Captain Kirk

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ondersteuning biedt voor inloggen via usb-tokens op websites, gesponsorde content en Windows Group Policy. Ook zijn er verschillende kwetsbaarheden verholpen, maar details waren op het moment van schrijven niet beschikbaar. Firefox 60 is de eerste browser die de Web Authentication API ondersteunt. Deze programmeerinterface laat gebruikers via een usb-token, zoals een YubiKey, op websites inloggen, zonder dat er een wachtwoord moet worden ingevoerd. Volgens Mozilla biedt Web Authentication een extra beveiligingslaag. De feature werkt echter alleen bij websites die Web Authentication ondersteunen. Naast usb-tokens zal Web Authentication in de toekomst ook smartphones of biometrische kenmerken gaan ondersteunen, zoals inloggen via gezichtsherkenning of vingerafdrukken. Op dit moment worden alleen usb-tokens ondersteund. Gebruikers sluiten hun usb-token aan, waarna die door de website wordt gelezen. Vervolgens wordt de gebruiker automatisch ingelogd op zijn account. Gepersonaliseerde content Een andere nieuwe feature is gepersonaliseerde content voor Amerikaanse Firefox-gebruikers. Als die een nieuwe tab openen kunnen er in het gedeelte "Recommendations by Pocket" gesponsorde verhalen verschijnen. Mozilla merkt op dat de personalisatie niet ten koste van de privacy gaat. De aanbevelingen die gebruikers te zien krijgen worden lokaal op de computer bepaald. Mozilla, Pocket en sponsors ontvangen dan ook geen kopie van de browsegeschiedenis, aldus Mozilla. Windows Group Policy Voor beheerders die Firefox binnen hun organisatie willen uitrollen ondersteunt de browser nu Windows Group Policy. Op deze manier wordt het veel eenvoudiger om de browser voor een groot aantal werkplekken te configureren. Naast Windows Group Policy kan er ook van een JSON-bestand gebruik worden gemaakt dat op Mac, Linux en Windows werkt. Verder worden TLS-certificaten van Symantec die voor 1 juni 2016 zijn uitgegeven niet meer vertrouwd. Wanneer Firefox-gebruikers websites bezoeken die nog van deze certificaten gebruikmaken krijgen ze een certificaatwaarschuwing te zien. Updaten naar Firefox 60 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Onderzoekers hebben voor het eerst Internet of Things-malware ontdekt die een herstart van het systeem kan overleven. Het gaat om een variant van de "Hide and Seek" bot die onder andere ip-camera's via beveiligingslekken en Telnet-toegang besmet, zo meldt anti-virusbedrijf Bitdefender. IoT-malware, zoals Mirai, is eenvoudig te verwijderen door het besmette apparaat in kwestie te herstarten. De malware bevindt zich namelijk alleen in het geheugen van het apparaat, dat door een herstart wordt gewist. De nieuwe varianten van Hide and Seek kopiëren zich na een succesvolle infectie echter naar /etc/init.d/ en zorgen ervoor dat ze bij het starten van het systeem worden geladen. Het is hierbij wel nodig dat de infectie via Telnet plaatsvindt, aangezien rootrechten zijn vereist om de malware naar de init.d-directory te kopiëren. Volgens Bitdefender bevindt het Hide and Seek-botnet, dat uit zo'n 90.000 apparaten bestaat, zich nog in de groeifase. De beheerders zouden dan ook zoveel mogelijk machines proberen te infecteren voordat het botnet voor bijvoorbeeld ddos-aanvallen of andere doelen wordt ingezet. Zo beschikken de nieuwste varianten over twee nieuwe exploits om ip-camera's van onder andere AVTech en Wansview te infecteren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die ernstige kwetsbaarheden in Flash Player en Creative Cloud Desktop Application verhelpen. Via de beveiligingslekken kan een aanvaller willekeurige code op het systeem uitvoeren. In het geval van Flash Player gaat het om één ernstige kwetsbaarheid. Gebruikers krijgen het advies om te updaten naar Flash Player 29.0.0.171. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers om de update "snel" te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. In Creative Cloud Desktop Application zijn drie kwetsbaarheden opgelost, waarvan er één als ernstig is aangemerkt. De andere twee lekken laten een aanvaller zijn rechten op het systeem verhogen. Gebruikers krijgen het advies om Creative Cloud 4.5.0.331 te installeren. Ook in het geval van deze update krijgen gebruikers het advies om die "snel" uit te rollen. Als laatste is er ook nog een update voor Adobe Connect verschenen. Dit vanwege een kwetsbaarheid waardoor de authenticatie is te omzeilen. Dit lek werd door Adobe echter als belangrijk bestempeld. bron: security.nl

Tijdens de patchdinsdag van mei heeft Microsoft twee beveiligingslekken in Internet Explorer en Windows gepatcht die actief werden aangevallen voordat er een update beschikbaar was. Securitybedrijf Qihoo 360 waarschuwde in april voor het IE-lek dat via een Microsoft Word-document werd aangevallen. Alleen het openen van een kwaadaardig Word-document of het bezoeken van een kwaadaardige of gehackte website met een kwetsbaar systeem is voldoende om aanvallers willekeurige code op het systeem uit te laten voeren. Ook anti-virusbedrijf Kaspersky Lab rapporteerde het probleem aan Microsoft. "We verwachten dat deze kwetsbaarheid één van de meest aangevallen lekken in de nabije toekomst zal worden, aangezien het niet lang zal duren voordat exploitkit-auteurs die zowel via drive-by downloads in de browser als spearphishing-aanvallen via documenten zullen misbruiken", aldus onderzoeker Vladislav Stolyarov. Het tweede zeroday-lek dat Microsoft deze maand patchte geeft een aanvaller die al toegang tot een systeem heeft de mogelijkheid om code met kernelrechten uit te voeren. Aangezien een systeem al gecompromitteerd moet zijn is de ernst van dit beveiligingslek, dat door een onderzoeker van anti-virusbedrijf ESET werd ontdekt, door Microsoft als "belangrijk" bestempeld. Twee andere kwetsbaarheden in de Windows-kernel waardoor een aanvaller zijn rechten kan verhogen en informatie kan achterhalen waren ook al voor het uitkomen van de updates openbaar gemaakt, maar zijn volgens Microsoft niet aangevallen. Van de 67 kwetsbaarheden die Microsoft deze maand heeft verholpen zijn er 21 als ernstig aangemerkt, 42 als belangrijk en vier als "laag". Het gaat ook om kwetsbaarheden in Microsoft Office waardoor een aanvaller een kwetsbaar systeem kan overnemen als er een kwaadaardig document wordt geopend. Verder zijn er beveiligingslekken in ChakraCore, .NET Framework en Exchange Server gepatcht. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Aanvallers hebben een manier gevonden om het filter van Office 365 te omzeilen zodat e-mails met kwaadaardige links niet worden gefilterd, zo stelt securitybedrijf Avanan. Microsoft scant inkomende e-mails van gebruikers op bekende kwaadaardige links. De filters van Office 365 blijken echter niet goed met de base-tag in html-mails om te gaan. Door het gebruik van deze tag is het mogelijk om de kwaadaardige link te "splitten". Links die het filter anders zou blokkeren worden in dergelijke gevallen gewoon doorgelaten. De link wordt in de e-mailclient gewoon weergegeven. De ontvanger kan echter nog steeds zien dat het om een kwaadaardige link gaat. Volgens Avanan maken aanvallers gebruik van de techniek om de filters van Office 365 te misleiden en phishingmails te versturen. Microsoft is ingelicht, maar wanneer er een oplossing komt is onbekend. In deze video wordt de aanval gedemonstreerd. bron: security.nl

Mozilla gaat het ftp-protocol deels in Firefox 61 blokkeren, zo heeft de opensource-ontwikkelaar aangekondigd. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te kopiëren. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd. "Het fundamentele onderliggende probleem met ftp is dat alle data onversleuteld wordt uitgewisseld en in platte tekst verstuurd, waardoor aanvallers de verstuurde data kunnen stelen, spoofen en zelfs aanpassen. Veel malware-campagnes maken gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers", aldus Mozillas Christoph Kerschbaumer. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Firefox 61 staat gepland voor 26 juni van dit jaar. Eind vorig jaar kondigde Google al aan dat Chrome ftp-locaties als "niet veilig" gaat weergeven. bron: security.nl

Chipfabrikant Intel zou aanstaande maandag met de eerste beveiligingsupdates voor de nieuwe Spectre-lekken komen, maar dit is uitgesteld. De in totaal acht kwetsbaarheden in Intel-processors worden vooralsnog Spectre Next Generation (Spectre NG) genoemd en maken het onder andere mogelijk om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. De eerste updates stonden voor vandaag, 7 mei, gepland, met een tweede reeks in augustus. Eén van de kwetsbaarheden werd door onderzoekers van Google ontdekt, die vandaag de details bekend zouden maken. Vandaag zou namelijk de deadline verlopen die Intel had gekregen voor het uitbrengen van een patch. Google geeft bedrijven die het over een kwetsbaarheid inlicht 90 dagen de tijd om een update te ontwikkelen. Nu meldt het Duitse Heise dat Intel meer tijd nodig heeft voor het uitbrengen van de updates. Intel zou van plan zijn om op 21 mei met een "gecoördineerde release" van microcode-updates te komen. Tegelijkertijd zullen er details over twee van de Spectre NG-lekken verschijnen. Volgens Heise is het niet zeker dat ook deze datum wordt gehaald, aangezien Intel verder uitstel tot 10 juli heeft aangevraagd. Het gevaarlijkste Spectre NG-lek, waardoor er uit een virtual machine kan worden ontsnapt, zou pas op 14 augustus worden gepatcht. De kwetsbaarheden zijn aanwezig in nagenoeg alle Intel-processors sinds 2010. bron: security.nl

De afgelopen dagen zijn honderden ongepatchte Drupal-sites gehackt en gebruikt voor cryptomining. Het gaat onder andere om websites van de Amerikaanse overheid en dierentuin van San Diego. De aanvallers voegen een Coinhive-script aan de sites toe dat de browser van bezoekers cryptovaluta laat delven. Onderzoeker Troy Mursch ontdekte het specifieke script op 348 Drupal-sites. Al deze websites hadden gemeen dat ze ongepatcht waren. Zowel in maart als in april werden twee zeer ernstige Drupal-lekken gepatcht waardoor aanvallers volledige controle over websites kunnen krijgen. Experts lieten eerder al weten dat alle ongepatchte websites in principe als gehackt moeten worden beschouwd. Wereldwijd zijn er zo'n 1,2 miljoen Drupal-sites. Hoeveel daarvan nog steeds kwetsbaar of gehackt zijn is onbekend. De aanval die Mursch ontdekte is niet de enige. Eerder werden ook al andere aanvallen waargenomen waarbij gehackte Drupal-sites voor cryptomining werden ingezet. In het geval van de 348 gehackte websites bevinden de meeste zich in de Verenigde Staten, gevolgd door Frankrijk en Canada. bron: security.nl

Chrome- en Firefox-gebruikers die een browserplug-in zoeken om hun privacy op het web te beschermen kunnen tegenwoordig ook uit Privacy Possum kiezen. Een opensource-uitbreiding die is ontwikkeld door één van de ontwikkelaars van Privacy Badger, Blake Griffith. Privacy Badger is een plug-in die door de Amerikaanse burgerrechtenbeweging EFF wordt aangeboden en Griffith werkte naar eigen zeggen zes maanden full-time aan de extensie. Vorige maand verscheen er nog een nieuwe versie van Privacy Badger. Volgens de ontwikkelaar zijn de privacyvoordelen van Privacy Badger echter beperkt en is het met de huidige architectuur lastig of bijna onmogelijk om nieuwe privacybescherming toe te voegen. "En de beheerders van het project waren niet geïnteresseerd om deze problemen te verhelpen", aldus Griffith. Daarop kwam hij met een nieuwe plug-in genaamd Privacy Possum, die het tracken van gebruikers door adverteerders en andere partijen moet dwarsbomen. Zo blokeert de browserplug-in cookies waarmee trackers gebruikers over verschillende websites kunnen identificeren. Ook worden refer-headers geblokkeerd die de browsinglocatie van de gebruiker prijsgeven. Daarnaast blokkeert Privacy Possum "etags", een trackingmethode waarmee gebruikers zelfs in de incognito-mode van de browser zijn te volgen. Als laatste worden trackers geblokkeerd die gebruikers aan de hand van de unieke eigenschappen van hun browser proberen te volgen. Privacy Possum is te downloaden via addons.mozilla.org en de Chrome Web Store. bron: security.nl

Elektronicafabrikant Logitech heeft een update uitgebracht voor de Harmony Hub, een apparaat waarmee het mogelijk is om 250.000 verschillende apparaten in huis te bedienen. Via verschillende lekken in de Harmony Hub was het mogelijk voor een lokale aanvaller om roottoegang te krijgen. Zo bleek dat er geen wachtwoord voor het rootaccount was ingesteld en dat ongeldige tls-certificaten door de updater werden genegeerd. Hierdoor was het voor een aanvaller mogelijk om updateverzoeken die van de Harmony Hub afkomstig waren te onderscheppen. Het apparaat controleert geregeld of er aanvullende software of updates beschikbaar zijn. De aanvaller had het onderschepte updateverzoek naar een kwaadaardig package kunnen laten wijzen, dat vervolgens door de updater werd gedownload en uitgevoerd. Op deze manier was het mogelijk om SSH op de Harmony Hub in te schakelen. Aangezien er voor het rootaccount geen wachtwoord was ingesteld had een aanvaller vervolgens met de gebruikersnaam root en een leeg wachtwoord via SSH kunnen inloggen. Logitech werd in januari door securitybedrijf FireEye ingelicht en bracht in april firmware 4.15.96 uit om het probleem te verhelpen. Details over de kwetsbaarheden zijn nu bekendgemaakt. Daarop heeft Logitech gebruikers via Twitter gewaarschuwd om de firmware-update te installeren mocht dat nog niet zijn gedaan. bron: security.nl

Na Google en Amazon gaat ook Microsoft stoppen met het aanbieden van een techniek om overheidscensuur mee te omzeilen. Het gaat om een techniek genaamd "domain fronting", waar onder andere Tor Browser en de versleutelde chat-apps Signal en Telegram gebruik van maken. Via domain fronting lijkt het verkeer van een applicatie naar een domein van bijvoorbeeld Amazon, Google of Microsoft te gaan, terwijl er in werkelijkheid met een ander domein verbinding wordt gemaakt. Landen die internetcensuur toepassen en bijvoorbeeld het gebruik van Signal, Telegram of Tor Browser blokkeren, zullen door domain fronting ook domeinen van Amazon, Google of Microsoft moeten blokkeren. Voor veel landen die censuur toepassen is dat geen optie, waardoor mensen in deze landen toch van geblokkeerde applicaties gebruik kunnen blijven maken. Google besloot begin dit jaar om te stoppen met het toestaan van domain fronting. De internetgigant wil zich naar eigen zeggen niet in een positie plaatsen waarbij het dekking voor een domein biedt dat landen willen blokkeren. Deze week werd bekend dat ook Amazon domain fronting niet meer zal toestaan. Nu laat het Tor Project weten dat ook Microsoft binnenkort met domain fronting stopt. "Helaas lijkt er geen snelle oplossing voorhanden te zijn. We zijn niet van tevoren over deze aanpassingen ingelicht, dus zijn we hard over mogelijke oplossingen aan het nadenken zodat onze vrienden die in repressieve regimes leven toegang tot het open web blijven houden", aldus Steph Whited van het Tor Project. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe variant van de GandCrab-ransomware die Windows 7-systemen ogenschijnlijk onbruikbaar achterlaat. De ransomware wordt verspreid via e-mailbijlagen. Zodra een slachtoffer de bijlage opent versleutelt GandCrab allerlei bestanden. Ook probeert de ransomware de afbeelding van het bureaublad te wijzigen met een afbeelding waarop de instructies staan om de bestanden te ontsleutelen. Hierna wordt het systeem herstart. Een bug in de ransomware zorgt er bij Windows 7-computers voor dat het opstarten niet wordt voltooid. Het systeem zit vast op een punt voordat de Windows-shell volledig is geladen. De besmette gebruiker kan zodoende de Windows-interface niet benaderen, waardoor het lijkt alsof de machine niet meer werkt. Alleen de bureaubladafbeelding met instructies en de website om Tor Browser te downloaden zijn zichtbaar. Aangezien de ransomware zichzelf start, zal ook een nieuwe reboot van het systeem ervoor zorgen dat Windows niet volledig wordt geladen. Via Taakbeheer en het Windows Register kunnen gebruikers het ransomwareproces stoppen. "Voor de doorsnee gebruiker is het vinden van malware in de lijst met draaiende processen een complexe onderneming", aldus onderzoeker Joie Salvio van Fortinet. Ze stelt dat malwarefouten met onbedoelde gevolgen vrij vaak voorkomen. "Wat nog een reden is om extra voorzichtig met ongevraagde e-mails te zijn", merkt Salvio op. bron: security.nl

Een securitybedrijf heeft een gratis opensourcebrowser-extensie ontwikkeld om Slack-berichten te versleutelen. Slack is een populaire chatdienst die met name binnen bedrijven wordt gebruikt. Via de dienst is het mogelijk om in allerlei kanalen te chatten en gebruikers privéberichten te versturen. Onlangs kondigde Slack een nieuwe optie aan waardoor werkgevers chats van werknemers kunnen downloaden. Het is daarbij aan de werkgever om werknemers te informeren dat hun chatgesprekken zijn gedownload. Naar aanleiding van deze ontwikkeling besloot securitybedrijf Minded Security een gratis opensourcebrowser-extensie te ontwikkelen die Slack-berichten versleutelt. Shhlack is een extensie voor Slack die end-to-end-versleutelde berichten in Slack-workspaces mogelijk maakt. De extensie is geen Slack-bot. Shhlack injecteert zichzelf in de Slack-gebruikersinterface en gebruikt een interne Slack-api om berichten in real-time te versleutelen en ontsleutelen. Voor de encryptie wordt van pre shared keys gebruikgemaakt, die gebruikers eerst moeten uitwisselen voordat er versleutelde berichten kunnen worden verstuurd en ontvangen. De encryptie zorgt ervoor dat de Slack-servers de inhoud van berichten niet kunnen lezen. Shhlack is beschikbaar voor Google Chrome en Mozilla Firefox. De broncode is via GitHub verkrijgbaar. Daarnaast is er een "standalone patcher" voor Windows en macOS. Onlangs is er op Security.NL ook een Juridische vraag over het downloaden van Slack-berichten behandeld. bron: security.nl

Onderzoekers maakten afgelopen dinsdag bekend dat ze twee ernstige en ongepatchte kwetsbaarheden in een miljoen GPON-routers hadden ontdekt en de beveiligingslekken worden nu actief aangevallen. GPON staat voor Gigabit Passive Optical Network (GPON). Het gaat hier om glasvezelnetwerken. De GPON-routers, gemaakt door de Zuid-Koreaanse fabrikant Dasan, worden door providers aan hun abonnees verstrekt. Onderzoekers van vpnMentor maakten dinsdag bekend dat er twee ongepatchte kwetsbaarheden in de GPON-routers aanwezig zijn. Via het eerste lek kan de authenticatie worden omzeild. De tweede kwetsbaarheid laat een aanvaller willekeurige commando's op de router uitvoeren. Via de zoekmachine Shodan werden meer dan 1 miljoen GPON-routers ontdekt die via internet toegankelijk zijn en risico lopen. De meeste machines bevinden zich in Mexico, Kazachstan en Vietnam. "We hebben de kwetsbaarheid op veel willekeurige GPON-routers getest en ze waren allemaal kwetsbaar. Omdat zoveel mensen dit type routers gebruikt, is het mogelijk om via dit lek het volledige netwerk te compromitteren", aldus de onderzoekers. VpnMentor laat tegenover Securityweek weten dat het had geprobeerd om Dasan voor de publicatie te informeren, maar dat het geen reactie had ontvangen. Gebruikers van dergelijke routers krijgen het advies om hun provider om een update te vragen. Securitybedrijf 360 Netlab heeft inmiddels aanvallen ontdekt die misbruik van de kwetsbaarheden maken. In onderstaande video worden de beveiligingslekken gedemonstreerd. bron: security.nl

Cisco heeft beveiligingsupdates uitgebracht voor een ernstige kwetsbaarheid in WebEx, populaire software voor video- en webconferenties. Via het beveiligingslek kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Om misbruik van de kwetsbaarheid te maken zou een aanvaller het slachtoffer een kwaadaardig ARF-bestand moeten laten openen, wat zou kunnen door een bijlage of link in een e-mail te versturen. Cisco WebEx-players zijn applicaties die worden gebruikt om op opgenomen WebEx-meetings af te spelen. De WebEx-player kan automatisch worden geïnstalleerd als een gebruiker een opname op een WebEx-server benaderd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 9,6 beoordeeld. Voor Cisco WebEx Business Suite meeting sites, Cisco WebEx Meetings sites, Cisco WebEx Meetings Server en Cisco WebEx ARF players zijn nu updates uitgekomen. Meer informatie is in de advisory te vinden. bron: security.nl

Het ontwikkelteam van npm, de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld, heeft een kwaadaardige module met een backdoor ontdekt en verwijderd. Npm biedt een groot archief met openbare en besloten, commerciële packages. Dit is het npm Registry. Gisteren werd het ontwikkelteam gewaarschuwd voor de module "getcookies" die aan het npm Registry was toegevoegd. De module deed zich voor als een softwarebibliotheek voor het verwerken van cookies, maar bleek in werkelijkheid een backdoor te bevatten. Twee andere modules genaamd express-cookies en http-fetch-cookies maakten ook gebruik van getcookies. Verder onderzoek wees uit dat een populaire package genaamd mailparser weer van http-fetch-cookies gebruikmaakte. Mailparser wordt niet meer ondersteund, maar wordt elke week nog zo'n 64.000 keer gedownload. Onlangs verscheen er een versie van mailparser die van http-fetch-cookies afhankelijk was. De versies van mailparser die werden aangeboden en van http-fetch-cookies gebruikmaakten bleken de kwaadaardige module echter op geen enkele manier te gebruiken. Het npm-ontwikkelteam vermoedt dat de aanvaller de backdoor mogelijk op een later moment in mailparser had willen activeren of op deze manier het aantal downloads van http-fetch-cookies wilde ophogen. Alleen gebruikers die express-cookies of getcookies direct gebruikten zouden risico hebben gelopen, aldus het npm-ontwikkelteam. Via de backdoor had een aanvaller willekeurige code kunnen uitvoeren op de server waarop de npm-packages draaiden. Na ontdekking van de kwaadaardige module werd die samen met express-cookies en http-fetch-cookies verwijderd. Ook werden drie versies van mailparser die van de http-fetch-cookies-module afhankelijk zijn verwijderd, alsmede het account van de aanvaller. Als laatste zijn npm-tokens van de mailparser-auteur gereset om te voorkomen dat er in de toekomst ongeautoriseerde versies worden uitgebracht. bron: security.nl

Microsoft heeft een noodpatch uitgebracht om Docker voor Windows-installaties tegen aanvallen te beschermen. Door het importeren van een kwaadaardige Docker-image was het mogelijk om willekeurige code op het onderliggende systeem uit te voeren. De kwetsbaarheid bevond zich in de Windows Host Compute Service Shim-library, waar Docker voor Windows gebruik van maakt. Om de kwetsbaarheid uit te buiten zou een aanvaller een kwaadaardige Docker-container moeten maken. Als vervolgens een geauthenticeerde beheerder deze container zou importeren, was het mogelijk om het onderliggende Windows-systeem over te nemen. De kwetsbaarheid werd ontdekt door onderzoeker Michael Hanselmann. Hij waarschuwde zowel Microsoft als Docker in februari van dit jaar. Volgens Hanselmann heeft Microsoft de eigen hostinginfrastructuur inmiddels gepatcht, alsmede Microsoft-partners zoals Google. Op 9 mei zal de onderzoeker een proof-of-concept exploit voor Docker voor Windows uitgeven. Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen. bron: security.nl

Onderzoekers van onder andere Google hebben acht nieuwe Spectre-lekken in processors van Intel ontdekt, waarvan er vier als ernstig zijn aangemerkt. Het Duitse computermagazine c't kreeg informatie over de kwetsbaarheden in handen en zegt die op verschillende manieren te hebben geverifieerd. De beveiligingslekken, die inmiddels een eigen CVE-nummer hebben waar kwetsbaarheden mee worden geïdentificeerd, zullen waarschijnlijk hun eigen naam krijgen. Op dit moment worden ze als Spectre Next Generation (Spectre NG) omschreven. Eén van de kwetsbaarheden zou het mogelijk om maken om uit een virtual machine te ontsnappen en het onderliggende host-systeem aan te vallen. Iets wat grote impact op bijvoorbeeld hostingbedrijven zou kunnen hebben. Mogelijk dat ook ARM- en AMD-processors kwetsbaar zijn, maar het onderzoek hiernaar loopt nog. Intel zou inmiddels aan updates voor de nieuwe Spectre NG-lekken werken. De eerste patches zouden in mei moeten verschijnen, gevolgd door een tweede reeks in augustus. Het beveiligingslek dat de Google-onderzoekers ontdekten wordt mogelijk op 7 mei bekendgemaakt. Dan verloopt namelijk de deadline die Intel had gekregen voor het uitbrengen van een patch. Google geeft bedrijven die over een kwetsbaarheid zijn ingelicht 90 dagen de tijd om een update te ontwikkelen. bron: security.nl

Een repeater is hier een mogelijke oplossing. Maar die moet je maar zo ergens kunnen plaatsen dat deze veilig staat en de campingeigenaar moet meewerken ivm de instellingen (mits het een beveiligde verbinding is). Je zou ook kunnen denken aan een outdoorantenne, een zogenaamde outdoor-accespoint.

Aanvallers maken gebruik van de anti-diefstalsoftware LoJack, ook bekend als Computrace, om toegang tot gehackte machines te krijgen. Dat laat securitybedrijf Arbor Networks weten. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in het bios van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Via LoJack is het ook mogelijk om op afstand code op het systeem uit te voeren. Volgens Arbor Networks is het dan ook de ideale "dubbelagent", mede omdat de meeste anti-virussoftware het programma niet als kwaadaardig beschouwt. Onlangs ontdekten onderzoekers van het bedrijf verschillende LoJack-agents die verbinding maakten met domeinen die eerder door een groep hackers genaamd Fancy Bear werden gebruikt. De LoJack-agents waren aangepast om verbinding met de domeinen te maken. Verdere aanpassingen waren niet aan het programma doorgevoerd. "De aanvallers kapen de communicatie waar LoJack gebruik van maakt en verschaffen zichzelf zo een backdoor tot machines die de software draaien", aldus de onderzoekers. Hoe de aanvallers toegang tot de systemen kregen om de LoJack-software aan te passen is onbekend. Fancy Bear heeft in het verleden gebruik gemaakt van phishingaanvallen om systemen over te nemen. "Het kapen van legitieme software is een veelgebruikte tactiek door aanvallers. Wat deze activiteit zo sluw maakt is dat de gekaapte bestanden als legitieme of "risicovolle tools" worden bestempeld, in plaats van malware. Daardoor worden kwaadaardige LoJack-exemplaren niet opgemerkt en bieden aanvallers een verborgen backdoor tot de systemen van slachtoffers", zo stellen de onderzoekers. bron: security.nl

Er is een nieuwe versie van het opensource-archiveringsprogramma 7-Zip verschenen waarin een ernstig beveiligingslek is gedicht. Via de kwetsbaarheid had een aanvaller in het ergste geval de computer kunnen overnemen als er een kwaadaardig RAR-bestand werd geopend. Het probleem wordt vergroot doordat de ontwikkelaar van 7-Zip bepaalde beveiligingsmaatregelen om de impact van een kwetsbaarheid tegen te gaan, zoals Address space layout randomization (ASLR), niet had genomen. ASLR moet het lastiger voor aanvallers maken om kwetsbaarheden in software te misbruiken. De ontwikkelaar van 7-Zip werd op 6 maart door een informaticastudent over het lek ingelicht en kwam gisteren met een nieuwe versie. 7-Zip 18.05 verhelpt niet alleen de ernstige kwetsbaarheid, maar voegt ook de beveiligingsmaatregel ASLR toe. Gebruikers krijgen dan ook het advies om te updaten. bron: security.nl

De Belgische onderzoeker Inti De Ceukelaire heeft melding van datamisbruik bij Facebook gedaan. De sociale netwerksite opende onlangs een meldpunt voor apps die de gegevens van gebruikers verzamelen en doorgeven of verkopen aan een derde partij, of de gegevens voor scams of politieke invloed gebruiken. "Zonet een grootschalig data misbruik gemeld aan Facebook via hun nieuw "Data Abuse" meldpunt. Héél benieuwd hoe dit zal verlopen", aldus De Ceukelaire op Twitter. De niet nader genoemde applicatie heeft volgens de onderzoeker 200 miljoen actieve gebruikers per maand. Via de app is het mogelijk om informatie van gebruikers op te vragen, zoals foto's, vriendenlijsten en Facebookberichten. "Interessant is dat je die informatie kan linken aan het IP-adres van mensen", aldus De Ceukelaire tegenover VRT NWS. Volgens de onderzoeker zijn er geen aanwijzingen dat de gelekte data effectief misbruikt werd. Hij waarschuwde Facebook op 22 april. Gisteren meldde De Ceukelaire dat de app verwijderd was, maar een aantal uren later was die weer terug. De onderzoeker heeft nog geen inhoudelijke reactie van Facebook gekregen, behalve dat er een onderzoek is ingesteld. Vorige week liet Facebook aan investeerders weten dat er waarschijnlijk meer dataschandalen zoals die met Cambridge Analytica aan het licht zullen komen. bron: security.nl

Met de lancering van de Windows 10 April 2018 Update heeft Microsoft nieuwe privacyinstellingen in het besturingssysteem doorgevoerd. Daarmee wordt er een einde gemaakt aan de privacyovertredingen die door de Autoriteit Persoonsgegevens waren vastgesteld. De nieuwe instellingen moeten gebruikers meer informatie en keuzes over hun privacy geven en bieden twee nieuwe opties voor Inking & Typing en Find my device. In het geval van de optie Inking & Typing wordt informatie over het schrijfgedrag naar Microsoft teruggestuurd. Find my device, dat alleen met een Microsoft-account werkt, maakt van locatiegegevens gebruik om de locatie van een apparaat te bepalen zodat het gevonden kan worden. Niet alle gebruikers zullen dezelfde privacyschermen te zien krijgen. Afhankelijk van lokale wetgeving zullen sommige gebruikers alleen privacyinstellingen op één scherm te zien krijgen, terwijl er bij andere gebruikers meerdere schermen worden gebruikt. Alle privacyinstellingen zijn daarnaast via het instellingenmenu te bekijken en aan te passen. Windows Defender Application Guard Gebruikers van Windows 10 Pro krijgen met de April 2018 Update de beschikking over Windows Defender Application Guard (WDAG). Als een gebruiker via Internet Explorer of Microsoft Edge op een kwaadaardige link klikt, malware downloadt of een zeroday-exploit tegenkomt, zal WDAG de dreiging isoleren, aldus Microsoft. Dit moet voorkomen dat aanvallers toegang tot een lokale machine krijgen en zo de rest van het netwerk kunnen aanvallen. Windows 10 S Een andere nieuwe optie voor alle Windows 10-versies is de mogelijkheid om de Windows 10 S-modus te activeren. Dit is een aangepaste op veiligheid gerichte versie van het besturingssysteem. Windows 10 S werkt alleen met apps uit de Microsoft Store en ondersteunt alleen de Edge-browser met de Bing-zoekmachine. Doordat alleen door Microsoft gecontroleerde apps worden toegestaan zou dit Windows 10 S tegen ransomware en andere malware moeten beschermen, zo liet de softwaregigant eerder weten. Gebruikers van Windows 10 kunnen Windows 10 S kosteloos inschakelen. Het is vervolgens mogelijk om de oorspronkelijke Windows 10-versie weer te herstellen, maar het is dan niet meer mogelijk om terug naar Windows 10 S te gaan. De April 2018 Update is via Windows Update te downloaden. Microsoft zal de update aan gebruikers aanbieden, maar die kunnen ook zelf op de beschikbaarheid van de update controleren. bron: security.nl

Een malware-exemplaar dat bij gerichte aanvallen is ingezet controleert de temperatuur van de computer om te kijken of het wel om een echte machine gaat en geen virtueel systeem is. Dat laat Cisco in een analyse weten. Het gaat om de GravityRAT (Remote Access Tool) die informatie van systemen steelt. De malware wordt verspreid via een Microsoft Office-document met een kwaadaardige macro. Volgens het document moet de gebruiker macro's inschakelen om te bewijzen dat hij geen robot is, net zoals bij captcha's wordt gevraagd. Zodra de gebruiker macro's inschakelt wordt de malware geïnstalleerd. De malware kijkt echter of het besmette systeem wel een echte computer is en geen virtual machine. Veel anti-virusbedrijven en onderzoekers maken namelijk gebruik van virtual machines om verdachte bestanden te onderzoeken. Door een virtual machine tijdig te detecteren kan de malware detectie ontlopen. In het geval van de GravityRAT heeft de ontwikkelaar zeven technieken toegepast om te controleren dat het gecompromitteerde systeem geen virtual machine is. Hiervoor kijkt de malware naar de bios-versie en processor-id van het systeem, alsmede geïnstalleerde tools en het MAC-adres. Ook controleert de malware de huidige processor-temperatuur. Sommige virtualisatiesoftware, zoals VMWare, VirtualBox en Hyper-V, ondersteunen geen temperatuurcontroles. Op deze manier kan de malware identificeren of het aangevallen systeem een echte machine is. Volgens Cisco wordt de malware al sinds 2016 ingezet, maar is de ontwikkelaar lange tijd erin geslaagd om onder de radar te blijven. De malware is met name tegen Indiase doelen gebruikt. Het Computer Emergency Response Team van de Indiase overheid heeft vorig jaar al een waarschuwing voor een variant van de malware afgegeven (pdf). bron: security.nl

Onderzoekers waarschuwen voor een ernstig beveiligingslek in Oracle WebLogic waar nog geen patch voor beschikbaar is. Twee weken geleden kwam Oracle met updates voor 254 kwetsbaarheden. Eén van de updates was voor een ernstig lek in WebLogic waardoor een aanvaller het systeem kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 9,8 beoordeeld. De update van Oracle is echter niet afdoende en kan worden omzeild, zo meldt een onderzoeker van Alibaba. Zodoende zijn systemen zelfs met de update nog steeds kwetsbaar. Kort na het uitkomen van de Oracle-update op 17 april verscheen er een proof-of-concept exploit om kwetsbare systemen aan te vallen. Dit leidde tot een toename van het aantal scans naar kwetsbare systemen, hoewel er nog geen "opportunistische aanvallen" zijn waargenomen, zo laat securitybedrijf GreyNoise weten. Onderzoeker Kevin Beaumont adviseert beheerders om inkomend verkeer op tcp-poort 7001 te blokkeren, om zo aanvallers te stoppen. Begin dit jaar werd er nog gewaarschuwd voor een campagne waarbij aanvallers op Oracle WebLogic-servers een Monero-cryptominer installeerden. Dit gebeurde via een lek dat Oracle vorig jaar oktober patchte. Of Oracle met een tussentijdse oplossing voor het nu ontdekte probleem komt is onbekend. Het softwarebedrijf brengt updates eens per kwartaal uit. De volgende patchronde staat gepland voor 17 juli. bron: security.nl