Captain Kirk

De kwetsbaarheid die meer dan een half jaar in de Belgische website voor elektronische belastingaangifte heeft gezeten, is gedicht. Dat bevestigen Belgische media. Een Belgische hacker kwam eind vorige week in het nieuws als ontdekker van een beveiligingsprobleem met de overheidswebsite My MinFin. Door de kwetsbaarheid was het mogelijk voor hackers om de website te manipuleren en zo gebruikers hun login, wachtwoord of token afhandig te maken of om een virus naar de computer van gebruikers te sturen. Het lek was al sinds begin juli 2017 bij het Belgische Federale overheidsdienst (FOD) Financiën bekend. Op 7 juli vorig jaar meldde de man het lek via het contactformulier op de website van de FOD Financiën en via een privé-bericht op Twitter. Omdat er geen reactie volgde en het lek bleef bestaan besloot hij op 19 februari om het probleem openbaar te maken via Facebook. Het lek is afgelopen zondag gedicht. bron: security.nl

Vanwege verschillende "beveiligingsaanpassingen" die zullen worden doorgevoerd gaat Apple vanaf 25 mei stoppen met de ondersteuning van iTunes op Windows XP en Vista. Gebruikers van deze besturingssystemen, die ook niet meer door Microsoft worden ondersteund, kunnen dan geen gebruik meer van de iTunes Store maken. Dit houdt in dat gebruikers geen nieuw materiaal via de iTunes Store kunnen aanschaffen of eerder aangeschaft materiaal opnieuw kunnen downloaden. Na 25 moeten gebruikers op Windows 7 of nieuwer overstappen als ze hun eerder gekochte muziek, podcasts en video's willen downloaden of nieuw materiaal zoeken. Apple gaat vanwege de aangekondigde beveiligingsaanpassingen ook de ondersteuning van de eerste generatie van Apple TV stoppen. Alleen Apple TV generatie 2 of nieuwer kan straks de iTunes Store nog bereiken. Wat de beveiligingsaanpassingen precies inhouden heeft Apple niet bekendgemaakt. bron: security.nl

Firefox beschikt sinds de lancering van de Quantum-versie voor het eerst over een permissiemodel voor extensies en extensie-ontwikkelaars moeten daar verstandig mee omgaan door alleen noodzakelijke permissies te vragen, zo stelt Mozilla. Via de permissies kunnen gebruikers zien waar de extensie toegang tot wil hebben en moeten dit vervolgens bevestigen voordat de extensie kan worden geïnstalleerd. Zo kan de gebruiker zien of een extensie toegang tot de inhoud van alle bezochte websites wil, of zaken als downloadgeschiedenis, bookmarks en clipboard wil. Het permissiemodel is al geruime tijd aanwezig in Google Chrome en bij het installeren van smartphone-apps, maar dus sinds kort in Firefox. Volgens Mozilla kan het dan ook zijn dat mensen die Firefox al lange tijd gebruiken niet met permissieverzoeken bekend zijn. Ontwikkelaars zouden dan ook duidelijk moeten uitleggen waarom hun extensie bepaalde permissies nodig heeft en alleen de absoluut noodzakelijke permissies vragen. Op deze manier laten extensie-ontwikkelaars zien dat ze de privacy van gebruikers respecteren en kan er een vertrouwensband worden opgebouwd, aldus Mike Conca van Mozilla. Onlangs riep Mozilla gebruikers nog op om goed op te letten op welke permissies een extensie vraagt. bron: security.nl

De RIG-exploitkit was in 2016 en begin 2017 een favoriet middel van cybercriminelen om internetgebruikers ongemerkt met malware te infecteren, maar sinds april vorig jaar is de dreiging ervan sterk afgenomen, zo blijkt uit onderzoek van securitybedrijf Palo Alto Networks. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende. De RIG-exploitkit maakt gebruik van oude kwetsbaarheden in Adobe Flash Player en Internet Explorer. Het marktaandeel van Internet Explorer is de afgelopen jaren echter sterk afgenomen en moderne browsers blokkeren standaard Adobe Flash Player. Daardoor is het voor cybercriminelen veel lastiger geworden om internetgebruikers via exploitkits te infecteren. Iets waar ook de RIG-exploitkit mee te maken heeft. In januari 2017 zag Palo Alto Networks nog 812 hits op RIG-gerelateerde activiteiten. Precies een jaar later is dat naar 65 gedaald, een afname van 92 procent. Verder laat het onderzoek van het securitybedrijf zien dat als een aanval met de RIG-exploitkit toch succesvol is, er geen ransomware meer wordt geïnstalleerd zoals vorig jaar nog het geval was, maar een cryptominer of tool om informatie mee te stelen. De onderzoekers komen dan ook tot de conclusie dat de RIG-exploitkit nog steeds aanwezig is, maar een veel kleinere rol speelt in het dreigingslandschap. bron: security.nl

Wanneer Facebook vermoedt dat de computer van een gebruiker besmet is geraakt met malware moet die eerst een malware-scan op zijn systeem uitvoeren, anders kan er niet op het account worden ingelogd. Een maatregel die voor onvrede bij gebruikers zorgt. Verschillende Facebookgebruikers laten tegenover Wired weten dat ze niet meer op hun account konden inloggen, tenzij er eerst een scan plaatsvond. De scantools die Facebook aanbood waren echter alleen voor Windows, terwijl de gebruikers met een Mac werkten. In een verklaring laat Facebook weten dat gebruikers soms de verkeerde software krijgen aangeboden omdat sommige malware de computer kan "spoofen" die iemand gebruikt. Het probleem staat echter niet op zichzelf. Tal van gebruikers op Reddit, Twitter en andere fora klagen over de beveiligingsmaatregel. In eerste instantie was de malware-scan vrijwillig, maar inmiddels is die verplicht als Facebook vermoedt dat een systeem gecompromitteerd is geraakt. Er zijn echter vragen over de maatregel. Facebook blijkt namelijk naar een specifieke gebruiker met een specifieke browser te kijken. Als er vanaf de vermeende besmette computer op een ander account wordt ingelogd verschijnt er geen melding. Ook als de gebruiker op het vermeende besmette systeem met een andere browser inlogt hoeft er ook niet gescand te worden. Facebook stelt dat het niet voldoende informatie over accounts op een bepaald apparaat heeft, waardoor er niet alleen naar het apparaat wordt gekeken, maar ook of het account zich verdacht gedraagt. bron: security.nl

Onderzoekers van securitybedrijf Qihoo 360 hebben een advertentienetwerk ontdekt dat sinds december vorig jaar het eigen platform gebruikt om browsers van internetgebruikers zonder hun toestemming naar cryptovaluta te laten mijnen en daarbij actief maatregelen neemt om de AdBlock-adblocker te omzeilen. De rol van het advertentienetwerk is om advertenties van adverteerders op websites te tonen. Het bedrijf zou echter het eigen advertentieplatform voor cryptomining gebruiken, aldus Qihoo 360. Het is in de analyse van de onderzoekers onduidelijk of het advertentienetwerk hiervoor heimelijk code aan de advertenties van adverteerders toevoegt of eigen advertenties gebruikt. Wel is duidelijk dat het advertentienetwerk maatregelen neemt om AdBlock te omzeilen, een zeer populaire adblocker met naar eigen zeggen meer dan 40 miljoen gebruikers. Hiervoor maakt het bedrijf gebruik van een 'domain generation algorithm' (dga) waarmee allerlei willekeurige domeinnamen worden gegenereerd waarvandaan de JavaScript-code van de Coinhive-cryptominer wordt geladen. Dit zou het lastig voor tools als AdBlock maken om de cryptominer te detecteren, aldus de onderzoekers, die verder opmerken dat de confrontatie tussen advertentienetwerken en adblockers niets nieuws is, maar dat de betrokkenheid bij cryptomining wel de aandacht verdient. De advertenties met de cryptominer zouden voornamelijk op pornosites verschijnen, aldus de analyse waarin deze domeinen ook worden genoemd. Volgens de onderzoekers is de naam van het advertentienetwerk "P Inc.". In een voetnoot wordt echter gewezen naar het PopAds-advertentienetwerk, dat eind 2016 al een manier aankondigde om adblockers te omzeilen. bron: security.nl

Om ervoor te zorgen dat Windows 10-computers beveiligingsupdates niet missen heeft Microsoft besloten om in de volgende grote feature-update de slaapstand tijdelijk uit te stellen. De nieuwe feature-update heeft de naam Redstone 4 (RS4) en zou in maart van dit jaar moeten verschijnen. Een van de aanpassingen in Redstone 4 is dat Windows Update "proactiever" wordt in het up-to-date houden van Windows 10-computers. Wanneer Windows Update straks updates zoekt, downloadt of installeert op een computer die op netstroom is aangesloten en niet actief wordt gebruikt, zal de slaapstand maximaal 2 uur worden uitgesteld. Dit moet ervoor zorgen dat Windows Update meer kans heeft om te slagen. De nieuwe functie kan nu al in de Windows 10 Insider Preview Build 17107 worden getest. bron: security.nl

Wachtwoordmanager 1Password heeft een nieuwe feature ontwikkeld waarmee gebruikers kunnen kijken of hun wachtwoorden in een database van meer dan 500 miljoen gelekte wachtwoorden voorkomen. De database is beschikbaar gesteld door beveiligingsonderzoeker Troy Hunt en bestaat uit wachtwoordhashes die bij allerlei datalekken zijn gestolen. 1Password-gebruikers met een abonnement hebben nu bij de wachtwoorden die in de wachtwoordmanager zijn opgeslagen de optie "Check Password". Via deze optie wordt er in de database van Hunt gekeken of het wachtwoord daarin voorkomt, zonder dat het wachtwoord naar de onderzoeker of AgileBits wordt gestuurd, de ontwikkelaar van 1Password. Voor het versturen van het wachtwoord maakt 1Password hier eerst een sha-1-hash van. Vervolgens worden de eerste vijf karakters van deze hash naar de dienst van Hunt gestuurd. Hierna stuurt de server een lijst met gelekte wachtwoordhashes terug die met dezelfde vijf karakters beginnen. 1Password vergelijkt deze lijst lokaal op het systeem van de gebruiker om te zien of die de volledige hash van de gebruiker bevat. Wanneer er een match is wordt de gebruiker gewaarschuwd. AgileBits benadrukt dat als er via de nieuwe feature een hit wordt gevonden dit niet wil zeggen dat het account van de gebruiker is gecompromitteerd. Het kan zijn dat iemand hetzelfde wachtwoord gebruikt. Toch adviseert AgileBits in deze gevallen om het wachtwoord te wijzigen. bron: security.nl

Malware is steeds vaker gesigneerd met legitieme certificaten die in naam van legitieme bedrijven zijn aangevraagd, wat het lastiger voor beveiligingssoftware maakt om de malware te detecteren. Dat stelt securitybedrijf Recorded Future in een nieuw onderzoek (pdf). Softwareontwikkelaars kunnen hun programma's via certificaten signeren, zodat ze bijvoorbeeld door het besturingssysteem of beveiligingssoftware worden vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Certificaten kunnen bij een certificaatautoriteit worden aangevraagd. Deze partijen controleren de aanvrager en geven dan pas het certificaat uit. Voor een aanvaller heeft het verschillende voordelen om zijn of haar malware te signeren. Hiervoor moet echter een certificaat worden verkregen. In het verleden zijn er meerdere malware-aanvallen geweest waarbij aanvallers de certificaten van bedrijven stalen, om daarmee hun malware te signeren. Er is echter ook een markt waar certificaten op aanvraag worden geregeld, met de gegevens van legitieme bedrijven, aldus Recorded Future. "In tegenstelling tot wat vaak wordt gedacht, dat de veiligheidscertificaten die in de ondergrond rondgaan van legitieme eigenaren zijn gestolen voordat ze bij aanvallen worden ingezet, hebben wij met een hoge mate van zekerheid vastgesteld dat de certificaten op verzoek van een specifieke koper worden aangemaakt en worden geregistreerd met gestolen zakelijke identiteiten, wat netwerkbeveiligingsapparaten minder effectief maakt", zo stelt het securitybedrijf. De goedkoopste certificaten voor het signeren van code kosten 299 dollar, waarbij het meest uitgebreide Extended Validation (EV) certificaat met een SmartScreen reputatiebeoordeling voor 1599 dollar wordt aangeboden. De beginprijs van een domeinnaamregistratie met een EV SSL-certificaat is 349 dollar. Recorded Future besloot de aangeboden certificaten met een Remote Access Trojan (RAT) te testen. De RAT werd door acht anti-virusbedrijven gedetecteerd. Na het signeren van de code met een certificaat dat door de criminelen was geregeld wisten nog maar twee oplossingen de malware te detecteren. Recorded Future verwacht niet dat deze vervalste certificaten vanwege de hoge kosten gemeengoed onder cybercriminelen zullen worden. Meer geraffineerde aanvallers en landen die zich met minder grootschalige en meer gerichte aanvallen bezighouden zullen dergelijke certificaten in hun operaties blijven gebruiken, aldus de conclusie van de onderzoekers. bron: security.nl

Opera heeft een nieuwe testversie van de browser gelanceerd die over een snellere adblocker beschikt. Een kleine 2 jaar geleden was Opera de eerste browser die een adblocker toevoegde, mede omdat advertenties een "privacyprobleem" zijn doordat ze gebruikers over het hele web volgen. Naast het blokkeren van advertenties beschermt de adblocker sinds begin dit jaar ook tegen cryptominers die in de browser willen draaien. Opera heeft door een verbetering van de eigen algoritmes de adblocker veel sneller weten te maken. Uit een eigen benchmark, uitgevoerd op 15 populaire nieuwssites, blijkt dat de testversie van Opera 52 zestien procent sneller is dan Opera 51 en 44 procent sneller dan Chrome 64. De nieuwste Chrome-versie beschikt over een advertentiefilter dat bepaalde advertenties blokkeert. "Naast de behoefte aan snelheid zien we ook dat steeds meer mensen onze adblocker als een beveiligingstool gebruiken. Ze vinden het geen fijn idee dat ze continu door adverteerders worden gevolgd, maar willen ook beschermd zijn tegen cryptojacking", aldus Krystian Kolondra van Opera. bron: security.nl

Met de lancering van Firefox 62 later dit jaar worden uitgepakte extensies in de browser niet meer ondersteund, wat de onder andere de stabiliteit moet verbeteren. Firefox biedt de mogelijkheid om extensies te 'side loaden'. Hierbij wordt er een vermelding aan het Windows Register toegevoegd met de directory of het XPI-bestand van de extensie. Wanneer er naar een directory met de inhoud van de extensie wordt gewezen spreekt Mozilla over een uitgepakte extensie. Een XPI-bestand is eigenlijk een ZIP-bestand dat de bestanden en installatie-instructies van de extensie bevat. Volgens Mozilla maakten voornamelijk oudere legacy-extensies gebruik van het "uitgepakte extensiemodel". Met de lancering van Firefox Quantum en de overstap naar WebExtensions is de ondersteuning van uitgepakte extensies niet langer vereist, aldus de browserontwikkelaar. Het ondersteunen van zowel uitgepakte als ingepakte extensies zou echter een grote last voor de ontwikkel- en testteams zijn. Het verwijderen van de code waarmee uitgepakte extensies worden ondersteund zou daarnaast de stabiliteit van Firefox verbeteren. Extensie-ontwikkelaars die met uitgepakte extensies werken krijgen dan ook het advies om van een ingepakt XPI-bestand gebruik te gaan maken. Firefox 62 staat gepland voor 21 augustus dit jaar. bron: security.nl

Er is een nieuwe versie van de populaire wachtwoordkraker Hashcat verschenen die wachtwoordhashes nu veel sneller kan kraken dan bij vorige versies het geval was. Bij veelgebruikte hash-algoritmes zoals MD5, SHA-1 en SHA-256 bedraagt de prestatiewinst tientallen procenten, aldus de benchmarks. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database wordt gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Het is echter mogelijk om een hash te kraken en het bijbehorende wachtwoord te achterhalen. Iets wat middels een tool als Hashcat mogelijk is. Het programma maakt hierbij gebruik van de rekenkracht van de videokaart en processor. In Hashcat 4.1.0 zouden zowel eigenaren van een AMD- als Nnvidia-videokaart bij alle hash-algoritmes en aanvalsmodes prestatieverbeteringen moeten zien, zo laat de ontwikkelaar van de software weten. Dit komt mede door een nieuwe techniek die bedoeld is om de PCIe-overdachtstijd te verkorten. Ook zijn de prestaties voor systemen met Intel I7- en AMD Ryzen-processoren verbeterd. Verder zijn er verschillende nieuwe hash-modes toegevoegd, waaronder die van Electrum Wallet, Apple Secure Notes en Ethereum Pre-Sale Wallet. Hashcat 4.1.0 is te downloaden via Hashcat.net. bron: security.nl

Een variant van de beruchte Mirai-malware maakt van gehackte Internet of Things-apparaten een proxyserver die criminelen voor allerlei malafide doeleinden kunnen gebruiken. De oorspronkelijke Mirai-malware was ontwikkeld om IoT-apparaten voor het uitvoeren van ddos-aanvallen in te zetten. Onlangs werd er een variant ontdekt die ontwikkeld was om cryptovaluta te stelen. De variant waar securitybedrijf Fortinet nu over schrijft wordt "OMG" genoemd en beschikt over dezelfde modules van Mirai voor het uitvoeren van ddos-aanvallen, het uitschakelen van processen zoals telnet en shh, en het scannen naar andere kwetsbare IoT-apparaten om die vervolgens via bruteforce-aanvallen te infecteren. Een nieuwe toevoeging is het gebruik van 3proxy, een opensourceproxyserver. Aanvallers kunnen via een proxyserver bijvoorbeeld andere aanvallen uitvoeren. In het geval van een onderzoek zal het spoor naar de proxyserver leiden, wat helpt om de identiteit van de aanvaller te beschermen. Volgens Fortinet is dit de eerste Mirai-variant die over een proxyfunctionaliteit beschikt. De proxyserver zal waarschijnlijk tegen betaling aan andere criminelen worden aangeboden, die er vervolgens voor hun eigen doeleinden gebruik van kunnen maken, aldus het securitybedrijf. bron: security.nl

Een beveiligingslek in Windows 10 dat door een Google-onderzoeker werd ontdekt is niet gepatcht, ook al geeft Microsoft aan dat dit wel is gedaan. Dat laat Google-onderzoeker James Forshaw weten die het probleem ontdekte. Forshaw waarschuwde Microsoft op 10 november vorig jaar voor twee lekken waardoor een aanvaller zijn rechten op een Windows 10-systeem eenvoudig kan verhogen. Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller wel al toegang tot een systeem hebben. Aangezien beide kwetsbaarheden in dezelfde functie van de Windows Storage Services werden gevonden vroeg Microsoft één CVE-nummer aan, te weten CVE-2018-0826. Via een CVE-nummer kan een kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Microsoft liet Forshaw weten dat het beide problemen deze maand in Windows 10 zou verhelpen. Het beveiligingsbulletin van Microsoft stelt ook dat CVE-2018-0826 is opgelost. Nu meldt Forshaw dat één van de twee problemen die hij rapporteerde niet is verholpen en een aanvaller zodoende nog steeds zijn rechten op een systeem kan verhogen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. In dit geval werd de deadline op verzoek van Microsoft verlengd zodat de betreffende beveiligingsupdate tijdens de patchdinsdag van 13 februari kon worden uitgerold voordat de details online zouden verschijnen. Aangezien de extra tijd die Google aan Microsoft gaf om een update uit te rollen is verstreken zijn de details nu openbaar geworden, ook al is er voor de ene kwetsbaarheid nog geen patch beschikbaar. Onlangs maakte Google ook een probleem in Edge openbaar waar nog geen oplossing van Microsoft voor is. bron: security.nl

Zip- en Office-bestanden waren vorig jaar de meestgebruikte bestandsformaten bij e-mailaanvallen, zo laat Cisco in een vandaag verschenen rapport weten. Van de kwaadaardige e-mailbijlagen die van januari tot en met september 2017 werden waargenomen ging het in 38 procent van de gevallen om een Office-bestand, zoals .docx of .xlsx. Archiefbestanden als Zip en Jar waren voor 37 procent van de kwaadaardige bijlagen verantwoordelijk. Kwaadaardige pdf-bestanden (14 procent) maken de top 3 van gevaarlijke bestandsextensies compleet. Ransomware werd vorig jaar veelvuldig via Office-documenten en zip-bestanden verspreid. De overige 11 procent van de malafide e-mailbijlagen bestaat uit bestanden met "andere extensies", binaries en html/xml/js-extensies. In de categorie "andere extensies" was de MyWebSearch-spyware, die exe-bestanden gebruikt om zich via e-mail te verspreiden, de meest actieve dreiging. Cisco omschrijft MyWebSearch als kwaadaardige advware en een browserkaper die zich voordoet als behulpzame toolbar. Om infecties via e-mailbijlagen te voorkomen krijgen organisaties onder andere het advies om gebruikers voor te lichten. bron: security.nl

Intel heeft wederom nieuwe beveiligingsupdates uitgebracht die eigenaren van een Intel-processor tegen de Spectre- en Meltdown-aanvallen moeten beschermen. Gebruikers klaagden na de installatie van eerdere updates over herstartende systemen en ander onverwacht systeemgedrag. Vervolgens waarschuwde Intel gebruikers en organisaties om de updates niet te installeren en kregen fabrikanten het verzoek om de updates niet meer aan te bieden. Twee weken geleden kwam Intel al met nieuwe microcode-updates voor verschillende Skylake-gebaseerde platformen. Nu zijn er ook nieuwe microcode-updates voor Kaby Lake- en Coffee Lake-gebaseerde platformen uitgebracht, alsmede voor verschillende andere Skylake-platformen. Een overzicht van de status van de microcode-updates is in dit pdf-bestand van Intel te vinden. De nu uitgebrachte updates zijn bedoeld voor computerfabrikanten, die ze weer tot bijvoorbeeld een bios-update moeten verwerken die eindgebruikers kunnen installeren. Wederom herhaalt Intel dat het belangrijk is om systemen up-to-date te houden. Daarnaast noemt de chipfabrikant ook de Retpoline-oplossing van Google. Dit is een verdedigingstechniek die binnen Google wordt toegepast om gebruikers tegen één van de twee Spectre-aanvallen te beschermen. bron: security.nl

Firefox 60 zal over een optie beschikken waarmee gebruikers de ondersteuning van het ftp-protocol kunnen uitschakelen. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te verplaatsen. Dit gebeurt echter onversleuteld. Daarnaast maakt een klein percentage van de internetgebruikers via hun browser gebruik van ftp. Mozilla is al geruime tijd bezig om het gebruik van het onversleutelde http-protocol terug te dringen en lijkt zich nu ook op ftp te gaan richten, zo ontdekte webontwikkelaar Soeren Hentzschel. Via de optie in Firefox 60 zal het niet meer mogelijk zijn om via de browser ftp-links te openen. In plaats daarvan zal de link als invoer voor de standaard ingestelde zoekmachine worden gebruikt. Gebruikers moeten de optie nog wel zelf inschakelen. Firefox 60 staat gepland voor 9 mei. Een vroege testversie van de browser is nu al te downloaden. bron: security.nl

Criminelen hebben de publieke cloudomgeving van Tesla gebruikt voor het mijnen van cryptovaluta. De aanval werd door securitybedrijf RedLock ontdekt dat op internet naar onbeveiligde en verkeerde geconfigureerde cloudservers zocht. De aanvallers hadden een cloudconsole van Tesla geïnfiltreerd die niet met een wachtwoord was beveiligd, aldus het securitybedrijf. Vervolgens werd de onderliggende cloudomgeving gebruikt om naar cryptovaluta te mijnen. De aanvallers hadden verschillende maatregelen genomen om niet te worden ontdekt. Zo was de miningsoftware geconfigureerd zodat die niet naar een standaardpoort luisterde, wat de detectie van kwaadaardige activiteiten gebaseerd op poortverkeer lastiger maakt. Daarnaast was de miningsoftware zo ingesteld dat het systeem niet maximaal werd belast, waardoor de cryptominer niet in het clouddashboard opviel. Tevens was het werkelijke ip-adres van de miningpoolserver verborgen. Na te zijn ingelicht heeft Tesla de cloudomgeving beveiligd. bron: security.nl

Een feature van Microsoft Word maakt het mogelijk om cryptominers in documenten te verbergen die vervolgens de rekenkracht van de computer gebruiken om cryptovaluta te mijnen, zo waarschuwt onderzoeker Amit Dori van securitybedrijf Votiro. Het gaat om de Online Video-feature waarmee video's aan documenten kunnen worden toegevoegd. In plaats van een video in het document te embedden wordt er een frame gebruikt dat de video laadt. Voor het weergeven van dit frame maakt Word gebruik van Internet Explorer. Op deze manier is het mogelijk om in het frame te wijzen naar een website die de video laadt, maar in de achtergrond IE naar cryptovaluta laat mijnen. Voorwaarde is wel dat het frame open blijft en niet gesloten wordt. Dori maakte twee documenten om de aanval te demonstreren. De onderzoeker waarschuwt dat de Online Video-feature ook voor andere doeleinden is te gebruiken, zoals phishingaanvallen en drive-by downloads. bron: security.nl

In november en december vorig jaar hebben criminelen miljarden keren geprobeerd om met gestolen wachtwoorden op websites in te loggen, zo laat internetgigant Akamai in een vandaag verschenen rapport weten (pdf). Van de meer dan 17 miljard inlogverzoeken die eind vorig jaar op het platform van Akamai werden gemonitord, werd bijna de helft (43 procent) gebruikt voor het misbruiken van inloggegevens. De internetgigant baseert dit op ip-adressen die meerdere keren met gelekte inloggegevens op accounts probeerden in te loggen of wachtwoorden probeerden te raden, zonder dat ze verder iets op de website deden. De aanvallen doen zich voornamelijk voor bij webwinkels, gevolgd door websites van hotels en de reisindustrie. "Misbruik van inloggegevens, zowel door brute-force of het gebruik van illegaal verkregen lijsten met gebruikersnamen en wachtwoorden is een probleem dat niet snel zal verdwijnen. Mensen blijven continu wachtwoorden hergebruiken en veel te veel organisaties houden inlogpogingen niet voldoende in de gaten", aldus Akamai. bron: security.nl

Wordpress-gebruikers zijn gewaarschuwd voor een populaire website die illegale themes verspreidt waarvan sommige een backdoor blijken te bevatten. Dat laat anti-virusbedrijf G Data weten. Het gaat om de website "downloadfreethemes.download", waar meer dan 32.000 themes zijn te downloaden. Via themes kunnen Wordpress-beheerders de vormgeving van hun website aanpassen. Naast gratis themes zijn er ook allerlei betaalde themes. De downloadfreethemes-website biedt echter deze betaalde themes gratis aan. Sommige van de downloads zijn daarbij van een backdoor voorzien waardoor aanvallers controle over de Wordpress-site krijgen die de themes installeren. De downloadsite zou volgens cijfers van Similarweb 880.000 bezoekers per maand krijgen. Dit komt mede door de goede indexering in de zoekresultaten van Google. Bij het zoeken naar bepaalde themes of extensies verschijnt de malafide website hoger in de ranking dan de officiële downloadsite. "Zolang mensen bijna blindelings elke website die ze zien vertrouwen, blijven mensen een doelwit en dit zal niet snel stoppen", aldus G Data (pdf). bron: security.nl

Het bedrijf Flight Sim Labs dat uitbreidingen voor Microsoft Flight Simulator ontwikkelt heeft aan de laatste versie een keylogger toegevoegd om inloggegevens van één specifieke softwarepiraat te achterhalen, zo heeft de softwareontwikkelaar op de eigen website bekendgemaakt. Op Reddit ontstond ophef nadat een gebruiker in de laatste uitbreiding van Flight Sim Labs een keylogger ontdekte. De malware bleek in Chrome opgeslagen gebruikersnamen en wachtwoorden te kunnen stelen. In een verklaring laat de softwareontwikkelaar weten dat de keylogger alleen bij het invoeren van specifieke gegevens werd geactiveerd. Dit gebeurde niet bij legitieme gebruikers en er zijn ook geen persoonsgegevens van legitieme gebruikers gestolen, aldus de ontwikkelaar. De keylogger was namelijk tegen één specifieke softwarepiraat gericht. Bij de lancering van een vorige uitbreiding voor Flight Simulator bleek dat er specifieke softwarekrakers waren die de kopieerbeveiliging door middel van offline serienummergeneratoren wisten te omzeilen. Flight Sim Labs had geen idee hoe dit precies gebeurde, maar zag wel steeds bepaalde informatie, zoals gebruikersnaam, e-mailadres en serienummer, van specifieke ip-adressen komen. Aan nieuwere versies van het installatieprogramma werden meer "tests" toegevoegd om de identiteit van de krakers te achterhalen, wat uiteindelijk ook lukte. Het bleek om één specifiek persoon te gaan en Flight Sim Labs zegt de naam van deze kraker te hebben. De kraker was op bepaalde besloten websites actief waar hij zijn gegevens met andere softwarepiraten deelde. Uit de informatie die Flight Sim Labs had verzameld bleek dat de softwarepiraat in kwestie Google Chrome gebruikte. Daarom werd besloten om in de meest recente versie van de uitbreiding een Chrome-keylogger toe te voegen die in de browser opgeslagen wachtwoorden van alleen de softwarepiraat achterhaalde. Op deze manier wilde de softwareontwikkelaar de inloggegevens achterhalen waarmee er toegang tot de besloten websites kon worden verkregen die de softwarepiraat gebruikt. Deze werkwijze was succesvol, laat Flight Sim Labs weten. De softwareontwikkelaar ontdekte naar eigen zeggen een heel web van softwarepiraterij waar veel meer extensie-ontwikkelaars voor Flight Simulator het doelwit waren. Achteraf gezien was het volgens de softwareontwikkelaar geen goede beslissing om de keylogger toe te voegen en maakt het excuses voor het vertrouwen dat is geschaad. Ook biedt het klanten de mogelijkheid om hun geld terug te vragen. Inmiddels is er een nieuwe versie uitgekomen waarin de keylogger is verwijderd. bron: security.nl

Google heeft details openbaar gemaakt van een kwetsbaarheid in Microsoft Edge, ook al is een update van Microsoft nog niet voorhanden. Via de kwetsbaarheid is het mogelijk om een beveiligingsmaatregel van de browser te omzeilen. Het gaat om Arbitrary Code Guard (ACG), een maatregel die moet voorkomen dat een aanvaller kwaadaardige code in het geheugen kan laden. Door ACG en een andere beveiligingsmaatregel genaamd Code Integrity Guard kan een proces alleen gesigneerde code in het geheugen laden. Dit zorgt echter voor een probleem met Just-in-Time (JIT) compilers die JavaScript-code naar 'native code' omzetten. Daarbij wordt er namelijk ook ongesigneerde code gegenereerd. Om dit toch te laten werken heeft Microsoft de JIT-functionaliteit naar een apart proces verplaatst dat in een eigen geïsoleerde sandbox draait. Het JIT-proces is verantwoordelijk voor het compileren van JavaScript naar native code en het plaatsen hiervan in het contentproces dat hierom vraagt. Op deze manier kan het contentproces nooit zelf direct zijn eigen JIT-codepagina's laden of aanpassen. Google ontdekte een manier waarbij het JIT-proces uitvoerbare data naar het contenproces kan schrijven. De impact van de kwetsbaarheid is beoordeeld als "medium". Google waarschuwde Microsoft op 17 november. De softwaregigant liet weten dat het een veel complexer probleem is om te verhelpen dan in eerste instantie werd gedacht. Daardoor zou de update niet klaar zijn voor de patchdinsdag van februari. Microsoft zegt dat het probleem met de patchdinsdag van maart zeker wordt verholpen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen. Een deadline die nog met twee weken kan worden uitgebreid. Aangezien Microsoft niet aan dit tijdsvenster heeft voldaan zijn de details nu openbaar gemaakt. bron: security.nl

Een Belgische rechter heeft vandaag bepaald dat Facebook moet stoppen met het volgen van Belgische internetters. De sociale netwerksite mag het internetgebruik van mensen die vanuit België internetten niet meer registreren en volgen, zo meldt De Standaard. De zaak tegen Facebook was door de Belgische Privacycommissie aangespannen. Het draait om de technieken die Facebook gebruikt om mensen zowel met als zonder profiel op websites te volgen. De rechtbank van Brussel oordeelde dat Facebook de Belgische privacywet overtreedt. Zo worden internetgebruikers niet geïnformeerd over het feit dat Facebook informatie over hen verzamelt, om wat voor informatie het gaat, wat er met die informatie wordt gedaan en hoe lang die informatie wordt bewaard. "Daarnaast verkrijgt Facebook ook geen geldige toestemming van ons om al die informatie te verzamelen en verwerken", aldus de rechtbank. Naast de uitspraak dat Facebook moet stoppen met het volgen van Belgische internetgebruikers moeten ook alle onwettig verkregen gegevens worden vernietigd. Wanneer Facebook het vonnis negeert krijgt het een dwangsom van 250.000 euro per dag opgelegd, met een maximum van 100 miljoen euro. Facebook laat weten dat het in beroep gaat. De cookies en pixels die het gebruikt zijn volgens de sociale netwerksite "standaard" in de sector. bron: security.nl

Ongepatchte Jenkins-servers zijn het doelwit van een cryptominer die de rekenkracht van de machines inzet om de cryptovaluta Monero te mijnen, zo waarschuwt securitybedrijf Checkpoint. Jenkins is een opensource-automatiseringsserver die binnen softwareontwikkeling wordt gebruikt. Vorig jaar april werd er een kwetsbaarheid in Jenkins gepatcht waardoor een aanvaller op afstand willekeurige code op Jenkins-servers had kunnen uitvoeren. Het beveiligingslek is aanwezig in Jenkins versie 2.56 en ouder en Jenkins LTS versie 2.46.1 en ouder. Hoewel een beveiligingsupdate al bijna een jaar beschikbaar is, hebben nog niet alle beheerders die geïnstalleerd. Een aanvaller maakt nu van de kwetsbaarheid gebruik om een Monero-miner te installeren. Checkpoint laat weten dat de Monero-miner negatieve gevolgen voor de server kan hebben, zoals een hogere systeembelasting of zelfs een denial of service. bron: security.nl