaagt om code uit te voeren moet de aanvaller nog uit de sandbox breken om het onderliggende systeem over te nemen. Het ontsnappen uit de sandbox wordt meestal gedaan via een kwetsbaarheid in het besturingssysteem. Via het zeroday-lek in Windows konden de aanvallers hun rechten verhogen. De combinatie van beidde lekken maakte het zo mogelijk om een systeem volledig te compromitteren wanneer er een kwaadaardig pdf-document werd geopend. Het ontdekte pdf-document bevatte geen "payload". ESET vermoedt dan ook dat het document mogelijk vroegtijdig in de ontwikkeling is ontdekt. In de aankondiging van de beveiligingsupdate liet Adobe weten dat het niet bekend is met exploits in "het wild" die van de kwetsbaarheid misbruik maken. Wel adviseerde het softwarebedrijf om de beveiligingsupdate snel te installeren, waarbij als voorbeeld binnen 72 uur werd gegeven. Adobe adviseert normaliter om Acrobat-updates binnen 30 dagen te installeren. Het advies om snel te updaten wordt alleen gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. bron: security.nl

Een beveiligingslek in de desktopapplicatie van de versleutelde chat-app Signal had aanvallers op afstand code kunnen laten uitvoeren, waardoor gevoelige data kon worden gestolen. Alleen het versturen van een speciaal geprepareerd bericht naar een Signal Desktop-gebruiker was voldoende geweest. Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone. Beveiligingsonderzoekers Ivan Ariel Barrera Oro, Alfredo Ortega en Juliano Rizzo ontdekten het probleem bij toeval toen ze een link met cross-site scripting (XSS) op een andere website via Signal Desktop uitwisselden. De desktopapplicatie bleek niet goed met de link om te gaan. Content Security Policy (CSP) zorgde er echter voor dat de scripts die via de kwaadaardige link werden aangeroepen niet werkten. Door de url binnen een iframe te verwerken was het echter wel mogelijk om dit te doen, zelfs het laden van code vanaf een SMB-share werkte. "Het belangrijke is dat het geen interactie van het slachtoffer vereist, anders dan een gesprek te starten. Iedereen kan binnen Signal een gesprek starten, dus een aanvaller hoefde alleen een speciaal geprepareerde url te versturen om zonder verdere interactie het slachtoffer te hacken. En het is platformonafhankelijk", aldus de onderzoekers. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Gisteren maakten de onderzoekers details over het lek bekend. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van de privacyplug-in Privacy Badger uitgebracht die een manier blokkeert waarop Facebook gebruikers volgt. Het gaat om een techniek genaamd link-tracking. Hierdoor ziet Facebook wanneer een gebruiker een link op Facebook opent. Een link op Facebook.com wijst niet direct naar de bedoelde website, maar eerst naar een url van Facebook. Deze url stuurt de gebruiker vervolgens door naar de bedoelde website. Zodra een link op Facebook.com door een gebruiker wordt geopend ziet Facebook daardoor wie de gebruiker is, waar die vandaan komt en waar die naar toe gaat. Facebook gebruikt echter code om link-tracking voor gebruikers te verbergen. Zodra die met hun muis over een link bewegen lijkt die gewoon direct naar de bedoelde website te gaan en wordt de tracking-link verborgen. Wanneer gebruikers de link openen wordt de tracking-link alsnog uitgevoerd. Om dit tegen te gaan stript Privacy Badger alle tracking-links op Facebook, zodat gebruikers direct naar de bedoelde website gaan, zonder dat dit eerst langs Facebook gaat. De komende maanden zal de EFF verder onderzoek doen naar de manieren waarop Facebook, Google en Twitter internetgebruikers op hun eigen sites volgen en hier mogelijk ook maatregelen tegen nemen. Privacy Badger is beschikbaar voor Chrome, Firefox en Opera. bron: security.nl

Adobe heeft vandaag belangrijke beveiligingsupdates uitgebracht voor Acrobat en Acrobat Reader die in totaal 47 beveiligingslekken verhelpen, waarvan er 24 als ernstig zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardig pdf-document is in dit geval voldoende. Via de overige beveiligingslekken was het mogelijk om beveiligingsmaatregelen te omzeilen en informatie te achterhalen, waaronder wachtwoordhashes. Gebruikers krijgen het advies om te updaten naar Acrobat DC of Acrobat Reader versie 22018.011.20040, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30080, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30418. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. In tegenstelling tot het vorige beveiligingsbulletin van Adobe voor Acrobat Reader wordt nu geadviseerd om de beveiligingsupdates snel te installeren. Als voorbeeld wordt gegeven het installeren van de update binnen 72 uur. In februari werd nog een termijn van 30 dagen aangehouden voor het installeren van de updates. Het advies om snel te updaten wordt gegeven als een kwetsbaarheid wordt aangevallen of wanneer er een groter risico op aanvallen is. Adobe zegt dat het niet bekend is met aanvallen die al op dit moment van de kwetsbaarheden misbruik maken. bron: security.nl

De Nederlandse beveiligingsonderzoeker Sjoerd van der Hoorn, die onlangs in het nieuws kwam met zijn onderzoek naar openbare beroepsregisters, heeft een Chrome-extensie ontwikkeld die reacties en andere ingevoerde tekst op websites versleutelt. "Zo kan bijvoorbeeld op een openbaar forum een gecodeerd bericht worden achtergelaten", aldus Van der Hoorn tegenover Security.NL. Ook wanneer gebruikers op locaties zijn waar andere beveiligde kanalen niet beschikbaar zijn wordt het gebruik van "Geheim", zoals de extensie heet, aangeraden om een versleuteld bericht via een openbaar kanaal achter te laten. De nieuwste versie van Geheim ondersteunt standaard AES (symmetrische) en RSA (asymmetrische) encryptie en kan door de gebruiker zelf worden uitgebreid met andere coderingsmethoden en sleutels. Alle encryptie en decryptie vindt plaats op de computer van de gebruiker. Van der Hoorn stelt dat hij geen toegang tot de gegevens van gebruikers heeft noch wachtwoorden en encryptiemethodes. De Geheim-extensie is open source. Voor de toekomst wil Van der Hoorn ondersteuning voor One-time pad sleutels toevoegen. "De enige 100 procent onbreekbare vorm van encryptie, waarbij alleen sleuteluitwisseling en -beheer mogelijkheid biedt om dit te kraken", zo merkt hij op. Daarnaast staat er een eenvoudigere methode om veilig sleutels en encryptiemethoden te kunnen importeren, exporteren, en delen in de planning. bron: security.nl

Onderzoekers waarschuwen voor ernstige kwetsbaarheden in PGP/GPG en S/MIME, software voor het versleutelen van e-mail, waardoor het mogelijk is om de inhoud van versleutelde e-mailberichten te lezen. Details over de beveiligingslekken zullen morgen bekend worden gemaakt, maar de onderzoekers hebben samen met de Amerikaanse burgerrechtenbeweging EFF besloten om gebruikers nu al te waarschuwen. "De EFF heeft contact gehad met het onderzoeksteam en kan bevestigen dat deze kwetsbaarheden een direct risico vormen voor mensen die deze tools gebruiken om via e-mail te communiceren, waaronder het mogelijk achterhalen van de inhoud van berichten die in het verleden zijn verstuurd", aldus Gennie Gebhart van de EFF. De burgerrechtenbeweging adviseert gebruikers om tools die automatisch met PGP-versleutelde e-mail ontsleutelen uit te schakelen of te verwijderen. Voor Thunderbird met Enigmail, Apple Mail met GPGTools en Outlook met Gpg4win heeft de EFF een handleiding gemaakt waarin wordt uitgelegd hoe de plug-ins zijn uit te schakelen. De burgerrechtenbeweging merkt op dat het om een tijdelijke maatregel gaat totdat er een echte oplossing beschikbaar is. "Totdat de ontdekte kwetsbaarheden beter zijn begrepen en verholpen, moeten gebruikers naar alternatieve end-to-end-versleutelde kanalen zoeken, zoals Signal, en tijdelijk stoppen met het versturen en met name het lezen van met PGP-versleutelde e-mail." Update Werner Koch, de ontwikkelaar van GNU Privacy Guard, laat via Twitter en de GnuPG-mailinglist weten dat de reactie van de EFF overtrokken is. Het probleem zou worden veroorzaakt door het gebruik van HTML in e-mails en de manier waarop die door sommige MIME-parsers worden verwerkt. Als oplossing adviseert Koch om geen HTML-mail te gebruiken. Daarnaast wordt het gebruik van geauthenticeerde encryptie aangeraden. Update 2 De website met informatie over de kwetsbaarheid, die EFAIL wordt genoemd, is online verschenen. Er worden twee aanvallen besproken. Om de EFAIL-aanvallen uit te voeren moet een aanvaller een versleuteld bericht van het slachtoffer bezitten en vervolgens een HTML-mail naar het slachtoffer sturen. Bij de eerste aanval verstuurt een aanvaller een HTML-mail met daarin het onderschepte versleutelde bericht. De e-mailclient ontsleutelt het versleutelde bericht en de HTML-code zorgt ervoor dat die naar een server van de aanvaller wordt teruggestuurd. Bij de tweede aanval wordt er gebruik gemaakt van het feit dat OpenPGP geen integriteitscontrole verplicht. Een aanvaller kan zodoende een versleuteld bericht onderscheppen en dit aanpassen. Vervolgens zal de e-mailclient van het slachtoffer het aangepaste bericht ontsleutelen. De aanpassing van de aanvaller zorgt ervoor dat de ontsleutelde inhoud van het bericht naar zijn server wordt gestuurd. Om de twee EFAIL-aanvallen te voorkomen wordt dan ook het uitschakelen van HTML-mails aangeraden. De onderzoekers merken op dat in het geval van S/MIME of PGP versleutelde e-mails worden versleuteld met de publieke sleutels van alle ontvangers en de afzender. Om beschermd te zijn moeten alle deelnemers aan de e-mailconversatie het weergeven van HTML in hun e-mailclient uitschakelen. Update 3 De Duitse overheid stelt dat S/MIME en PGP veilig te gebruiken zijn zolang ze correct en veilig geïmplementeerd zjin. Zo wordt aangeraden om het weergeven van actieve content in de e-mailclient uit te schakelen. Verder moeten mailservers en e-mailclients tegen ongeautoriseerde toegangspogingen worden beschermd, aldus het advies van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Update 4 Onderzoeker Robert Graham heeft een analyse van de kwetsbaarheid gepubliceerd. Hij stelt dat de aanval alleen werkt als een aanvaller de e-mail van een slachtoffer heeft onderschept en de e-mailclient staat ingesteld om standaard remote content te downloaden. Verder zou de aanval niet in alle gevallen eenvoudig te reproduceren zijn. "In plaats van PGP en S/MIME uit te schakelen moet je controleren dat je e-mailclient staat ingesteld om geen remote/externe content te downloaden. Dat is zelfs zonder dit lek al een grote privacy-overtreding", aldus Graham. Update 5 De ontwikkelaars van GnuPG en Gpg4Win hebben een verklaring gegeven waarin ze stellen dat de aanval tegen "buggy e-mailclients" is gericht. Wie zich zorgen over de aanval maakt krijgt het advies om naar de laatste versie van GnuPG te updaten en te controleren dat de gebruikte e-mailplug-in correct met MDC-fouten omgaat. Iets dat de meeste clients zouden doen. Alleen GnuPG-gebruikers die een zeer oude versie draaien lopen mogelijk risico. Het gaat dan om de 1.0-serie, terwijl op dit moment GnuPG versie 2.2 de meest recente versie is. Update 6 De Amerikaanse burgerrechtenbeweging EFF heeft nu ook meer details over de EFAIL-aanvallen vrijgegeven en blijft erbij dat PGP voorlopig niet gebruikt moet worden. bron: security.nl

In de Ubuntu Snaps Store zijn kwaadaardige applicaties ontdekt die systemen naar cryptovaluta lieten delven. Het gaat om twee packages genaamd 2048buntu en Hextris. Beide applicaties bleken een verborgen cryptominer te bevatten, aldus een klacht op GitHub gericht aan Ubuntu-beheerder Canonical. Naar aanleiding van de klacht werden alle applicaties van de ontwikkelaar verwijderd. De Ubuntu Snap Store laat iedereen zogeheten "snap packages" uploaden, in tegenstelling tot packages die via de officiële Ubuntu-repositories worden aangeboden. Dit moet het eenvoudiger maken om packages te ontwikkelen en die onder andere Linux-gebruikers te verspreiden, maar zorgt er ook voor dat het eenvoudiger wordt om malware te verspreiden, aldus critici op Reddit. bron: security.nl

Een jaar na de uitbraak van WannaCry mist nog altijd 29 procent van de Windows-computers wereldwijd de Microsoft-update die tegen de ransomware beschermt. Daarnaast is de exploit die van het lek misbruik maakt nog altijd zeer populair en wordt nu vaker waargenomen dan ten tijde van WannaCry. Dat melden anti-virusbedrijven Avast en ESET. WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Via de kwetsbaarheid is het mogelijk om op afstand computers over te nemen. De EternalBlue-exploit waar WannaCry gebruik van maakt om het Windows-lek aan te vallen is afkomstig van de Amerikaanse geheime dienst NSA. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt, een maand na het uitkomen van beveiligingsupdate MS17-010 die computers beschermt. Een week na het uitkomen van de EternalBlue-exploit verschenen er al berichten dat systemen hiermee werden aangevallen en geïnfecteerd met ransomware. Drie weken later sloeg WannaCry toe. Volgens Avast heeft 29 procent van de Windows-computers wereld beveiligingsupdate MS17-010 niet geïnstalleerd. In Azerbeidzjan is dit zelfs 61 procent. De virusbestrijder denkt dat mensen de update niet installeren omdat ze niet weten dat dit belangrijk is. Ook vermoedt ESET dat er organisaties zijn die de update opzettelijk niet installeren omdat ze geen downtime willen. Hoewel de update die tegen de EternalBlue-exploit bescherming biedt al meer dan een jaar beschikbaar is, is de exploit nog altijd zeer populair. ESET stelt dat het de exploit vaker detecteert dan op het moment van WannaCry. Naast WannaCry maakt ook andere malware gebruik van EternalBlue. De recente piek in de onderstaande grafiek wordt waarschijnlijk door de Satan-ransomware veroorzaakt, die zich ook via de exploit verspreidt. bron: security.nl

Onderzoekers waarschuwen voor malafide Chrome-extensies die Facebook-wachtwoorden stelen en de sociale mediasite gebruiken om andere Chrome-gebruikers te infecteren. De infectieketen begint met een malafide link op Facebook die naar een zogenaamde YouTube-pagina wijst. Deze pagina vraagt de gebruiker om een extensie te installeren voor het afspelen van video's. Eenmaal geïnstalleerd steelt de malafide extensie het Facebook-wachtwoord en Instagram-cookies van de gebruiker en stuurt een malafide link naar de Facebook-vrienden van het slachtoffer of plaatst de link als nieuw Facebook-bericht. Tevens wordt er een cryptominer geïnstalleerd voor het delven van cryptovaluta. Ook kan de malware clickfraude op YouTube plegen. De malafide extensies zijn kopieën van legitieme extensies waar een geobfusceerd script aan is toegevoegd voor het uitvoeren van de kwaadaardige activiteiten. Volgens securitybedrijf Radware, dat de malware ontdekte, wordt dit gedaan om de controle van Google in de Chrome Web Store te omzeilen. Om detectie en verwijdering door de gebruiker te voorkomen blokkeert de malware het openen van de extensie-tab in Chrome. Daarnaast worden bepaalde Facebook-pagina's geblokkeerd, zodat de gebruiker geen berichten kan aanpassen of verwijderen. Ook wordt het downloaden van de Chrome Cleanup Tool en beveiligingsprogramma's via Facebook geblokkeerd. bron: security.nl

Google heeft dit jaar weer een ernstig beveiligingslek in Chrome gepatcht waardoor een aanvaller het onderliggende systeem in het ergste geval had kunnen overnemen. Het gaat om een "keten" van kwetsbaarheden waardoor een aanvaller uit de sandbox van Chrome had kunnen ontsnappen en code op het systeem had kunnen uitvoeren met de rechten van de gebruiker. Een anonieme onderzoeker rapporteerde het beveiligingsprobleem op 23 april aan Google. Vanwege de impact van ernstige kwetsbaarheden streeft de internetgigant ernaar om dergelijke lekken binnen 30 dagen te patchen. Ernstige beveiligingslekken worden in vergelijking met andere browsers zelden door externe onderzoekers in Chrome gevonden. Dit jaar heeft Google echter al vier van dergelijke kwetsbaarheden verholpen, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. Wat voor beloning de anonieme onderzoeker krijgt voor het melden van de kwetsbaarheid is nog niet bekendgemaakt. Updaten naar Chrome 66.0.3359.170 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Is het gelukt? CCleaner wil nog wel eens een keertje toch resten laten zitten. Mocht je probleem nog niet opgelost zijn, laat het even weten. Dan kunnen we nog proberen ze handmatig te verwijderen.