Captain Kirk

Zet de printer eens in de buurt van router van Telenet zelf en verbind de printer dan eens draadloos met dit punt. Werkt dit niet, reset de modem dan even en probeer het nog eens.

Kwetsbare Linux- en Windows-webservers zijn vorige week het doelwit geworden van een aanval waarbij werd geprobeerd een cryptominer op de machines te installeren, zo melden securitybedrijven Certego en Check Point. De aanvaller maakt gebruik van bekende kwetsbaarheden in Microsoft IIS en Ruby on Rails om de RubyMiner te installeren. Deze cryptominer laat de webserver naar de cryptovaluta Monero minen. Volgens Check Point zouden bij de aanval vorige week zo'n 700 webservers zijn geïnfecteerd. "Deze aanval, net als zijn voorgangers, had voorkomen kunnen worden door oudere servers te patchen en relevante beveiligingsmaatregelen uit te rollen", zegt onderzoeker Richard Clayton. Beide securitybedrijven hebben indicators of compromise (IOC) gedeeld, zodat organisaties kunnen kijken of er besmette webservers in hun netwerk aanwezig zijn. bron: security.nl

Een securitybedrijf heeft voor vier Google Chrome-extensies met zo'n 500.000 downloads gewaarschuwd, waarvan er twee nog altijd in de Chrome Web Store te vinden zijn. Het gaat om de extensies Change HTTP Request Header, Nyoogle, Lite Bookmarks en Stickies - Chrome's Post-it Notes. Securitybedrijf ICEBRG kwam de extensies op het spoor toen het een piek in het netwerkverkeer bij een klant waarnam. De Chrome-extensie Change HTTP Request Header bleek de oorzaak te zijn. De extensie downloadde kwaadaardige JavaScript-code die ervoor zorgde dat de computer advertentie-gerelateerde domeinen bezocht, wat mogelijk op clickfraude duidt. Hierbij lijkt het alsof een echte internetgebruiker op een advertentie of link heeft geklikt, terwijl de click eigenlijk van de malafide Chrome-extensie afkomstig is. De extensie was ruim 14.000 keer geïnstalleerd voordat Google die uit de Chrome Web Store verwijderde. Gebaseerd op de werkwijze en command & control-servers die Change HTTP Request Header gebruikte werden ook drie andere Chrome-extensies ontdekt. Het gaat om Nyoogle - Custom Logo for Google, Lite Bookmarks en Stickies - Chrome's Post-it Notes. Lite Bookmarks is inmiddels ook door Google verwijderd, maar Nyoogle en Stickies zijn nog steeds in de Web Store te vinden en hebben respectievelijk 415.000 en 21.000 installaties. bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de torrentclient Transmission gevonden waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Ormandy waarschuwde de ontwikkelaars op 29 november en stuurde die op 1 december een patch om het probleem te verhelpen. "Ze leken bereid om hem te gebruiken, maar verklaarden dat ze het tot januari te druk hadden om de patch te gebruiken. Ik heb geen update ontvangen, dus heb ik ze weer op 7 januari 2018 benaderd", aldus Ormandy. Twee dagen later laat de Google-onderzoeker weten dat hij het frustrerend vindt dat de Transmission-ontwikkelaars niet op hun eigen security-mailinglist reageren. Hij suggereerde dan ook om het probleem openbaar te maken, zodat verschillende distributies die Transmission standaard meeleveren zelf een patch kunnen toepassen. Google geeft ontwikkelaars 90 dagen de tijd om een gerapporteerd beveiligingslek te verhelpen. Volgens Ormandy heeft het nog nooit zolang voor een opensourceproject geduurd om een kwetsbaarheden te patchen. "Als de kwetsbaarheid zich in een opensourceproject bevindt noem ik meestal de limiet van 90 dagen niet eens", merkt Ormandy op. Gemiddeld genomen reageren opensourceprojecten binnen uren in plaats van maanden, aldus de onderzoeker. Aangezien in het geval van Transmission de limiet van 90 dagen naderde besloot Ormandy de ontwikkelaars hierop te wijzen. Het zou voor de eerste keer in de geschiedenis van Google zijn dat een opensourceproject de limiet overschrijdt. Aanval Ormandy ontdekte dat Transmission kwetsbaar is voor een dns-rebinding-aanval. De torrentclient maakt gebruik van een client-serverarchitectuur. De gebruikersinterface is de client en een daemon draait in de achtergrond en beheert het downloaden en aanbieden van torrents. De daemon accepteert standaard alleen verzoeken van localhost. Via dns-rebinding lukte het Ormandy om de Transmission-interface te bedienen. Een gebruiker zou hiervoor alleen een kwaadaardige website moeten bezoeken, verdere interactie is niet vereist. In het geval van een succesvolle aanval kan een aanvaller de downloaddirectory voor torrents veranderen naar de home-directory van de gebruiker. Vervolgens kan de aanvaller Transmission een torrent laten downloaden genaamd ".bashrc" dat automatisch wordt uitgevoerd als de gebruiker een bash-shell opent. Aanvallers kunnen Transmission ook instellen om elke willekeurig commando te laten uitvoeren nadat een bestand is gedownload. Volgens Ormandy is de kwetsbaarheid eenvoudig te misbruiken. Gebruikers kunnen zich beschermen door de daemon/webserver van Transmission zo in te stellen dat er een gebruikersnaam en wachtwoord is vereist. Tegenover Ars Technica laat Transmission weten dat er zo snel als mogelijk een update komt, maar een datum is niet gegeven. In 2016 wisten aanvallers de officiële versie van Transmission twee keer van een backdoor te voorzien. bron: security.nl

De bekende beveiligingsonderzoeker Steve Gibson heeft een gratis tool ontwikkeld die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. De tool heet InSpectre en kijkt niet alleen of systemen kwetsbaar zijn, maar ook of de prestaties zijn verlaagd. Om volledig tegen beide aanvallen beschermd te zijn moeten gebruikers zowel bios- als besturingssysteem-updates installeren. Dit kan een invloed op de systeemprestaties hebben, afhankelijk van waar het systeem precies voor wordt gebruikt. InSpectre laat weten welke updates geïnstalleerd zijn en wat er nog moet worden gedaan om het systeem te beschermen. Ook biedt de tool een optie om de bescherming tegen Spectre en Meltdown uit te schakelen. bron: security.nl

Onderzoeker Guido Vranken heeft in de vpn-software SoftEther VPN elf kwetsbaarheden gevonden waardoor denial of service-aanvallen en geheugencorruptie mogelijk waren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware. Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. SoftEther VPN biedt zowel de client- als serversoftware. Vranken voerde het onderzoek uit in opdracht van het Max Planck Instituut voor Moleculaire Genetica. De kwetsbaarheden werden tijdens een 80 uur durende security-audit ontdekt, waarbij uitgebreid van fuzzers gebruik werd gemaakt. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Vranken had eerder al via fuzzing elf kwetsbaarheden in FreeRADIUS en verschillende beveiligingslekken in OpenVPN ontdekt. Om SoftEther VPN te kunnen fuzzen werd de broncode aangepast. Alle elf gevonden kwetsbaarheden zijn in SoftEther VPN 4.25 Build 9656 RTM verholpen. bron: security.nl

Onderzoekers hebben naar eigen zeggen de eerste malware voor Internet of Things-apparaten met een ARC-processor ontdekt. ARC-processors worden voor allerlei toepassingen en in enorm veel apparaten gebruikt. Jaarlijks worden er meer dan 1,9 miljard apparaten met een ARC-processor verscheept. De nu ontdekte malware, gevonden door onderzoekers met het alias MalwareMustDie en unixfreaxjp, wordt Okiru genoemd en is een variant van de Mirai-malware. Van de bijna 60 virusscanners op VirusTotal weten dertien er de malware te detecteren. Okiru kwam eind vorig jaar al in het nieuws omdat het Huawei-routers via een zeroday-lek infecteerde. De malware maakt gebruik van verschillende exploits om IoT-apparaten over te nemen en onderdeel van een botnet te maken. Vervolgens worden de besmette apparaten gebruikt om naar andere kwetsbare apparaten te scannen. Op welke apparaten de nu ontdekte malware het precies heeft voorzien is nog niet bekendgemaakt. bron: security.nl

Een 24-jarige Britse man heeft bekend dat hij crypters ontwikkelde waarmee cybercriminelen hun malware voor anti-virussoftware konden verbergen. Ook bood hij een website aan waar cybercriminelen tegen betaling hun malware op detectie door virusscanners konden laten testen. De crypters, genaamd Cryptex Reborn en Cryptex Lite, werden in abonnementsvorm aangeboden. Cryptex Lite kostte 6,50 euro per maand, terwijl voor een "lifetime" licentie voor Cryptex Reborn 73 euro moest worden betaald. De Brit gaf "klanten" via Skype ondersteuning. Tussen 2011 en 2015 ontving hij 36.000 euro aan betalingen via PayPal. Het werkelijke bedrag dat hij verdiende ligt waarschijnlijk hoger, aangezien de Brit ook betalingen in bitcoin en Amazon-cadeaubonnen accepteerde, zo meldt het Britse National Crime Agency (NCA). Een gezamenlijk onderzoek van het NCA en anti-virusbedrijf Trend Micro leidde tot de aanhouding van de man. bron: security.nl

Hardeschijffabrikant Seagate heeft een firmware-update uitgebracht voor de Personal Cloud NAS wegens een kwetsbaarheid waardoor een aanvaller op afstand bestanden kon verwijderen. Securitybedrijf Securify ontdekte dat de Seagate Media Server die op de NAS draait door een ongeauthenticeerde aanvaller gebruikt kan worden om willekeurige bestanden en mappen te verwijderen. De Media Server draait met rootrechten en heeft geen bescherming tegen cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Tevens bleek de applicatie via de personalcloud.local domeinnaam toegankelijk te zijn. Zodoende kon de kwetsbaarheid via een kwaadaardige website worden aangevallen, zonder dat de NAS direct via het internet toegankelijk was. Seagate heeft de kwetsbaarheid in firmware-versie 4.3.18.0 gepatcht. bron: security.nl

Verschillende computerfabrikanten, waaronder Acer, Asus, Dell, HP en Lenovo, hebben vanwege de Meltdown- en Spectre-aanvallen bios-updates uitgebracht of werken hieraan. Ook zijn verschillende updates vanwege problemen inmiddels weer teruggetrokken. Microsoft waarschuwde eerder nog dat het installeren van updates voor het besturingssysteem niet voldoende is. Ook bios-updates moeten worden geïnstalleerd als gebruikers volledig beschermd willen zijn. Intel meldde vorige week echter dat het meldingen van klanten had ontvangen dat de bios-update voor de Spectre- en Meltdown-aanvallen voor herstartende systemen zorgen. Het gaat dan met name om systemen met de Intel Broadwell- en Haswell-processoren bij zowel clients als datacentra. Daarop heeft Intel aan computerfabrikanten gevraagd om de updates voor Broadwell- en Haswell-processoren voorlopig niet meer aan te bieden. Lenovo meldt dat het vanwege "kwaliteitsproblemen" bios-updates voor Broadwell, Haswell en Kaby Lake heeft teruggetrokken. Op de eigen website heeft Lenovo een overzicht gepubliceerd van uitgebrachte, teruggetrokken en nog te verschijnen bios-updates. De fabrikant laat weten dat honderden systemen kwetsbaar zijn. Ook Asus heeft een overzicht van beschikbare bios-updates online gezet voor desktops en laptops, moederborden en servers en workstations. Acer zegt dat het voor de meeste kwetsbare systemen, zoals vermeld in dit overzicht, met een update zal komen. De updates worden op dit moment getest. Dell heeft inmiddels voor een groot aantal systemen bios-updates uitgebracht of zal dit later deze maand doen. Hetzelfde geldt voor HP, alleen meldt de fabrikant dat een groot aantal systemen pas begin februari een update zal ontvangen. Voor eigenaren van een Toshiba-systeem zijn nog geen bios-updates beschikbaar. De fabrikant hoopt de komende maanden met updates te komen. Verder zijn er bios-updates voor Gigabyte- en MSI-moederborden verschenen. Volgens Google is het oplossen van de kwetsbaarheden waar Spectre en Meltdown misbruik van maken mogelijk de grootste uitdaging van de afgelopen tien jaar. bron: security.nl

Een aanvaller heeft de online portemonnee BlackWallet gehackt en voor meer dan 300.000 dollar aan Lumen gestolen, zo laat de oprichter van BlackWallet op Reddit en Twitter weten. BlackWallet is een webwallet voor de cryptovaluta Lumen (XLM). Volgens de oprichter wist de aanvaller toegang tot zijn hostingaccount te krijgen en wijzigde de dns-instellingen. Dns (domain name system) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. De aanvaller wijzigde de dns-instellingen zodat gebruikers naar een kwaadaardige kopie van de originele BlackWallet-website werden doorgestuurd. Als gebruikers op deze website inlogden werden hun Lumen naar de wallet van de aanvaller doorgestuurd. Vervolgens stuurde de aanvaller de Lumen door naar een exchange om daar om te wisselen. De oprichter meldt op Twitter dat het om een bedrag van meer dan 300.000 dollar gaat. Op welke manier de aanvaller toegang tot het hostingaccount wist te krijgen is niet bekendgemaakt. De oprichter zegt op een later moment met meer informatie te zullen komen. Hij verwacht echter niet dat BlackWallet zal terugkomen, aangezien gebruikers het niet meer zullen vertrouwen. De BlackWallet-website is op het moment van schrijven nog altijd uit de lucht. Een aantal weken geleden werd ook de dns van Ethereumplatform EtherDelta door een aanvaller gekaapt. bron: security.nl

Aanvallers hebben e-mails verstuurd die van de Duitse overheid afkomstig lijken en voor de Spectre- en Meltdown-aanvallen waarschuwen, maar in werkelijkheid malware verspreiden. Het bericht heeft als onderwerp "Kritische Sicherheitslücke - Wichtiges Update" en zou van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, afkomstig zijn. Het BSI is de overheidsinstantie die in Duitsland beveiligingsadvies uitbrengt en voor allerlei kwetsbaarheden waarschuwt. De e-mail waarschuwt ontvangers voor Spectre en Meltdown en stelt dat de beschikbaar gemaakte update zo snel als mogelijk moet worden geïnstalleerd. Hiervoor bevat de e-mail een link naar een website. De aanvallers hebben de website van het BSI nagemaakt en bieden daarop een bestand aan dat zogenaamd een beveiligingsupdate is. In werkelijkheid gaat het om malware die computer en smartphone kan infecteren, aldus het echte BSI. De organisatie waarschuwt dat beveiligingsupdates nooit via e-mail worden verspreid. Op de dag dat Spectre en Meltdown bekend werden adviseerde het BSI om de updates die tegen de aanvallen beschermen zo snel als mogelijk te installeren. Anti-malwarebedrijf Malwarebytes maakte een analyse van de aanval. De malafide website biedt een zip-bestand aan genaamd Intel-AMD-SecurityPatch-11-01bsi.zip, dat de zogenaamde patch met de naam Intel-AMD-SecurityPatch-10-1-v1.exe bevat. Het gaat hier om de malware genaamd "Smoke Loader" die aanvallers volledige controle over het systeem geeft en aanvullende malware-modules installeert. bron: security.nl

Intel heeft van een aantal klanten meldingen ontvangen dat de bios-update voor de Spectre- en Meltdown-aanvallen voor herstartende systemen zorgen. Het gaat dan met name om systemen met de Intel Broadwell- en Haswell-processoren bij zowel clients als datacentra, aldus Navin Shenoy van Intel. De chipfabrikant zegt dat het met deze klanten samenwerkt om het herstartprobleem te onderzoeken en verhelpen. "Als dit een herziene firmware-update van Intel vereist, zullen we die via de normale kanalen beschikbaar maken. We werken ook direct met datacentrumklanten om het probleem te bespreken", aldus Shenoy. Hij adviseert eindgebruikers om beschikbare updates voor zowel hun systeem als besturingssysteem te installeren. Eerder werd al bekend dat de Windows-update voor Spectre bij sommige AMD-gebruikers voor problemen zorgde. Daarop werd besloten de uitrol van de update onder AMD-gebruikers tijdelijk te staken. Ook Canonical, verantwoordelijk voor de Linux-distributie Ubuntu, meldde dat sommige gebruikers na installatie van de beschikbaar gemaakte beveiligingsupdate met bootproblemen te maken kregen. Het probleem is inmiddels met een reeks nieuwe updates verholpen. bron: security.nl

Mozilla gaat Firefox ESR van een nieuwe feature voorzien waardoor het uitrollen van en beheren van de browser binnen organisaties eenvoudiger moet worden. Firefox Extended Support Release (ESR) is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Met Firefox 60 ESR zal Mozilla de browser van een "policy engine" voorzien, wat de integratie met bestaande beheersystemen moet vereenvoudigen. Via de policy engine kunnen beheerders bepaalde domeinen black- of whitelisten, voorkomen dat gebruikers de interne configuratie kunnen benaderen, telemetrie uitschakelen, bookmarks instellen en instellen hoe er met cookies, opslag, plug-ins en pop-ups moet worden omgegaan. De policy engine zal met elke tool werken die policies wil instellen en Mozilla is van plan om ook Windows Group Policy-ondersteuning te introduceren. De feature zal zoals gezegd aan Firefox 60 ESR worden toegevoegd die op 8 mei dit jaar moet uitkomen. bron: security.nl

De updates die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen hebben invloed op de systeemprestaties, zo blijkt uit nieuwe benchmarks (pdf) die Intel heeft vrijgegeven. Volgens de chipfabrikant zijn de prestatiegevolgen op Kaby Lake- en Coffee Lake-processoren met een ssd-schijf klein. Zo laat de SYSMark2014SE-benchmark een prestatieverlies van 6 procent zien. In bepaalde gevallen zijn de gevolgen op de systeemprestaties groter. Bijvoorbeeld bij gebruikers die webapplicaties gebruiken die complexe JavaScript-operaties bevatten. Daar kan de impact zelfs tot 10 procent oplopen. Bij andere activiteiten, zoals games en computerintensieve financiële analyses, is de impact minimaal, aldus Intel. In het geval van mobiele Kaby Lake-H-processoren bedraagt de impact zo'n 7 procent in de SYSMark2014SE-benchmark. Voor Skylake-S-processoren zijn de prestatiegevolgen iets groter, namelijk 8 procent in de SYSMark2014SE- benchmark. In combinatie met Windows 7 werd er een prestatieverlies van 6 procent waargenomen. Wanneer het systeem over een ssd-schijf beschikt zijn gevolgen kleiner. Intel zegt dat het de komende week meer benchmarks zal verzamelen en publiceren. Inmiddels wordt er ook gewerkt aan maatregelen om de impact op de systeemprestaties te verminderen. bron: security.nl

AMD komt volgende week met zogeheten microcode-updates om gebruikers van de Ryzen- en EPYC-processors tegen de Spectre-aanval te beschermen, zo heeft de chipfabrikant aangekondigd. Updates voor oudere processors zullen de komende weken verschijnen. Net zoals andere moderne processors zijn ook de chips van AMD kwetsbaar voor de twee Spectre-aanvallen. De Meltdown-aanval is een probleem dat alleen bij Intel-processors speelt. Volgens AMD is de eerste Spectre-aanval via updates voor het besturingssysteem te verhelpen, maar vereist de tweede variant een microcode-update. De eerste van deze updates, bedoeld voor Ryzen- en EPYC-processors, wordt volgende week onder klanten en partners uitgerold. Onlangs werd bekend dat een Windows-update om tegen de Spectre-aanval te beschermen bij gebruikers van bepaalde AMD-processoren voor problemen zorgde. Vanwege deze problemen besloot Microsoft de uitrol tijdelijk te staken. AMD meldt nu dat het probleem oudere processors raakt, namelijk de AMD Opteron, Athlon en AMD Turion X2 Ultra. De chipfabrikant werkt samen met Microsoft om het probleem te verhelpen en verwacht dat Microsoft volgende week de beveiligingsupdate weer zal uitrollen. bron: security.nl

Microsoft heeft wegens aanvallen op gebruikers besloten om de DDE-feature ook in Excel uit te schakelen. Eerder werd dit al bij alle ondersteunde versies van Word gedaan. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds in gebruik is. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren en Microsoft besloot eerder al voor dergelijke aanvallen te waarschuwen. De feature werd op 12 december in Word uitgeschakeld. Een weet later liet Microsoft weten dat het maatregelen had genomen om gebruikers tegen aanvallen van de Lazarus-groep te beschermen. Details werden niet bekendgemaakt, maar mogelijk gaat het hier om het uitschakelen van de DDE-feature. Er is nu ook voor Excel een update verschenen die de feature uitschakelt. Gebruikers die de feature nodig hebben kunnen die wel weer inschakelen, zoals in de security advisory wordt uitgelegd. bron: security.nl

Het installeren van Windows-updates is niet voldoende om volledig tegen de Spectre- en Meltdown-aanvallen beschermd te zijn, zo heeft Microsoft laten weten. Gebruikers moeten ook de bios-update van hun leverancier installeren. "Omdat deze kwetsbaarheden op het processorniveau beginnen, is het installeren van de nieuwste Windows-updates niet voldoende om volledig beschermd te zijn. Je moet ook de laatste firmware-updates van je computerleverancier installeren", zegt Microsofts John Cable. Vorige week verschenen er verschillende beveiligingsupdates voor Windows om gebruikers tegen Spectre en Meltdown te beschermen. Intel liet eerder al weten dat er voor alle processors die in de laatste 5 jaar zijn uitgekomen voor eind januari updates beschikbaar zullen zijn. Cable maakte de opmerking in een aankondiging over de uitrol van de Windows 10 Fall Creators Update. De update, die op 17 oktober verscheen, wordt nu aan alle Windows 10-computers aangeboden, waaronder bedrijfscomputers. Alle systemen met de Windows 10 Enterprise edition of Windows 10 Pro edition die zijn ingesteld om automatisch updates te ontvangen zullen vanaf 18 januari de Fall Creators Update aangeboden krijgen. bron: security.nl

Microsoft heeft in samenwerking met Signal end-to-end-encryptie aan Skype toegevoegd. De voip-applicatie van Microsoft beschikt over een nieuwe feature genaamd Private Conversations die via het Signal Protocol end-to-end-encryptie biedt. Hetzelfde protocol wordt door WhatsApp en Signal gebruikt. De end-to-end-encryptie zorgt ervoor dat de inhoud van chatgesprekken alleen toegankelijk is voor de zender en ontvanger. "Skype is één van de populairste applicaties in de wereld en we vinden het fantastisch dat Private Conversations in Skype ervoor zorgt dat meer gebruikers hun communicatie met de sterke encryptie van het Signal Protocol kunnen beveiligen", zegt Joshua Lund van Open Whisper Systems, de ontwikkelaar van het Signal Protocol. Private Conversations is nu in de testversie van Skype beschikbaar. bron: security.nl

Een groep aanvallers genaamd Turla slaagt er al geruime tijd in om een besmet installatieprogramma van Adobe Flash Player op onbekende wijze te verspreiden. Dat laat anti-virusbedrijf ESET weten (pdf). De virusbestrijder ontdekte een aanval gericht tegen ambassades en consulaten in voormalige Sovjet-landen. De aanvallers gebruiken een legitieme Flash Player-installer, gebundeld met een backdoor die informatie verzamelt en terugstuurt. Nu zijn er meer aanvallen bekend waarbij er besmette Flash Player-installers werden gebruikt. Wat opvalt aan deze aanval is dat het lijkt alsof de besmette Flash Player-installer bij Adobe is gedownload. Zowel de links, domeinen als ip-adressen die de onderzoekers tegenkwamen waren echt van Adobe. ESET sluit echter uit dat Adobe gehackt is geweest. Er wordt dan ook aan een soort van man-in-the-middle-aanval gedacht. De downloads van het besmette installatieprogramma, die waarschijnlijk door de slachtoffers werden geïnitieerd, vonden plaats via http. Een aanvaller tussen de gebruiker en het internet kan het http-verkeer manipuleren en zo het besmette installatieprogramma aanbieden. In een rapport over de aanval schetsen de onderzoekers verschillende mogelijk scenario's, zoals het gebruik van ARP-spoofing. Hierbij wordt het verkeer van het doelwit in real-time doorgestuurd naar een al besmette computer in het netwerk. Om een dergelijke aanval uit te voeren moeten de aanvallers al een machine in het netwerk hebben gecompromitteerd. Een andere mogelijkheid die wordt genoemd is een gehackte gateway waarmee http-verzoeken naar de website van Adobe kunnen worden onderschept en aangepast. Een man-in-the-middle-aanval zou ook op het niveau van de internetprovider kunnen plaatsvinden. De slachtoffers die ESET identificeerde zitten bij vier verschillende internetproviders. "Dit scenario zou suggerren dat de Turla-groep het verkeer in verschillende landen kan monitoren", zo stellen de onderzoekers. Als laatste wordt een techniek genaamd BGP-hijacking genoemd. Hierbij wordt het verkeer dat voor de servers van Adobe bedoeld is omgeleid naar de servers van de aanvallers. Deze techniek heeft als nadeel dat die snel kan worden opgemerkt, terwijl de aanvalscampagne waar ESET over schrijft al sinds augustus 2016 gaande is. Volgens de onderzoekers is het dan ook waarschijnlijk dat de Turla-groep een zelfgemaakte tool op de lokale gateways van getroffen organisaties installeert waarmee het verkeer kan worden onderschept en aangepast. Hoe de aanvallers echter precies te werk gaan is nog altijd onbekend. bron: security.nl

Het Duitse softwarebedrijf Ashampoo heeft een gratis tool uitgebracht die met één muisklik test of Windows-computers kwetsbaar voor de Spectre- en Meltdown-aanvallen zijn. De tool maakt gebruik van een door Microsoft ontwikkelde controle die handmatig kan worden uitgevoerd. Dit vereist echter de nodige handelingen. Via de "Spectre Meltdown CPU Checker" kan de controle via één muisklik worden uitgevoerd. Het programma controleert op beide aanvalsvectoren en biedt vervolgens verdere informatie over hoe gebruikers hun computer kunnen beschermen. Ashampoo is de ontwikkelaar van tientallen applicaties, waaronder AntiSpy for Windows 10, waarmee allerlei privacy-opties voor het besturingssysteem eenvoudig kunnen worden in- of uitgeschakeld. bron: security.nl

Computers met Windows 7 kwamen in de laatste helft van vorig jaar vaker in aanraking met ransomware dan computers die Windows 10 draaien, terwijl Windows 10 op meer machines geïnstalleerd staat, zo laat Microsoft weten. Van juni tot en met november kwamen Windows 7-pc's 3,4 keer vaker in aanraking met ransomware dan Windows 10-computers. "De data laat zien dat aanvallers zich op Windows 7 richten. Gegeven de moderne dreigingen van vandaag de dag, zijn oudere platformen eenvoudiger binnen te dringen omdat ze niet over de geavanceerde ingebouwde verdediging beschikken die op Windows 10 beschikbaar is", zegt Microsofts Tanmay Ganacharya. Als voorbeeld wijst hij naar de uitbraak van de WannaCry-ransomware. Windows 10 was niet vatbaar voor de ransomware en de manier waarop het zich verspreidde. Ook noemt Tanmay Ganacharya "Controlled folder access", de nieuwe feature die met de Windows 10 Fall Creators Update werd gelanceerd om ransomware te stoppen. Via de feature kunnen gebruikers mappen opgegeven die alleen voor geselecteerde programma's toegankelijk zijn. In het geval ransomware op het systeem de bestanden in deze mappen wil versleutelen wordt dit geblokkeerd en verschijnt er een waarschuwing voor de gebruiker. Hoewel Microsoft stelt dat Windows 10 een groter aantal installaties dan Windows 7 heeft laten cijfers van StatCounter zien dat het aandeel van beide besturingssystemen op de desktop nagenoeg identiek is, terwijl bij Net Applications Windows 7 nog altijd het dominante desktopbesturingssysteem is. bron: security.nl

Nvidia heeft vanwege de Spectre-aanval voor verschillende videokaarten driverupdates uitgebracht, zo heeft het bedrijf bekendgemaakt. Het gaat om de GeForce-, Quadro-, NVS-, Tesla- en GRID-series op verschillende platformen. Voor verschillende van deze videokaarten zijn nieuwe Linux- en Windows-drivers uitgekomen. Afhankelijk van het platform en gebruikte driver zullen voor de Tesla- en GRID-series de nieuwe drivers eind januari beschikbaar zijn. De afgelopen dagen hebben verschillende partijen, waaronder Intel en Microsoft, zich al uitgelaten over de gevolgen van de beveiligingsupdates op de systeemprestaties. Microsoft liet gisteren weten dat met name gebruikers van Windows 7 en Windows 8 de gevolgen zullen merken. Of de nieuwe Nvidia-drivers ook gevolgen voor de prestaties van de videokaarten hebben heeft de fabrikant niet bekendgemaakt. Update Nvidia laat in een update weten dat de videokaarten niet kwetsbaar zijn. De drivers zijn geüpdatet omdat die met mogelijk kwetsbare processors samenwerken. Het artikel is hierop aangepast. bron: security.nl

Er zijn updates voor Ubuntu, Tails en Linux Mint verschenen die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen. Versie 3.4 van het privacybesturingssysteem Tails bevat een volledige oplossing voor de Meltdown-aanval, terwijl de Spectre-aanval gedeeltelijk wordt verholpen. Daarnaast verhelpt deze versie verschillende andere problemen, zoals het traag opstarten vanaf dvd. Ook voor gebruikers van Ubuntu en Linux Mint zijn er updates verschenen, waaronder nieuwe drivers van Nvidia. Ubuntu 17.04 ontvangt echter geen updates voor Meltdown en Spectre, zo laat Ubuntu weten. Deze versie, die 9 maanden geleden verscheen, bereikt op 13 januari de status "end of life" en zal daarna geen updates meer ontvangen. bron: security.nl

Tijdens de eerste geplande patchdag van 2018 heeft Adobe een beveiligingsupdate uitgebracht die één kwetsbaarheid in Flash Player verhelpt. Via de kwetsbaarheid kan een aanvaller bepaalde informatie van het systeem stelen. Om wat voor informatie het precies kan gaan laat Adobe niet weten. Het beveiligingslek werd door een anonieme onderzoeker aan het Zero Day Initiative van Trend Micro verkocht. Het bedrijf waarschuwde vervolgens Adobe. De kwetsbaarheid is aanwezig in Flash Player versie 28.0.0.126 en eerder. Gebruikers krijgen het advies om te updaten naar Flash Player-versie 28.0.0.137. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Adobe adviseert gebruikers om de update binnen 30 dagen te installeren. Door het uitblijven van aanvallen op bekende, al gepatchte Flash Player-kwetsbaarheden heeft Adobe de prioriteit voor het installeren van geplande Flash-updates verlaagd. Voorheen kregen gebruikers altijd het advies om de update binnen 72 uur uit te rollen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. bron: security.nl