Captain Kirk

Intel heeft de eigen processors herontworpen om hardwarematige bescherming tegen de Spectre- en Meltdown-aanvallen te bieden, zo laat Intel-topman Brian Krzanich in een aankondiging weten. Door middel van "partitionering" wordt er een aanvullende beveiligingslaag toegevoegd die tegen één variant van de Spectre-aanval en Meltdown moet beschermen. Voor de andere Spectre-aanval zijn softwarematige oplossingen ontwikkeld. De veranderingen zullen als eerste in de volgende generatie Intel Xeon Scalable-processors genaamd Cascade Lake worden doorgevoerd, alsmede de achtste generatie Intel Core-processors die naar verwachting in de tweede helft van 2018 zullen verschijnen, aldus Krzanich. Daarnaast merkt de topman op dat er voor alle Intel-processoren die in de afgelopen vijf jaar zijn verschenen microcode-updates zijn uitgekomen om Spectre en Meltdown tegen te gaan. Hij adviseert gebruikers dan ook om die te installeren. bron: security.nl

Eind november haalden de FBI, Europol, Microsoft en verschillende bedrijven en organisaties het Andromeda-botnet uit de lucht, maar nog altijd 12 miljoen Windows-computers zijn met de malware besmet en lopen daardoor risico. Dat blijkt uit het 23ste Security Intelligence Report van Microsoft. Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Via de malware hadden criminelen volledige controle over de computers van hun slachtoffers en konden die voor allerlei zaken gebruiken. Zo werd Andromeda gebruikt voor het installeren van andere malware, waaronder ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware. Om het botnet uit te schakelen werden meer dan 1500 domeinen in beslag genomen die de Andromeda-malware gebruikte om met besmette machines te communiceren. Vervolgens lieten de autoriteiten deze domeinen naar machines van Microsoft wijzen. Op deze manier maakten de besmette computers verbinding met servers van Microsoft. De softwaregigant kon zo het aantal besmette Windows-computers in kaart brengen. In december werden er maar liefst 17 miljoen met Andromeda besmette computers geteld, waarvan het grootste deel in India, Indonesië en Turkije. In februari was dit aantal naar zo'n 12 miljoen gedaald. Een afname van 30 procent. Hoewel het botnet niet meer operationeel is lopen deze computers nog wel risico. Andromeda probeert namelijk Windows Update, de firewall en User Account Control (UAC) uit te schakelen. Deze functionaliteiten kunnen niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd. Microsoft zegt dat het met allerlei partners samenwerkt om de besmette systemen opgeschoond te krijgen. bron: security.nl

123456 is de meestgebruikte 6-cijferige pincode, zo stelt onderzoeker Malte Laukötter aan de hand van onderzoek naar 500 miljoen wachwoordhashes die onlangs door onderzoeker Troy Hunt openbaar werden gemaakt. De wachtwoordhashes zijn afkomstig van echte datalekken waarbij websites werden gehackt. Met zes posities zijn er 1 miljoen verschillende 6-cijferige pincodes mogelijk. Laukötter ontdekte in de dataset van Hunt alle mogelijke pincodes op 1707 na. 123456 kwam met 13,46 procent het meest voor, gevolgd door 111111 (1,88 procent) en 123123 (1,33 procent). Veel websites, waaronder die van banken, geven gebruikers drie pogingen voordat ze het account blokkeren. "Maar zelfs als dit het geval is zou je nog steeds toegang tot 15 procent moeten krijgen als er geen andere beveiligingsmaatregelen zijn", aldus Laukötter . Daarnaast lijken veel 6-cijferige pincodes op geboortedata te zijn gebaseerd. Een geboortedatum heeft het formaat DDMMYY of MMDDYY, waarbij er 37200 mogelijke geboortedata zijn. 29,63 procent van de onderzochte pincodes zijn in het formaat DDMMYY en 20,66 procent heeft het formaat MMDDYY. Volgens Laukötter is het dan ook een goed idee als websites geboortedata als pincode blokkeren. "Maar nog beter is om gewoon een lijst van veelgebruikte wachtwoorden te gebruiken of een combinatie van beide", aldus de onderzoeker. bron: security.nl

Privacyzoekmachine DuckDuckGo is een wedstrijd gestart waarmee organisaties die zich voor privacy inzetten allerlei geldprijzen kunnen winnen. De wedstrijd wordt gehouden op het crowdfundingplatform CrowdRise. De organisatie die tussen 13 maart en 10 april het meeste geld weet op te halen krijgt de hoofdprijs van 50.000 dollar. In totaal is er 253.000 dollar voor de zestien beste deelnemers gereserveerd. Daarnaast is er nog 247.000 dollar dat via de wekelijkse bonus challenges wordt verdeeld. In totaal doen er 20 organisaties aan de wedstrijd mee, waaronder de Freedom of the Press Foundation, het Tor Project, Let's Encrypt, Tails en Bits of Freedom. Sinds het begin van de wedstrijd gisteren is er in totaal 4219 dollar aan donaties opgehaald en gaat het Center for Democracy and Technology met 1130 dollar aan kop. bron: security.nl

Certificaatautoriteit Let's Encrypt biedt nu ook gratis wildcardcertificaten aan, wat het eenvoudiger voor websites moet maken om op https over te stappen. Via een wildcardcertificaat is het mogelijk om via één tls-certificaat alle subdomeinen van een domein van een versleutelde verbinding te voorzien (bijvoorbeeld *.example.com). Dit moet de uitrol van https verder vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. Net als gewone tls-certificaten zullen ook de wildcardcertificaten gratis worden aangeboden. Om een wildcardcertificaat aan te vragen moet er wel gebruik worden gemaakt van het ACMEv2-protocol dat Let's Encrypt nu ook ondersteunt. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen. Daarnaast moeten wildcarddomeinen via de "DNS-01 challenge" worden gevalideerd. Let's Encrypt beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. In het geval van de DNS-01 challenge moet de aanvrager de DNS TXT-records van het domein aanpassen om aan te tonen dat hij de eigenaar is en een wildcardcertificaat heeft aangevraagd. Oorspronkelijk zou de ondersteuning van wildcardcertificaten in januari worden gelanceerd, maar dat werd wegens een beveiligingslek uitgesteld. Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Het heeft een volledig versleuteld web als doel en is één van de grootste certificaatautoriteiten ter wereld. Onlangs passeerde Let's Encrypt nog de 50 miljoen actieve tls-certificaten. bron: security.nl

De populaire downloadsite Download.com heeft jarenlang malware verspreid waarmee bitcoins van internetgebruikers zijn gestolen, zo laat anti-virusbedrijf ESET vandaag weten. De malware zat verborgen in getrojaniseerde applicaties genaamd Disk Imager, Code::Blocks en MinGW-w64. De besmette versie van Disk Imager werd sinds mei 2016 op Download.com aangeboden en was in die tijd meer dan 4500 keer gedownload. Code::Blocks was sinds juni 2016 op Download.com te vinden en werd vorig jaar maart door Cnet, eigenaar van Download.com, van de website verwijderd. Toch was het programma al 104.000 keer gedownload. Het aantal downloads van MinGW-64, dat ook sinds 2016 op de website stond, bedroeg een kleine 500. De malware in de drie programma's was ontwikkeld om bitcoins te stelen. Bitcoin-gebruikers die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het wallet-adres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het wallet-adres zich in het clipboard van de computer. De malware monitort op besmette computers het clipboard en zodra het ziet dat een gebruiker een wallet-adres kopieert, verandert het dit adres. Als de gebruiker vervolgens het wallet-adres op de transactiepagina wil plakken, plakt hij het aangepaste wallet-adres en maakt zo geld naar de verkeerde partij over. Het bitcoin-adres waar de malware gebruik van maakt zou in totaal 8,8 bitcoin hebben ontvangen, wat op dit moment 62.000 euro is. Na te zijn ingelicht heeft Cnet de besmette programma's verwijderd. Het is niet voor het eerst dat Download.com wegens het aanbieden van malware in het nieuws komt. bron: security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails uitgekomen die gebruikers nu ook de mogelijkheid biedt om hun scherm te vergrendelen. Wanneer gebruikers een beheerderswachtwoord hebben ingesteld kunnen ze hiermee het scherm ontgrendelen. Anders kan er bij de eerste keer dat het scherm wordt vergrendeld een apart wachtwoord hiervoor worden ingesteld. Verder bevat Tails 3.6 verschillende upgrades, beveiligingsupdates en andere aanpassingen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen en privacy-experts aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

Een besmette update voor de torrentclient MediaGet is verantwoordelijk voor de grote cryptominer-uitbraak waar Microsoft vorige week voor waarschuwde. De softwaregigant ontdekte in korte tijd 400.000 gevallen van de Dofoil-malware op computers, die uiteindelijk de cryptominer downloadde. De cryptominer gebruikt de rekenkracht van de besmette computers om naar cryptovaluta te delven. Met name computers in Rusland, Turkije en Oekraïne kregen met de malware te maken. Dofoil, ook bekend als Smoke Loader, verspreidt zich normaliter via besmette e-mailbijlagen en exploitkits. Opvallend aan de uitbraak van vorige week was dat de meeste besmette bestanden afkomstig waren van een proces genaamd mediaget.exe. MediaGet is een programma om torrents mee te downloaden. In dit geval was de malware niet via besmette torrents gedownload, maar van het programma zelf afkomstig. Verder onderzoek wees uit dat het om een zorgvuldig geplande aanval ging, aldus Microsoft. De aanvallers hadden van 12 februari tot 19 februari dit jaar via de MediaGet-updateservers een besmette update onder gebruikers verspreid. Deze update installeerde een gebackdoorde versie van de torrentclient. Van 1 maart tot en met 6 maart werd vervolgens deze backdoor gebruikt om malware bij gebruikers te installeren. Microsoft zegt dat het informatie met de ontwikkelaars van MediaGet heeft gedeeld, maar die hebben nog geen melding van het incident op hun website gemaakt. bron: security.nl

Tijdens de patchdinsdag van maart heeft Microsoft 74 kwetsbaarheden in onder andere Internet Explorer, Edge, Windows en Exchange gepatcht. Twee van de beveiligingslekken waren al bekend voordat de update beschikbaar was, maar zijn volgens Microsoft niet in het 'wild' aangevallen. Het gaat om een kwetsbaarheid in Exchange waardoor een aanvaller zijn rechten kan verhogen en een denial of service-kwetsbaarheid in ASP.NET Core. Veertien beveiligingslekken in ChakraCore, Edge en Internet Explorer zijn als ernstig aangemerkt en geven een aanvaller de mogelijkheid om willekeurige code op het systeem uit te voeren. Alleen het bezoeken van een gehackte website zou in dit geval al voldoende zijn geweest. 59 beveiligingslekken vallen in de categorie "Belangrijk". Eén daarvan verdient volgens Cisco de aandacht. Het gaat om een lek in Windows Shell. Door het openen van een speciaal geprepareerd bestand kan een aanvaller willekeurige code op het systeem met de rechten van de ingelogde gebruiker uitvoeren. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Microsoft heeft twee maanden na de onthulling van de Spectre- en Meltdown-aanvallen updates uitgebracht die gebruikers van de 32-bitsversies van Windows 7 en Windows 8.1 tegen Meltdown moeten beschermen. Daarnaast zijn er Intel-microcode-updates voor verschillende Intel-processoren uitgerold. Begin januari kwam de softwaregigant al met beveiligingsupdates voor de 64-bitsversies van Windows. Op 18 januari volgde vervolgens een Meltdown-update voor de 32-bitsversies van Windows 10. Nu laat Microsoft weten dat er ook beveiligingsupdates voor de 32-bitsversies van Windows 7 en Windows 8.1 beschikbaar zijn gemaakt die gebruikers tegen de Meltdown-aanval moeten beschermen. Om volledig tegen de Spectre- en Meltdown-aanvallen beschermd te zijn hebben systemen zowel software- als firmware (microcode)-updates nodig, aldus Microsoft. Daarom werd begin maart begonnen om microcode-updates van Intel via de Microsoft Update Catalogus aan te bieden. In eerste instantie ging het om updates voor systemen die over een Skylake-processor beschikken en de Windows 10 Fall Creators Update draaien. Nu heeft Microsoft ook updates voor Kaby Lake- en Coffee Lake-processors op hetzelfde platform beschikbaar gemaakt.

Voor gebruikers van Adobe Flash Player zijn er belangrijke beveiligingsupdates verschenen die twee ernstige kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval systemen volledig kan overnemen. Alleen het bezoeken van een gehackte website, het laden van een besmette advertentie of het openen van een kwaadaardig Office-bestand met een embedded Flash-object is voldoende. De kwetsbaarheden zijn aanwezig in Flash Player versie 28.0.0.161 en eerder. Gebruikers krijgen het advies om te updaten naar Flash Player-versie 29.0.0.113. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers om de update "snel" te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. Een beveiligingslek in Flash Player dat Adobe vorige maand patchte wordt inmiddels actief door cybercriminelen gebruikt om ongepatchte gebruikers via malafide Office-documenten en besmette advertenties met malware te infecteren. Deze kwetsbaarheid werd echter al voor het uitkomen van de update bij zeroday-aanvallen ingezet. Adobe gaf bij de update van februari dan ook het advies om die zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers hebben naar eigen zeggen ernstige kwetsbaarheden in verschillende processors van AMD ontdekt, maar de aankondiging en het rapport, alsmede het feit dat AMD minder dan 24 uur kreeg om te reageren, zorgt voor veel vraagtekens. Securitybedrijf CTS-Labs heeft de kwetsbaarheden via de website amdflaws.com bekendgemaakt. Volgens het bedrijf zijn er 13 ernstige kwetsbaarheden en backdoors in AMD-processors aanwezig. Het zou om vier soorten beveiligingslekken gaan die werden aangetroffen in de AMD Secure Processor en AMD-chipset van de EPYC- en RYZEN-processors. Om de aanvallen uit te voeren moet een aanvaller al beheerdersrechten op het gecompromitteerde systeem hebben. De kwetsbaarheden bieden geen mogelijkheid om systemen op afstand aan te vallen, maar geven een aanvaller extra mogelijkheden om een systemen verder te compromitteren. Zo is het onder andere mogelijk om de Secure Processor te benaderen, waar allerlei belangrijke informatie in wordt opgeslagen, alsmede beveiligingsmaatregelen te omzeilen of uit te schakelen en de firmware te compromitteren. Op Hacker News en Reddit zijn er de nodige vragen over het rapport van CTS-Labs. Zo worden er geen CVE-nummers genoemd waarmee onderzoekers kwetsbaarheden normaliter aanduiden en worden er niet veel technische details gegeven. Verder zijn er vragen over de werkwijze van de onderzoekers. In het geval van de Spectre- en Meltdown-aanvallen werden Intel en AMD maanden van tevoren ingelicht. Cnet meldt dat AMD nog geen 24 uur van het rapport op de hoogte is. Het is dan ook onbekend wanneer de kwetsbaarheden worden verholpen. bron: security.nl

Mozilla heeft vandaag Firefox 59 gelanceerd die meerdere kwetsbaarheden verhelpt en voortaan ook referrers stript om te voorkomen dat gebruikers over meerdere websites worden gevolgd. Daarnaast heeft de browser een optie gekregen om verzoeken van websites te blokkeren. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is. Volgens Mozilla lekt dit gebruikersdata aan websites en vertelt ze welke pagina de gebruiker bekeek voordat hij op de link klikte. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. Om de privacy van gebruikers te beschermen verwijdert de Private Browsing Mode in Firefox 59 voortaan de path-informatie van de referrer-waarde. Zodoende wordt alleen het domein aan de nieuwe website doorgegeven en niet meer allerlei parameters die persoonlijke informatie kunnen bevatten. Verzoeken Daarnaast is er een optie toegevoegd om verzoeken van opdringerige websites, die bijvoorbeeld push-notificaties willen versturen of toegang tot de camera of microfoon willen, te blokkeren. Op dit moment kunnen websites aan gebruikers vragen of ze push-notificaties mogen sturen of toegang tot apparaatfeatures zoals de webcam of geolocatie mogen krijgen. Via een nieuwe optie in de instellingen van de browser is het mogelijk om dergelijke verzoeken voor alle websites te blokkeren. Er is daarnaast ook de optie om betrouwbare websites te whitelisten, zodat die de verzoeken nog wel kunnen versturen. Mozilla laat in de aankondiging van Firefox 59 verder weten dat er ook meerdere kwetsbaarheden in de browser zijn verholpen, maar die waren op het moment van schrijven nog niet openbaar gemaakt. Vaak wacht de browserontwikkelaar enkele uren na het uitbrengen van een nieuwe versie voordat details over beveiligingslekken worden vrijgegeven. Updaten naar Firefox 59 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

De afgelopen maanden zijn miljoenen computers in aanraking gekomen met cryptominers, terwijl het aantal gevallen van ransomware juist is afgenomen, zo heeft Microsoft vandaag laten weten. Van september vorig jaar tot en met januari dit jaar werden er elke maand gemiddeld 644.000 unieke Windows-computers waargenomen die een cryptominer waren tegengekomen. Het gaat hierbij om malware die op verschillende manieren op de computer kan worden geïnstalleerd en het systeem naar cryptovaluta laat mijnen. Terwijl er een duidelijke stijging is van het aantal cryptominers, is het aantal computers dat ransomware tegenkomt aan het afnemen. Een mogelijke reden is dat cryptominers nu ook via exploitkits worden verspreid, alsmede via kwaadaardige e-mailbijlagen. "Het is niet waarschijnlijk dat cybercriminelen ransomware op korte termijn helemaal zullen verlaten, maar de toename van getrojaniseerde cryptominers laat zien dat aanvallers de mogelijkheden verkennen om met deze nieuwere methode op illegale wijze geld te verdienen", aldus Eric Avena van Microsoft. Doordat cybercriminelen nu meer voor cryptominers kiezen zal deze malware ook het gedrag van al bekende dreigingen overnemen, aldus Avena. Als voorbeeld wijst hij naar de NeksMiner, die een kopie van zichzelf in gedeelde netwerkmappen en op usb-sticks plaatst om zich zo verder te verspreiden, net als allerlei andere malware. bron: security.nl

Mozilla is bezig met het verzamelen van een dataset van in-page pop-ups om die uiteindelijk automatisch in Firefox te kunnen blokkeren. In-page pop-ups zijn pop-ups die pagina's op verschillende momenten laten zien, zoals tijdens het laden van de website, het scrollen, inactiviteit of het openen van een tab. Er wordt nu geëxperimenteerd met een pop-upblocker om deze pop-ups automatisch te sluiten. Hiervoor is Mozilla bezig met het aanleggen van een verzameling van dergelijke pop-ups. Internetgebruikers kunnen die via deze pagina rapporteren. De dataset is alleen nodig om de pop-upblocker te trainen. Het plan is om ze automatisch te kunnen blokkeren zonder over een volledige blocklist te beschikken. Of de feature er ook komt is nog onduidelijk. Firefox-ontwikkelaar Ehsan Akhgari zegt op Twitter dat Mozilla het als een mogelijke Firefox-feature aan het verkennen is. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit hebben malware ontwikkeld die via passieve luidsprekers data van systemen kan stelen die niet met het internet verbonden zijn. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers van de Ben-Gurion Universiteit in het verleden verschillende methodes, zoals het gebruik van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De onderzoekers demonstreren nu een nieuwe methode genaamd Mosquito (pdf) waarbij "speaker-to-speaker" communicatie wordt gebruikt om data van een niet met internet verbonden computer te stelen. Het scenario dat de onderzoekers schetsen bestaat uit een kamer met twee computers, waarvan er één wel en één niet met internet is verbonden. Beide computers zijn besmet met malware en beschikken over passieve luidsprekers of een koptelefoon. De malware maakt vervolgens misbruik van een feature van de audiochip waarbij de aangesloten luidsprekers van uitvoerapparaat in een invoerapparaat (microfoon) worden veranderd. Malware op de ene computer kan vervolgens via de luidsprekers en het gebruik van ultrasone golven informatie uitzenden die door de luidsprekers van de andere computer, die in feite een microfoon zijn geworden, worden opgevangen. Op deze manier is het mogelijk om op een afstand van 9 meter data met een snelheid van 10 - 166 bit/sec tussen de computers te versturen. Wanneer er in plaats van luidsprekers koptelefoons worden gebruikt, is een afstand van 3 meter mogelijk. De onderzoekers stellen dat in zwaarbeveiligde instellingen het gewoon is om zowel actieve als passieve luidsprekers te verbieden, om zo een air-gap te creëren. Minder strenge regels verbieden het gebruik van microfoons, maar staan wel het gebruik van "one-way" luidsprekers toe. In veel gevallen geldt het beleid en de beveiligingsmaatregelen niet voor moderne koptelefoons, wat in principe niet-aangedreven en onversterkte luidsprekers zijn. In deze situaties zou Mosquito effectief kunnen zijn. Om dergelijke aanvallen te voorkomen kunnen organisaties verschillende maatregelen nemen, zoals het verbieden van het gebruik van luidsprekers, koptelefoons of oortjes, het gebruik van actieve speakers, het uitschakelen van de audio-codec in het bios, het detecteren van ultrasone transmissies en het gebruik van low-pass filters. bron: security.nl

Om de privacy van gebruikers te beschermen gaat Mozilla de licht- en nabijheidssensor in Firefox uitschakelen, alsmede verschillende andere sensoren. Dat laat de Firefox Site Compatibility Working Group weten op basis van een Bugzilla-rapport en bericht van Firefox-ontwikkelaar Jonathan Kingston. Firefox biedt verschillende programmeerinterfaces waarmee de sensoren van smartphones zijn te gebruiken. Een aanvaller kan misbruik van deze sensoren maken om bijvoorbeeld de surfgeschiedenis van de gebruiker te stelen, zo lieten onderzoekers vorig jaar al zien. De lichtsensor wordt bijvoorbeeld gebruikt om de helderheid van het scherm automatisch aan te passen. Een website kan hiermee achterhalen welke websites de gebruiker eerder heeft bezocht. De link van een bezochte website wordt door de browser namelijk anders weergegeven dan een link die nog niet is bezocht. De sensor kan dit herkennen. Firefox-ontwikkelaar Jonathan Kingston laat weten dat in een testversie van Firefox 60 de licht- en nabijheidssensors zijn uitgeschakeld. Voor andere sensoren, zoals oriëntatie en beweging, verschijnt er een waarschuwing dat de ondersteuning zal worden gestaakt. Kingston stelt dat het plan is om de licht- en nabijheidssensors in de stabiele versie van Firefox 62 uit te schakelen, die gepland staat voor 21 augustus van dit jaar. bron: security.nl

Twee botnets waren in het vierde kwartaal van vorig jaar verantwoordelijk voor 97 procent van alle verstuurde spam, zo laat McAfee in een nieuw rapport weten. Het gaat om de Necurs- en Gamut-botnets, die door spammers worden gehuurd voor het versturen van spam, phishingmails en malware. Necurs werd met een aandeel van 60 procent het meestgebruikt, gevolgd door Gamut met 37 procent (pdf). Volgens McAfee is Necurs op dit moment ook het grootste spambotnet ter wereld. De besmette machines die onderdeel van het botnet zijn worden via een peer-to-peer-model bestuurd. In het vierde kwartaal van vorig jaar werden onder andere de Locky-ransomware en Dridex-bankmalware via Necurs verstuurd. Gamut richtte zich in deze periode meer op e-mails om money mules te werven en phishingmails. bron: security.nl

Het aantal kwetsbare memcached-servers die voor ddos-aanvallen kunnen worden gebruikt is dankzij de inzet van vrijwilligers de afgelopen dagen sterk gedaald. Dat meldt onderzoeker Victor Gevers van de GDI Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk. De GDI Foundation verstuurde ruim 4.000 e-mails naar internetproviders, organisaties en eigenaren in 150 landen waarin voor meer dan 51.000 kwetsbare memcached-servers werd gewaarschuwd. Volgens de stichting zijn er nog ruim 6.000 kwetsbare servers op internet te vinden. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Aanvallers wisten op deze manier een ddos-aanval van 1,7 Tbps te genereren. Het is niet voor het eerst dat de GDI Foundation organisaties en providers voor kwetsbare systemen waarschuwt. Eerder deed de stichting dit al bij onbeveiligde MongoDB-databases en Hadoop-installaties, kwetsbare D-Link-routers en Arris-apparaten, alsmede systemen die kwetsbaar voor de exploits van de NSA waren. bron: security.nl

Een recent gepatcht beveiligingslek in Adobe Flash Player wordt actief aangevallen via exploitkits. Dit houdt in dat het bezoeken van een gehackte website of het te zien krijgen van besmette advertenties met een kwetsbare Flash Player-versie voldoende is om met malware besmet te raken. De kwetsbaarheid in kwestie werd op 6 februari door Adobe via een noodpatch verholpen. Het beveiligingslek bleek namelijk al sinds vorig jaar november bij gerichte aanvallen tegen Zuid-Koreaanse organisaties ingezet. Hierbij werden Excel- en Word-bestanden met embedded Flash-objecten gebruikt. Nu blijkt dat cybercriminelen ook over de exploit beschikken om die via het web te gebruiken. Flash Player was en is nog altijd het populairste doelwit voor exploitkits. Door het uitblijven van nieuwe exploits, en het feit dat steeds meer browsers de ondersteuning van Flash Player uitfaseren, is de effectiviteit van exploitkits de afgelopen periode sterk afgenomen. Volgens onderzoeker Kafeine van het blog Malware don't need coffee is dit de eerste nieuwe Flash-exploit die sinds een exploit voor een Flash-lek uit juli 2016 aan een exploitkit is toegevoegd. De nieuwe Flash-exploit wordt via besmette advertenties ingezet en zal wanneer succesvol de Hermes-ransomware installeren. Gebruikers krijgen dan ook het advies om te upgraden naar Flash Player-versie 28.0.0.161 of nieuwer, aangezien daarin het lek is verholpen. bron: security.nl

Anti-virusbedrijf Kaspersky Lab heeft een spionageaanval via gehackte MikroTik-routers ontdekt die vooral in Afrika en het Midden-Oosten slachtoffers heeft gemaakt. Volgens de virusbestrijder gaat het om een aanval die qua complexiteit vergelijkbaar is met twee eerder ontdekte spionageaanvallen die bekendstaan als Regin en Sauron. Slingshot, zoals de groep achter de aanval wordt genoemd, maakt gebruik van gecompromitteerde MikroTik-routers om slachtoffers te infecteren. MikroTik biedt klanten een programma genaamd WinBox om routers te beheren. Dit programma, dat op de router staat, downloadt een aantal dll-bestanden van het bestandssysteem van de router en laadt ze direct in het geheugen van de computer. Om beheerders van MikroTik-routers te infecteren hebben de aanvallers een kwaadaardige versie van het dll-bestand genaamd ipv4.dll op de gecompromitteerde routers geplaatst. Na te zijn toegevoegd wordt dit dll-bestand door WinBox gedownload en uitgevoerd. Volgens de onderzoekers is dit dll-bestand een Trojan-downloader die aanvullende malware op het systeem installeert. Hoe de aanvallers het voor elkaar hebben gekregen om de MikroTik-routers te hacken en van het malafide dll-bestand te voorzien is onbekend. Wat de onderzoekers wel weten is dat het dll-bestand verschillende modules downloadt, waaronder een kernel-module en een user-mode-module. Deze modules zijn ontwikkeld om gegevens te verzamelen en te stelen en het systeem gecompromitteerd te houden. Om code in kernel-mode te kunnen draaien laadt Slingshot gesigneerde kwetsbare drivers. Via de kwetsbaarheden in deze drivers voert de malware zijn eigen code uit. Doordat de code met kernel-rechten wordt uitgevoerd heeft die volledige controle over het systeem en kan zich onder andere voor anti-virussoftware verbergen. Cyberspionage Het doel van Slingshot is cyberspionage. Uit het onderzoek blijkt dat de malware screenshots, keyboarddata, netwerkgegevens, wachtwoorden, usb-verbindingen, desktopactiviteit, de inhoud van het clipboard en andere gegevens verzamelt en naar de aanvallers terugstuurt. Opmerkelijk aan de malware is dat die de software voor het defragmenteren van de harde schijf uitschakelt. Slingshot maakt gebruik van een eigen versleuteld bestandssysteem dat zich in een ongebruikt deel van de harde schijf kan bevinden. Bij het defragmenteren van de harde schijf kan data naar dit deel worden geschreven, wat het virtuele bestandssysteem kan beschadigen. Volgens Kaspersky Lab is Slingshot al sinds 2012 actief en nog steeds operationeel. Het anti-virusbedrijf heeft zo'n 100 slachtoffers waargenomen in Kenia, Yemen, Afghanistan, Libië, Congo, Jordanië, Turkije, Irak, Soedan, Somalië en Tanzania. De meeste slachtoffers zijn individuen in plaats van organisaties, maar ook verschillende overheidsorganisaties en -instellingen zijn door de malware getroffen. In Kenia en Yemen werden de meeste slachtoffers waargenomen. MikroTik heeft in een reactie aan Kaspersky Lab laten weten dat de laatste versie van WinBox het bestand ipv4.dll niet meer op de computer downloadt, waarmee deze aanvalsvector is gesloten. In dit rapport (pdf) geeft Kaspersky Lab informatie en hashes van bestanden en domeinen waar de malware gebruik van maakt. bron: security.nl

Broncode van de remote desktopsoftware Ammyy Admin is gebruikt voor malware die zowel bij zeer gerichte als grootschalige aanvallen is ingezet, aldus securitybedrijf Proofpoint. Ammyy Admin is een programma waarmee op afstand toegang tot computers kan worden verkregen. Enige tijd geleden verscheen de broncode van Ammyy Admin versie 3 op internet en cybercriminelen hebben daar gebruik van gemaakt voor het ontwikkelen van malware, genaamd "FlawedAmmyy". Deze kwaadaardige versie is al sinds begin 2016 bij aanvallen ingezet, maar nu pas ontdekt, zo laat Proofpoint weten. Onder andere de automobielindustrie zou het doelwit van de aanvallen zijn. Om de malware te verspreiden maken de aanvallers gebruik van e-mails die als bijlage Word- of ZIP-bestanden bevatten. De Word-bestanden zijn voorzien van een kwaadaardige macro die, wanneer ingeschakeld door de gebruiker, de malware op het systeem downloadt. Eenmaal actief op een systeem kan FlawedAmmyy worden gebruikt om bedrijfsgeheimen, klantgegevens en andere informatie van ondernemingen te stelen, aldus de onderzoekers. bron: security.nl

140 Nederlandse WordPress-sites zijn besmet met een cryptominer die de brower van bezoekers naar cryptovaluta laat mijnen, zo meldt beveiligingsonderzoeker Troy Mursch van Bad Packets Report. De onderzoeker waarschuwde vorige maand dat hij via de PublicWWW-zoekmachine bijna 50.000 gehackte sites had gevonden waar aanvallers een cryptominer aan hadden toegevoegd. Van de 50.000 gehackte websites met een cryptominer draaiden er 5400 op WordPress-websites. Deze week kwam de onderzoeker met een update waarin hij stelt dat het aantal gehackte WordPress-sites is opgelopen naar bijna 7400. In een overzicht van de gehackte websites blijkt dat het om 140 .nl-domeinen gaat. Hoe de websites konden worden gehackt laat de onderzoeker niet weten. Op de meeste gehackte websites is de Coinhive-cryptominer geplaatst. Deze cryptominer bestaat uit een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptovaluta Monero te minen. Eigenaren van de gehackte websites hebben hier geen weet van en worden hier ook niet voor betaald. Het geld dat de cryptominer oplevert gaat naar de aanvallers. Bezoekers kunnen de cryptominer opmerken doordat hun computer trager wordt en meer stroom verbruikt. bron: security.nl

Een Amerikaans securitybedrijf claimt dat het een 'kill-switch' heeft gevonden om ddos-aanvallen via publiek toegankelijke memcached-servers te stoppen. Daarnaast waarschuwen onderzoekers van Corero dat het ook mogelijk is om data van kwetsbare memcached-servers te stelen of manipuleren. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Wereldwijd zijn er echter nog zo'n 95.000 memcached-servers publiek toegankelijk. Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Dit heeft inmiddels geleid tot ddos-aanvallen met een recordomvang van 1,7 Tbps Corero zegt dat er een oplossing voorhanden is. Er is namelijk een 'kill-switch' waarbij er een commando naar de aanvallende memcached-server wordt gestuurd om het huidige ddos-misbruik te stoppen. De "flush_all" tegenmaatregel zorgt ervoor dat de cache van de kwetsbare servers komt te vervallen, waaronder ook de grote, kwaadaardige antwoorden van de aanvallers. Volgens de onderzoekers is de maatregel 100 procent effectief en heeft die geen gevolgen voor de kwetsbare memcached-server. De informatie is inmiddels met "nationale veiligheidsdiensten" gedeeld, aldus Corero. Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen bron: security.nl

Microsoft heeft afgelopen dinsdag een grootschalige uitbraak van cryptomining-malware ontdekt en gestopt, zo meldt de softwaregigant in een analyse. In korte tijd werden er 400.000 exemplaren van Smoke Loader gedetecteerd, een Trojan downloader die aanvullende malware op systemen installeert en ook bekend staat als Dofoil. Smoke Loader verspreidt zich via exploitkits en spamcampagnes. In het geval van de aanval van afgelopen dinsdag probeerde Smoke Loader een zelfontwikkelde cryptominer te installeren die NiceHash ondersteunt. Dit houdt in dat de cryptominer verschillende cryptovaluta kan mijnen. De exemplaren die Microsoft analyseerde mijnden de cryptovaluta Electroneum. De analyse van Microsoft laat zien hoe de malware middels machine learning, gedragsgebaseerde detectie en big data-analyse binnen enkele minuten kon worden gedetecteerd. De campagne van Smoke Loader was met name in Rusland actief waar 73 procent van de exemplaren werd waargenomen. Turkije en Oekraïne volgden met respectievelijk 18 en 4 procent. bron: security.nl