Captain Kirk

Cybercriminelen hebben Googles advertentienetwerk DoubleClick gebruikt om besmette advertenties met twee verschillende cryptominers op populaire websites te krijgen, zo laat anti-virusbedrijf Trend Micro weten. De cryptominers gebruiken de rekenkracht van de browser om naar de cryptovaluta monero te minen. Daarbij wordt 80 procent van de processor voor het minen gebruikt. Trend Micro ontdekte de advertenties nadat het een piek in het aantal detecties van cryptominers zag. Verder onderzoek wees uit dat Googles DoubleClick werd gebruikt om de besmette advertenties op populaire websites te krijgen. "De getroffen website laat een legitieme advertentie zien, terwijl de twee webminers in het geheim hun taak uitvoeren", aldus analist Joseph Chen. Google is inmiddels over de advertenties ingelicht. Internetgebruikers die zich tegen cryptominers willen beschermen kunnen dit doen door JavaScript te blokkeren. bron: security.nl

Oracle heeft deze maand een beveiligingslek in de populaire virtualisatiesoftware VirtualBox gedicht waardoor het mogelijk was om het onderliggende host-systeem aan te vallen. VirtualBox biedt gebruikers de mogelijkheid om een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware zoals VirtualBox om bijvoorbeeld malware te onderzoeken. De infectie blijft zo alleen tot het guest-systeem beperkt. De kwetsbaarheid in VirtualBox maakt het echter mogelijk om systeemrechten op een Windows 10-host te krijgen, zo meldt onderzoeker Niklas Baumstark die de kwetsbaarheid ontdekte. Vorige week waarschuwde Baumstark al om de update voor VirtualBox te installeren, zeker wanneer de virtualisatiesoftware wordt gebruikt om kwaadaardige code te onderzoeken. Nu heeft securitybedrijf SecuriTeam de details van de kwetsbaarheid openbaar gemaakt. Het beveiligingslek bevindt zich in het graphics framework en raakt alle host-besturingssystemen. Oracle adviseert gebruikers om te updaten naar VirtualBox 5.2.6 of 5.1.32. Gisteren werd bekend dat VirtualBox in maart zijn debuut maakt op de internationale Pwn2Own-hackwedstrijd. Onderzoekers worden hier beloond voor het demonstreren van onbekende kwetsbaarheden in populaire software. Een succesvolle hack van VirtualBox levert onderzoekers 35.000 dollar op. bron: security.nl

Mozilla heeft een nieuwe versie van de e-mailclient Thunderbird uitgebracht waarin meerdere kwetsbaarheden zijn verholpen. Het gaat in totaal om 10 beveiligingslekken waardoor een aanvaller in theorie systemen had kunnen overnemen. Ook is er een url-spoofinglek verholpen. Mozilla laat echter weten dat de kwetsbaarheden in het algemeen niet via e-mail zijn uit te buiten, aangezien scripting bij het lezen van e-mail in Thunderbird is uitgeschakeld. In het geval van een browser of "browser-achtige context" is er mogelijk wel een risico, aldus de opensource-ontwikkelaar. Updaten naar Thunderbird 52.6 kan via Thunderbird.net en de automatische updatefunctie. Thunderbird.net kwam vorig jaar in handen van het Thunderbird Project en wordt de nieuwe thuisbasis voor de e-mailclient. bron: security.nl

Om Tor Browser toegankelijker voor internetgebruikers te maken is er een nieuwe versie met een aangepaste gebruikersinterface verschenen. Tor Browser laat gebruikers hun ip-adres en privacy beschermen. De gebruikersinterface, zoals het welkomstscherm, waren voor sommige gebruikers verwarrend. Uit onderzoek (pdf) blijkt dat sommige gebruikers 40 minuten bezig waren om te kijken wat ze hier moesten doen. "Het oude scherm had teveel informatie voor de gebruikers, wat ze verwarde over wat er moest worden gedaan", aldus Nicolas Vigier van het Tor Project. Daarom zijn het scherm en de tekst vereenvoudigd, zodat het eenvoudiger voor gebruikers wordt om te bepalen of ze iets moeten configureren. Ook de instellingen voor landen waar Tor wordt gecensureerd en het gebruik van een proxy zijn nu aangepast. Een andere aanpassing die is doorgevoerd betreft de "security slider", waarmee gebruikers het gewenste beveiligingsniveau kunnen instellen. Verder is voor de Windows-versie van Tor Browser 7.5 "context sandboxing" ingeschakeld, wat aanvullende bescherming biedt. De nieuwste Tor Browser ondersteunt ook de "Next Generation of Onion Services", wat voor betere prestaties zou moeten zorgen en bevat de Firefox-beveiligingsupdates die deze week uitkwamen. Updaten kan via Torproject.org of de automatische updatefunctie van de browser. bron: security.nl

Alphabet, het moederbedrijf van Google, heeft een nieuw cybersecuritybedrijf gelanceerd dat bedrijven gaat helpen met het vinden en stoppen van cyberaanvallen. Chronicle, dat een onafhankelijk bedrijf binnen Alphabet is en in 2016 al stilletjes werd opgericht, bestaat uit twee onderdelen. Het gaat om een inlichtingen- en analyticsplatform dat bedrijven meer inzicht in hun eigen security-gerelateerde data moet geven, en VirusTotal, de online virusscandienst die in 2012 door Google werd overgenomen. Volgens Stephen Gillett, ceo van Chronicle, hebben organisaties met zoveel data te maken dat ze belangrijke aanwijzingen van aanvallen missen. Aanvallers kunnen zodoende maandenlang onopgemerkt blijven. Het nieuwe analyticsplatform moet organisaties helpen met het verwerken van de datastroom zodat belangrijke "securitysignalen" worden opgevangen Chronicle zal van dezelfde infrastructuur gebruikmaken waar ook andere Alphabet-diensten op draaien. Zodoende beschikt het securitybedrijf over enorme rekenkracht en opslag. Daarnaast zal het bedrijf ook machine learning gaan inzetten om alle data te analyseren. Een andere belangrijke rol is voor VirusTotal weggelegd. Via de website kunnen organisaties en gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusbedrijven laten scannen. Op deze manier heeft Chronicle inzicht in allerlei nieuwe en opkomende dreigingen. De aankondiging van Chronicle zal geen invloed op de werking van de online virusscandienst hebben, aldus Gillet en Bernardo Quintero van VirusTotal. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die gebruikers tegen de twee Spectre-aanvallen moet beschermen. Ook beschikt de browser nu over een sterkere pop-upblocker. Chrome 64.0.3282.119 verhelpt in totaal 53 kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. 24 kwetsbaarheden die in Chrome 64 zijn gepatcht werden gerapporteerd door externe onderzoekers. Google betaalde hen 22.000 dollar, hoewel het uiteindelijke bedrag hoger zal liggen omdat nog niet alle beloningen zijn vastgesteld. De bescherming tegen de Spectre-aanvallen, die misbruik van kwetsbaarheden in processors maken, moet voorkomen dat een aanvaller via JavaScript informatie uit het geheugen van de computer kan stelen, zoals wachtwoorden. Verder introduceert Chrome 64 een sterkere pop-upblocker. Twintig procent van de klachten die Chrome-desktopgebruikers doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. Om gebruikers hier tegen te beschermen zal de pop-upblocker in Chrome 64 nu het openen van nieuwe tabs of vensters via automatische redirects en andere misleidende manieren tegengaan. Updaten naar Chrome 64 zal op de meeste systemen automatisch gaan. bron: security.nl

Microsoft heeft een testversie van Windows 10 van een nieuwe tool voorzien waarmee gebruikers kunnen zien welke diagnostische data over hun systeem naar Microsoft wordt gestuurd. De Diagnostic Data Viewer staat los van het Microsoft Privacy Dashboard is straks via de Microsoft Store beschikbaar. De tool toont informatie over de naam van het besturingssysteem, versie, netwerkinstellingen, prestatiegegevens, geïnstalleerde apps, updates en details over het gebruik van het systeem, applicaties en diensten. Ook wordt er informatie over de "movie consumption functionality" teruggestuurd. Microsoft benadrukt dat het hier niet om kijk- of luistergedrag gaat. Via de Viewer kunnen gebruikers in deze gegevens zoeken en hier feedback over geven. Windows 10 biedt twee niveaus voor het verzamelen van diagnostische data, namelijk standaard en volledig. Wanneer systeembeheerders een bepaald niveau hebben ingeschakeld kunnen standaardgebruikers die wijzigen. Gebruikers worden ook gewaarschuwd als de instelling door een andere gebruiker of systeembeheerder is gewijzigd. De Diagnostic Data Viewer is nu aan Windows 10 Insider Preview Build 17083 toegevoegd. Gebruikers moeten die nog wel zelf inschakelen. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 32 beveiligingslekken zijn gedicht en een waarschuwing voor de certificaten van Symantec is toegevoegd. Van de 32 kwetsbaarheden zijn er 3 als ernstig bestempeld. Via deze kwetsbaarheden had een aanvaller in het ergste geval een systeem volledig kunnen overnemen als er een kwaadaardige of gehackte website werd bezocht. Er zou geen verdere interactie zijn vereist. De overige beveiligingslekken zijn minder ernstig van aard. Het gaat bijvoorbeeld om het onzichtbaar maken van de muiscursor, url-spoofing en het vragen om audio op te nemen waarbij het verzoek van een andere website afkomstig leek dan die de audio wilde opnemen. Ook bleek dat het mogelijk was voor WebExtensions om bestanden op het systeem op te slaan en uit te voeren zonder dit aan de gebruiker te melden. Verder is er een waarschuwing aan Firefox 58 toegevoegd die waarschuwt voor certificaten van Symantec. Mozilla is van plan om het vertrouwen in de certificaten geleidelijk op te zeggen en de waarschuwing moet gebruikers hierover informeren. Updaten naar Firefox 58 kan via de automatische updatefunctie en Mozilla.org. Naar aanleiding van de nieuwe Firefox-versie zijn er ook nieuwe versie van Tor Browser en het privacybesturingssysteem Tails verschenen. bron: security.nl

De op privacy gerichte zoekmachine DuckDuckGo heeft vandaag een nieuwe browserplug-in en mobiele app gelanceerd die de privacy van internetgebruikers moeten beschermen. DuckDuckGo is een zoekmachine die zegt geen ip-adressen van gebruikers of andere persoonlijke informatie op te slaan en ook geen profielen van gebruikers aan te maken. De zoekmachine zou de afgelopen jaren bij elkaar al ruim 16 miljard anonieme zoekopdrachten hebben verwerkt. Om het beschermen van de privacy op internet te vereenvoudigen heeft DuckDuckGo de eigen browserextensie en mobiele app vernieuwd. De nieuwe versies beschikken over een blocker die trackernetwerken blokkeert, het standaard laden van de https-versie van een website en "private search". Hierbij zegt de zoekmachine de privacy van gebruikers ook op de websites die ze bezoeken te beschermen. Verder laten de plug-in en app nu ook de privacyscore van een website zien. De score is gebaseerd op de aanwezigheid van verborgen trackernetwerken, de beschikbaarheid van https en andere "privacy practices". De nieuwe app en extensie zijn beschikbaar voor Firefox, Safari, Chrome, iOS en Android. De code van de app en extensie is via GitHub open source gemaakt. bron: security.nl

Er is een nieuwe testversie van het opensource-archiveringsprogramma 7-Zip verschenen waarin een ernstig beveiligingslek is gedicht, maar dit wordt niet in de release notes vermeld. Via de kwetsbaarheid kan een aanvaller in het ergste geval de computer overnemen als er een kwaadaardig RAR- of ZIP-bestand wordt geopend. 7-ZIP laat gebruikers allerlei bestanden in- en uitpakken. Een informaticastudent genaamd Dave ontdekte een manier om via een kwaadaardig RAR- of ZIP-bestand een heap en stack buffer overflow te veroorzaken. Daardoor kan een aanvaller willekeurige code op het systeem uitvoeren. Het probleem wordt vergroot doordat de ontwikkelaar van 7-Zip bepaalde beveiligingsmaatregelen om de impact van een kwetsbaarheid tegen te gaan niet heeft genomen en ook niet van plan is om te nemen. De ontwikkelaar werd op 6 januari over de kwetsbaarheid (CVE-2018-5996) ingelicht en rolde vier dagen later op 10 januari een update uit. De beveiligingsupdate is echter in een testversie van 7-ZIP verwerkt (18.00 beta). De standaardversie die op de website van 7-Zip wordt aangeboden dateert van 4 oktober 2016. Daarnaast wordt er in de release notes van 7-Zip 18.00 beta nergens melding van het beveiligingslek gemaakt, behalve dat er "een aantal bugs" zijn verholpen. bron: security.nl

Facebook heeft aan universiteitsonderzoekers en faculteiten, non-profitorganisaties en NGO's beurzen tot 100.000 dollar uitgeloofd om de veiligheid en privacy van internetgebruikers te verbeteren. "Ons doel is om de ontwikkeling van technologie aan te moedigen die in de praktijk kan worden toegepast, in plaats van puur onderzoek", aldus Facebook. Het gaat dan bijvoorbeeld om maatregelen die gebruikers tegen phishing moeten beschermen, privacytechnologieën en security voor gebruikers in opkomende markten. Partijen die voor een beurs in aanmerking willen komen moeten een voorstel van maximaal twee pagina's opsturen waarin ze de praktische impact van hun onderzoek voor eindgebruikers beschrijven en hoe het geld zal worden gebruikt. Afhankelijk van de eisen van het voorstel kan er een bedrag van maximaal 100.000 dollar worden uitgeloofd. Het inzenden van de voorstellen kan tot 30 maart. De winnaars worden tijdens de Black Hat-conferentie in Las Vegas in mei van dit jaar bekendgemaakt. Vorig jaar kondigde Facebook al aan dat het 1 miljoen dollar voor defensief cybersecurity-onderzoek beschikbaar zou gaan maken. bron: security.nl

Windows 10 krijgt mogelijk een optie om verzamelde diagnostische data te bekijken en te verwijderen. Dat ontdekte Windowsvolger Ed Bott. De nieuwste testversies van Windows 10, met buildnummers 17063 en 17074, bevatten twee nog niet operationele opties genaamd "Diagnostic data viewer" en "Delete diagnostic data". Dit lijkt erop te wijzen dat Microsoft gebruikers meer inzicht wil geven in de diagnostische data die het besturingssysteem verzamelt. Eerder besloot Microsoft onder druk van privacytoezichthouders om de optie voor het verzamelen van diagnostische data van drie naar twee terug te brengen, namelijk standaard en een volledig niveau. Ook moeten gebruikers bij het installeren van Windows 10 bevestigen welke optie ze willen, hoewel standaard een "volledig niveau" staat geselecteerd. Op het basisniveau worden zaken teruggestuurd als apparaat-, connectiviteit- en configuratiegegevens, beperkte foutrapportages en de status van update-installaties. Bij het niveau volledig worden de gegevens van het basisniveau verstuurd, aangevuld met extra gegevens over het apparaat, de connectiviteit en de configuratie, alsmede app- en browsergebruik, fragmenten van handgeschreven en getypte tekst en uitgebreidere foutrapportages. bron: security.nl

Intel waarschuwt eindgebruikers, systeemleveranciers, computerfabrikanten en cloudproviders om bios-updates die tegen de Spectre- en Meltdown-aanvallen moeten beschermen niet te installeren. De updates kunnen namelijk voor herstartende systemen en andere problemen zorgen. De chipgigant liet eerder al weten dat het meldingen over herstartende systemen met Intel Broadwell- en Haswell-processors had ontvangen. Verder onderzoek wees uit dat soortgelijk gedrag zich ook voordoet bij andere processors in bepaalde configuraties. Intel heeft nu de hoofdoorzaak van het probleem ontdekt en werkt aan een nieuwe bios-update. Een vroege versie van deze bios-update is dit weekend aan fabrikanten en andere systeempartners aangeboden, zodat die de update kunnen testen. In de tussentijd moeten de huidige bios-updates voor Spectre en Meltdown niet worden geïnstalleerd. "We adviseren fabrikanten, cloudproviders, systeemfabrikanten, softwareleveranciers en eindgebruikers om de huidige versies niet te installeren, aangezien ze voor meer dan verwachte reboots en ander onverwacht systeemgedrag kunnen zorgen", zegt Intels Navin Shenoy. Intel roept industriepartners op om de vroege versie van de nieuwe bios-update te testen, zodat die snel kan worden uitgerold. Later deze week verwacht Intel hier meer gegevens over te kunnen geven. Update Dell waarschuwt klanten om de update voor de Spectre-aanval niet te installeren. De computerfabrikant heeft de betreffende bios-updates van de supportpagina verwijderd en werkt samen met Intel aan een nieuwe bios-update. Gebruikers die de bios-update toch hebben geïnstalleerd en met problemen te maken hebben kunnen een vorige bios-update installeren. bron: security.nl

Een beveiligingsonderzoeker heeft een kwetsbaarheid in de DarkComet-malware gevonden waardoor het mogelijk is om willekeurige code op DarkComet-servers uit te voeren waarmee besmette machines worden aangestuurd. Zodoende kan de server op afstand worden overgenomen. DarkComet is een remote administration tool (RAT) waarmee het mogelijk is om volledige controle over besmette computers te krijgen. Eenmaal actief op een computer kan de aanvaller via DarkComet bijvoorbeeld met de webcam van het slachtoffer meekijken. In 2016 werd een Rotterdamse man die tweeduizend computers met deze malware infecteerde nog tot een gevangenisstraf veroordeeld. De malware is in het verleden ook door repressieve regimes gebruikt. De ontwikkelaar van DarkComet besloot de ondersteuning van de RAT in 2012 te staken, nadat het was gebruikt om Syrische activisten te bespioneren. Toch wordt het programma nog altijd gebruikt om internetgebruikers mee te infecteren. De DarkComet-server waarmee de aanvaller besmette computers aanstuurt bevat echter een uploadkwetsbaarheid. Daardoor is het mogelijk om bestanden op de server te plaatsen en die bij een herstart van de server uit te laten voeren. Op deze manier kan de server worden overgenomen. De beveiligingsonderzoeker die de kwetsbaarheid ontdekte merkt op dat "het hacken van een command & control-server mogelijk moreel gerechtvaardigd lijkt, maar dit nog steeds illegaal is." Het wordt dan ook afgeraden dit te doen. bron: security.nl

Het OpenSSL Team gaat verschillende veranderingen doorvoeren die iedereen die met de software werkt aangaan, waaronder het uitbrengen van beveiligingsupdates op dinsdag en het standaard uitschakelen van onveilige configuratie-opties. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Onlangs kwam het OpenSSL Team bij elkaar in Londen waar verschillende zaken werden besproken. Zo zullen beveiligingsupdates voortaan op dinsdag verschijnen, tenzij er sprake van "buitengewone omstandigheden" is. Het gaat dan bijvoorbeeld om een kwetsbaarheid die actief wordt aangevallen. De aankondiging van aankomende beveiligingsupdates zal op de dinsdag voor het verschijnen van de patches plaatsvinden. Verder zijn er ook verschillende nieuwe afspraken over het encryptiebeleid gemaakt. Onveilige configuratie-opties zullen standaard uitgeschakeld staan. Hier is OpenSSL al mee begonnen door SSLv2 uit te schakelen. In de toekomst kan er besloten worden om de minimale sleutellengte van bepaalde algoritmen te verlengen. Daarnaast moeten alle algoritmen en protocollen in OpenSSL door nationale of internationale standaardenorganisaties zijn erkend. Ook zal het mogelijk worden om alle nieuwe algoritmes bij het compileren van OpenSSL uit te schakelen. Op het gebied van communicatie heeft het OpenSSL Team besloten om meer van GitHub gebruik te gaan maken en zal de mailinglist voor ontwikkelaars worden gesloten. Het verschil tussen de mailinglist voor ontwikkelaars en gebruikers was volgens het OpenSSL Team te klein en daarnaast zullen ontwikkelaars nu meer via GitHub werken. Afsluitend wordt gemeld dat de volgende versie van OpenSSL het nieuwe encryptieprotocol TLS 1.3 zal bevatten, als de Internet Engineering Task Force (IETF) er klaar mee is. bron: security.nl

Mozilla heeft een nieuwe optie voor Firefox ontwikkeld waarmee het eenvoudig wordt om verzoeken van opdringerige websites, die bijvoorbeeld om toegang tot locatiegegevens of webcam vragen, te blokkeren. Op dit moment kunnen websites aan gebruikers vragen of ze push-notificaties mogen sturen of toegang tot apparaatfeatures zoals de webcam of geolocatie mogen krijgen. Via een nieuwe optie genaamd "Block new requests asking to allow notifications" is het mogelijk om dergelijke verzoeken voor alle websites te blokkeren. Er is daarnaast ook de optie om betrouwbare websites te whitelisten, zodat die de verzoeken nog wel kunnen versturen. Volgens Mozilla kan het blokkeren van notificaties ervoor zorgen dat bepaalde features op websites niet meer werken. De optie is nu in de Nightly-versie van Firefox te testen. Wanneer die in de standaardversie terechtkomt is nog niet bekend. bron: security.nl

Voor eigenaren van een 32-bitsversie van Windows 10 heeft Microsoft eindelijk een beveiligingsupdate beschikbaar gemaakt die tegen de Meltdown-aanval moet beschermen. Op 3 januari rolde Microsoft updates uit om Windows-systemen tegen de Spectre- en Meltdown-aanvallen te beschermen. Alleen 64-bitsversies van Windows ontvingen echter de Meltdown-update. De Spectre-update verscheen voor zowel Windows 32-bits als 64-bits. Gisteren maakte Microsoft bekend dat het de Meltdown-update nu ook voor de 32-bitsversie van de Windows 10 Fall Creators Update heeft uitgerold. Gebruikers krijgen het advies om de update, die alleen via de Microsoft Update Catalogus beschikbaar is, zo snel als mogelijk te installeren. Voor andere 32-bitsversies van Windows zijn nog geen updates beschikbaar. Microsoft zegt dat die ontwikkeling zijn, maar kan nog geen datum geven dat gebruikers die kunnen downloaden. bron: security.nl

Malafide extensie voor Google Chrome en Mozilla Firefox maken van verschillende tactieken gebruik waardoor ze lastig te verwijderen zijn, zo meldt anti-malwarebedrijf Malwarebytes. De extensies worden onder andere via advertenties aangeboden en doen zich bijvoorbeeld voor als Firefox-update. Eenmaal geïnstalleerd kapen de extensies zoekopdrachten van de gebruiker en wordt er verkeer naar YouTube-video's gegenereerd. Om te voorkomen dat gebruikers de extensies ontdekken en verwijderen passen de makers verschillende tactieken toe. De extensies voorkomen namelijk dat gebruikers de pagina kunnen opvragen waarop de geïnstalleerde extensies staan vermeld. Zodra een gebruiker deze pagina wil openen zal de extensie die sluiten of de gebruiker naar een andere pagina doorsturen. Om de extensies toch te verwijderen kunnen Firefox-gebruikers de browser in veilige modus starten. Hierbij worden alle extensies uitgeschakeld en kunnen ze worden verwijderd. In het geval van Chrome moeten gebruikers de extensie hernoemen. In dit geval denkt Chrome dat de extensie gecorrumpeerd is geraakt en zal die vervolgens niet laden. De Chrome-extensie die Malwarebytes analyseerde, "Tiempo en colombia en vivo", is inmiddels uit de Chrome Web Store verwijderd. bron: security.nl

Microsoft heeft nieuwe Windows-updates uitgerold die AMD-systemen tegen de Spectre-aanval moet beschermen. De vorige updates zorgden ervoor dat gebruikers met bepaalde AMD-processors met vastlopers en niet meer werkende computers te maken kregen. Daarop besloot Microsoft de uitrol van de beveiligingsupdates tijdelijk te staken. In een verklaring liet de softwaregigant weten dat sommige AMD-chipsets zich niet houden aan de documentatie die eerder aan Microsoft was gegeven om bescherming tegen Spectre en Meltdown te ontwikkelen. Meltdown raakt alleen Intel-processors, Spectre is een probleem dat bij nagenoeg alle moderne processors speelt, waaronder die van AMD. De nieuwe updates worden via de Automatische Updatefunctie van Windows aangeboden maar kunnen ook handmatig worden gedownload. bron: security.nl

De meeste malafide e-mails die links naar malware bevatten maken gebruik van http-links, maar onderzoekers hebben nu een campagne waargenomen waarbij naar malware op gehackte ftp-servers wordt gelinkt. De e-mails doen zich voor als een bericht van een scanner en linken zogenaamd naar een gescand document. De link wijst in werkelijkheid naar doc- en xls-bestanden op gehackte ftp-servers. De doc-bestanden maken gebruik van de DDE-feature in Word om via een PowerShell-commando de Dridex-bankmalware te downloaden. De Dridex-malware is ontwikkeld om gegevens voor internetbankieren te onderscheppen waarmee vervolgens wordt gefraudeerd. Vanwege het feit dat de DDE-feature in Word door aanvallers wordt misbruikt besloot Microsoft die in december via een update uit te schakelen. Het xls-bestand bevat een kwaadaardige macro die de Dridex-malware op het systeem downloadt. Volgens securitybedrijf Forcepoint draaien de gehackte ftp-servers niet dezelfde ftp-software, waardoor de aanvallers de inloggegevens waarschijnlijk op een andere manier hebben gecompromitteerd. "Cybercriminelen blijven continu hun aanvalsmethodes bijwerken om voor een maximaal aantal infecties te zorgen. In dit geval zijn ftp-sites gebruikt, mogelijk in een poging om detectie door e-mailgateways en netwerkbeleid te omzeilen die ftp-sites mogelijk als betrouwbare locaties beschouwen", zegt onderzoeker Roland Dela Paz. bron: security.nl

Aanvallers verspreiden op dit moment een backdoor genaamd Zyklon via malafide doc-bestanden, zo waarschuwt securitybedrijf FireEye. De aanval begint met een e-mail die een zip-bestand bevat, dat weer het malafide doc-bestand bevat. Het doc-bestand maakt gebruik van twee kwetsbaarheden in Microsoft Office die in september en november vorig jaar door Microsoft werden gepatcht. Daarnaast probeert het document ontvangers via de DDE-feature in Word te infecteren. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. Aangezien de feature actief werd aangevallen heeft Microsoft die via updates in Word en Excel uitgeschakeld. In het geval gebruikers het doc-bestand met een ongepatchte versie van Office openen wordt de Zyklon-backdoor geïnstalleerd. Deze backdoor kan toetsaanslagen opslaan, wachtwoorden uit browsers, e-mailclients en ftp-programma's verzamelen, licentiesleutels stelen, het systeem voor ddos-aanvallen en cryptomining gebruiken en aanvullende malware installeren. Volgens FireEye zijn de aanvallen gericht tegen telecomproviders, verzekeringsmaatschappijen en financiële dienstverleners. bron: security.nl

Gmail-gebruikers maken nauwelijks gebruik van tweefactorauthenticatie waarbij er tijdens het inloggen een extra code moet worden ingevoerd of een "Google prompt" bevestigd moet worden. Dat heeft Google tijdens de Usenix Enigma 2018 Conferentie in Santa Clara laten weten, zo meldt The Register. Volgens Google-engineer Grzegorz Milka heeft minder dan 10 procent van de Gmail-gebruikers tweefactorauthenticatie ingeschakeld om hun account te beschermen. Op de vraag waarom Google de beveiligingsmaatregel niet voor alle accounts verplicht laat Milka weten dat dit vanwege de bruikbaarheid niet wordt gedaan. Het zou teveel mensen wegjagen, aldus de engineer. Meer dan 10 procent van de gebruikers die tweefactorauthenticatie probeerde had problemen met het invoeren van de toegangscode die via sms was verkregen. Inmiddels heeft Google sms als eerste keuze voor tweefactorauthenticatie vervangen door Google prompts. Hierbij krijgen gebruikers tijdens het inloggen op hun Google-account een prompt op hun smartphone te zien. Door de prompt te bevestigen wordt men ingelogd. Net als bij het gebruik van een sms-code als tweede factor moet ook bij telefoonprompts eerst het wachtwoord worden ingevoerd. bron: security.nl

Nieuwe webfeatures in Firefox mogen alleen nog via https worden aangeboden, zo heeft browserontwikkelaar Mozilla aangekondigd. De maatregel moet het plan van Mozilla helpen om het onbeveiligde http uit te faseren. "Met onmiddellijke ingang moeten alle nieuwe features die via het web benaderbaar zijn worden beperkt tot secure contexts", aldus Mozilla-engineer Anne van Kesteren. Het gaat dan om features die vanaf een webpagina of server benaderbaar zijn, bijvoorbeeld via JavaScript, CSS en mediaformaten. Een feature kan van alles zijn, van een extensie van een bestaand object tot een nieuwe CSS-eigenschap of HTTP response header, tot grotere features zoals WebVR. Iedereen die zich namens Mozilla met de ontwikkeling van nieuwe features bezighoudt wordt opgeroepen om alleen beveiligde contexten aan te bevelen. Volgens Van Kesteren is er wel ruimte voor uitzonderingen, bijvoorbeeld als andere browsers de feature al onbeveiligd aanbieden of als het verplichten van https de implementatie onnodig complex maakt. Features die al verschenen zijn en geen gebruik van https maken, maar vanuit een beveiligings- of privacystandpunt meer problematisch zijn dan anderen, zullen per geval worden bekeken. Om de overstap naar https te vereenvoudigen zal Mozilla ontwikkeltools gaan aanbieden en het mogelijk maken om tests zonder https-server uit te voeren. bron: security.nl

WordPress heeft besloten Flash-bestanden in het contentmanagementsysteem vanwege een kwetsbaarheid te verwijderen. De Flash-bestanden waren aanwezig in de MediaElement-softwarebibliotheek die onderdeel van WordPress is. De MediaElement-bibliotheek wordt gebruikt voor het afspelen van audio en video en maakt in bepaalde gevallen gebruik van Flash, bijvoorbeeld bij oudere browsers die geen DASH- of HLS-streams via JavaScript kunnen afspelen. Een kwetsbaarheid in de Flash-bestanden van MediaElement maakte cross-site scripting (xss) mogelijk. "Omdat Flash-bestanden in de meeste gevallen niet meer nodig zijn, zijn ze verwijderd uit WordPress", aldus Ian Dunn van WordPress. Voor WordPress-sites die DASH/HLS-video's streamen en oudere browsers willen ondersteunen is er nu een aparte plug-in uitgebracht waarin het beveiligingslek is verholpen. Updaten naar WordPress 4.9.2 kan via de automatische updatefunctie, het beheerderspaneel of WordPress.org. bron: security.nl

Oracle heeft tijdens de patchronde van januari updates uitgerold om gebruikers tegen de Spectre- en Meltdown-aanvallen te beschermen. Ook zijn er 237 kwetsbaarheden in de eigen software gedicht. Oracle komt elk kwartaal met beveiligingsupdates, aangeduid als de "Critical Patch Update". De meeste kwetsbaarheden zijn verholpen in Financial Services Applications (34), Fusion Middleware (27), Oracle MySQL (25), Hospitality Applications (21) en Java (21). Met name de updates voor Java zijn belangrijk, aangezien de software op 70 procent van de computers geïnstalleerd staat. Achttien van de kwetsbaarheden in Java zijn op afstand aan te vallen. De beveiligingslekken zijn aanwezig in Java SE: 6u171, 7u161, 8u152, 9.0.1 en Java SE Embedded: 8u151. Updaten naar de nieuwste Java-versie kan via Java.com. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren. De volgende patchronde van Oracle staat gepland voor 17 April 2018. bron: security.nl