Captain Kirk

Op verzoek weer even geopend.

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de D-Link DIR 820-router. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, dat oproept de apparatuur niet meer te gebruiken. Het beveiligingslek in de router, aangeduid als CVE-2023-25280, maakt het voor ongeauthenticeerde aanvallers op afstand mogelijk om door middel van command injection root-toegang tot het apparaat te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is sinds vorig jaar maart bekend. De DIR 820-router wordt echter niet meer door D-Link met updates ondersteund en is dan ook end-of-life. Het CISA roept gebruikers en organisaties daarom op om het product niet langer te gebruiken. Details over de waargenomen aanvallen zijn niet door de Amerikaanse overheidsinstantie gegeven. bron: https://www.security.nl

Microsofts gratis virusscanner Defender waarschuwt gebruikers voortaan ook voor onveilige en 'verdachte' openbare wifi. Volgens het techbedrijf zijn dergelijke netwerken niet altijd veilig en kan persoonlijke data van gebruikers gevaar lopen. De waarschuwing wordt alleen getoond voor gebruikers met een Microsoft 365 family of persoonlijk abonnement. Daarnaast moeten gebruikers zijn ingelogd met hun Microsoft-account. De virusscanner zal automatisch detecteren en waarschuwen voor 'unsecure' en 'unsafe' wifi-verbindingen. In dit laatste geval gaat het om 'verdachte wifi', waarbij Microsoft gebruikmaakt van heuristiek. In de waarschuwing zal de optie worden geboden om een vpn-verbinding in te schakelen. De wifi-detectie is op dit moment beschikbaar voor Android, iOS en Windows. MacOS-support volgt. Gebruikers kunnen de waarschuwing van de virusscanner negeren en gewoon verbinding met de wifi-netwerken maken. bron: https://www.security.nl

Een groep criminelen genaamd Storm-0501 voert ransomware-aanvallen uit tegen hybride cloudomgevingen, waarbij data en inloggegevens worden gestolen en ransomware uitgerold, zo meldt Microsoft. De groep heeft het volgens het techbedrijf tegen meerdere sectoren in de Verenigde Staten voorzien, waaronder politie, transport, overheid en productie. Voor het uitvoeren van de aanvallen maakt de groep gebruik van 'zwakke inloggegevens' en accounts met te veel rechten om van de on-premises omgeving van de organisatie naar cloudomgevingen te bewegen. Naast zwakke credentials maakt de groep ook gebruik van bekende kwetsbaarheden in Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion om toegang tot servers te krijgen en daarvandaan verdere aanvallen uit te voeren. Zodra de groep een netwerk is binnengedrongen wordt geprobeerd om zoveel mogelijk inloggegevens te stelen, waaronder secrets van wachtwoordmanager KeePass. Ook wordt er geprobeerd om lateraal naar de cloudomgeving te bewegen. "Bij de recente Storm0501-campagne wist de aanvaller Microsoft Entra Connect Sync servers te lokaliseren en plaintext credentials van de Microsoft Entra Connect cloud en on-premises sync-accounts te stelen", aldus Microsoft. "Na het compromitteren van het cloud Directory Synchronization Account, kan de aanvaller zich via de clear text credentials authenticeren en een access token voor Microsoft Graph krijgen." Microsoft waarschuwt dat het compromitteren van het Microsoft Entra Connect Sync-account een groot risico voor de aangevallen organisatie vormt, aangezien het de aanvaller in staat stelt om de Microsoft Entra ID wachtwoorden van elk hybride account in te stellen of te wijzigen. Een andere methode waardoor de groep cloudomgevingen weet te compromitteren is door een on-premises account te compromitteren dat ook een account in de cloud heeft. Nadat de aanvaller de eerdere accounts heeft gecompromitteerd maakt die gebruik van een Global Administrator-account om een nieuw federated domain aan te maken dat als backdoor dient. Zodra er voldoende controle over het netwerk is verkregen worden gevoelige bestanden gestolen en de Embargo-ransomware uitgerold. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken. bron: https://www.security.nl

Een kwetsbaarheid in VLC media player maakt het mogelijk voor een aanvaller om willekeurige code met rechten van de aangevallen gebruiker uit te voeren. Om misbruik van het beveiligingslek te maken zou een aanvaller het doelwit een speciaal geprepareerde malafide mms-stream moeten laten openen. Een update is sinds juni beschikbaar. De Duitse overheid kwam gisteren met een waarschuwing voor het beveiligingslek. De impact daarvan is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het probleem is verholpen in VLC media player 3.0.21. Deze versie verscheen afgelopen juni. Tot het moment de patch is geïnstalleerd wordt aangeraden om geen mms-streams van onvertrouwde derde partijen te openen of de VLC-browserplug-ins uit te schakelen. VideoLAN, ontwikkelaar van de mediaspeler, is niet bekend met misbruik van de kwetsbaarheid. Dit jaar heeft VideoLAN pas twee beveiligingsbulletins uitgebracht. Het andere probleem betreft een beveiligingslek in de iOS-versie waardoor een denial of service mogelijk is. bron: https://www.security.nl

De Ierse privacytoezichthouder DPC heeft Meta wegens de plaintext opslag van wachtwoorden een boete van 91 miljoen euro opgelegd. Facebook maakte begin 2019 bekend dat het de wachtwoorden van "honderden miljoenen" gebruikers van Facebook Lite, tientallen miljoenen andere Facebookgebruikers en miljoenen gebruikers van Instagram in plaintext had opgeslagen. Het probleem werd ontdekt bij de controle van nieuwe code. Toen bleek dat wachtwoorden per ongeluk in plaintext werden gelogd. De DPC deed onderzoek naar het incident en laat vandaag weten dat Meta met de plaintext opslag vier artikelen van de AVG heeft overtreden, waaronder het nemen van gepaste technische of organisatorische maatregelen om de wachtwoorden van gebruikers te beschermen. "Het is algemeen geaccepteerd dat wachtwoorden van gebruikers niet in plaintext moeten worden opgeslagen, vanwege het risico op misbruik als personen toegang tot dergelijke data krijgen", zegt Graham Doyle van de DPC. Hij voegt toe dat de wachtwoorden in dit geval met name gevoelig waren, omdat ze toegang tot socialmedia-accounts gaven. De toezichthouder zal het volledige besluit op een later moment openbaar maken bron: https://www.security.nl

De Ransomware Task Force, die in 2021 werd opgericht, heeft vorig jaar wereldwijd zo'n 6700 ransomware-aanvallen geteld, waarvan honderdtwintig in Nederland. Een toename van 73 procent ten opzichte van 2022. Vorig jaar vond via een kwetsbaarheid in MOVEit Transfer één van de grootste ransomware-aanvallen in de geschiedenis plaats Door het beveiligingslek wisten criminelen achter de Clop-ransomware bij bijna 2800 organisaties de gegevens van zo'n 96 miljoen personen te stelen. Daarnaast stelt de taskforce dat criminelen zich op 'big game hunting' richten, waarbij 'high-value' ondernemingen en organisaties het doelwit van de ransomware-aanvallen zijn. De meeste ransomware-aanvallen werden in de Verenigde Staten waargenomen. Over het hele jaar genomen ging het om 6670 aanvallen in 117 landen, uitgevoerd door 66 verschillende ransomwaregroepen. In Nederland werden 120 aanvallen geteld. "Omdat ransomware-activiteit de verkeerde kant op blijft gaan, herhalen we onze oproep voor meer focus op afschrikking en verstoring", aldus de taskforce. "Aanwezig bewijs suggereert dat acties die overheid en industrie vorig jaar namen niet genoeg waren om de winstgevendheid van het ransomwaremodel aanzienlijk te verminderen", concludeert de taskforce. Die kwam in 2021 met 48 aanbevelingen voor de aanpak van ransomware, maar stelt dat pas de helft hiervan aanzienlijke voortgang laten zien. bron: https://www.security.nl

Het Tor Project, de organisatie achter Tor Browser en het Tor-netwerk, en het op privacygerichte besturingssysteem Tails gaan samenwerken. Dit moet voor een groter bereik zorgen en het sneller integreren van features van de ene naar de andere tool. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Daarnaast biedt het allerlei privacygerelateerde tools. Eind vorig jaar benaderden de Tails-ontwikkelaars het Tor Project met het idee om samen te gaan. Het ontwikkelteam van Tails liep tegen de grenzen van de bestaan structuur aan en zagen in het Tor Project een omgeving in verder te kunnen groeien. Volgens het Tor Project een logische stap, omdat beide tools elkaar aanvullen. Tor Browser biedt bescherming tijdens het browsen, Tails richt zich op de bescherming van het besturingssysteem. Beide tools worden in repressieve regio's vaak tegelijkertijd gebruikt, aldus het Tor Project. Het samengaan van beide projecten moet dan ook leiden tot een uitgebreide oplossing voor individuen die in risicovolle omgevingen bescherming op netwerk- en systeemniveau nodig hebben. Het Tor Project biedt ook trainingen, die zich voornamelijk op de browser richten. Met de samenwerking kan tijdens deze trainingen ook Tails worden meegenomen, wat ook voor meer zichtbaarheid van het OS moet zorgen. Tails is minder bekend dan Tor. "Door Tails onder de paraplu van het Tor Project te brengen, kunnen we deze krachtige tool aan meer individuen en groepen introduceren die tijdens hun werk in vijandige omgevingen anoniem moeten blijven", aldus het Tor Project. bron: https://www.security.nl

De Amerikaanse geheime dienst NSA, de Australische inlichtingendienst ASD en cyberagentschappen uit beide landen alsmede Canada, het Verenigd Koninkrijk en Nieuw-Zeeland, hebben advies gepubliceerd voor het beveiligen van Microsoft Active Directory. De diensten stellen dat Microsoft Active Directory de meestgebruikte authenticatie- en autorisatie-oplossing voor bedrijfsnetwerken is. Via de oplossing kunnen gebruikers op systemen en diensten inloggen. "Dit maakt het een waardevol doelwit voor aanvallers en het is geregeld doelwit bij aanvallen op bedrijfsnetwerken", aldus de diensten. Wanneer een aanvaller controle over Active Directory heeft kan die toegang tot allerlei andere systemen en diensten krijgen. Het verwijderen van een aanvaller kan 'drastische actie' vereisen, variërend van het resetten van alle wachtwoorden van gebruikers tot het herbouwen van de gehele Active Directory, stellen de diensten. Die melden ook dat het herstel van een dergelijke aanval veel tijd en geld kost en ontwrichtend kan zijn. "Organisaties moeten zoveel mogelijk Active Directory-aanvallen voorkomen en tegelijkertijd deze aanvallen detecteren als ze zich voordoen", laten de diensten verder weten. In een adviesdocument 'Detecting and mitigating Active Directory compromises' worden zeventien veelgebruikte aanvalstechnieken tegen Active Directory besproken en de maatregelen die genomen kunnen worden om ze te detecteren en voorkomen. Het gaat dan om zaken als Kerberoasting, password spraying, golden tickets en skeleton keys. bron: https://www.security.nl

WordPress.org heeft hostingprovider WP Engine geblokkeerd, waardoor klanten van het bedrijf hun plug-ins en themes niet meer kunnen updaten of installeren. Vanwege de blokkade heeft securitybedrijf Patchstack besloten om tijdelijk geen informatie over kwetsbaarheden in plug-ins voor WordPress te publiceren. De blokkade volgt op een ruzie tussen WordPress.org en WP Engine. WordPress.org biedt het gelijknamige contentmanagementsysteem waar zo'n 44 procent van alle websites op internet gebruik van maakt. WP Engine is een bedrijf dat klanten 'managed WordPress hosting' biedt. Klanten kunnen via het platform van WP Engine een eigen WordPress-site starten en meteen bij de provider hosten. Matt Mullenweg, mede-ontwikkelaar van WordPress en ceo van Automattic, dat via WordPress.com ook WordPress-hosting aanbiedt, noemde WP Engine onlangs 'een kanker voor WordPress'. Volgens Mullenweg biedt WP Engine klanten een slechte ervaring en profiteert van het bedrijf van de verwarring, doordat mensen denken dat WP Engine WordPress is. Mullenweg stelde dan ook dat WP Engine een trademark-licentie nodig heeft om WordPress-hosting te blijven aanbieden. Vervolgens stuurde WP Engine een 'cease and desist' brief naar Automattic waarin het bedrijf en Mullenweg werden verzocht om de 'valse en schadelijke' verklaringen over WP Engine in te trekken en dergelijke uitspraken niet meer te doen. In afwachting van de juridische claims en rechtszaken tegen WordPress.org heeft het platform nu besloten om WP Engine geen toegang meer tot de resources van WordPress.org te geven. Hierdoor kunnen klanten van WP Engine onder andere geen plug-ins en themes meer installeren of updaten, zo blijkt uit de statuspagina. De situatie is voor WordPress-securitybedrijf Patchstack aanleiding om voorlopig geen informatie over nieuwe kwetsbaarheden in plug-ins te publiceren. bron: https://www.security.nl

De populaire online DevOps-tool GitLab heeft een beveiligingsupdate voor een kritieke SAML authentication bypass, waardoor aanvallers toegang tot GitLabs-accounts kunnen krijgen, ook voor oudere versies van de software beschikbaar gemaakt. Organisaties kunnen GitLab op hun eigen server of servers installeren. Via de kwetsbaarheid (CVE-2024-45409) is het mogelijk voor een aanvaller om de authenticatie te omzeilen en zo toegang tot een GitLab-account te krijgen. Voorwaarde voor misbruik is wel dat voor GitLab-instances SAML-gebaseerde authenticatie is ingeschakeld. SAML staat voor Security Assertion Markup Language en is een standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen. De impact van van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). GitLab kwam vorige week met beveiligingsupdates voor versies 17.3.3, 17.2.7, 17.1.8, 17.0.8 en 16.11.10. De patch is nu ook gebackport naar oudere versies. Gebruikers van een oudere versie kunnen updaten naar versie 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 of 16.0.10. GitLab roept organisaties en beheerders op om zo snel mogelijk naar de laatste versie te updaten. bron: https://www.security.nl

Tienduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritiek beveiligingslek in Jupiter X Core. Dit is een plug-in die kernfunctionaliteit voor het Jupiter X theme biedt. De software is op meer dan negentigduizend websites geinstalleerd. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige bestanden naar de webserver te uploaden, wat tot remote code execution kan leiden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Vier weken geleden kwamen de ontwikkelaars met een update voor het probleem, waarop securitybedrijf Wordfence nu de details openbaar heeft gemaakt. Daarnaast maakt een ander beveiligingslek in de plug-in het mogelijk om in te loggen als de eerste gebruiker die met een socialmedia-account op de website inlogde, waaronder beheerders. Ook als deze optie is uitgeschakeld, na een keer te zijn ingeschakeld en gebruikt, is misbruik mogelijk. De impact van dit lek is beoordeeld met een score van 8.1. Voor dit probleem kwamen de ontwikkelaars vorige week met een volledige oplossing. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog altijd niet up-to-date zijn en zo risico lopen aangevallen te worden. bron: https://www.security.nl

Criminelen zijn erin geslaagd om een nieuwe beveiligingsmaatregel van Google te omzeilen die het stelen van cookies in Chrome moest tegengaan. Dat laat beveiligingsonderzoeker 'g0njxa' op X weten. Voor het beveiligen van cookies, wachtwoorden en andere gevoelige data maakt Chrome gebruik van de beveiligingsopties die het onderliggende besturingssysteem biedt. In het geval van macOS is dit de Keychain en op Linux een door het systeem aangeboden wallet zoals kwallet of gnome-libsecret. Op Windows maakt Googles browser gebruik van de Data Protection API (DPAPI). Deze interface beschermt data 'at rest' tegen andere gebruikers op het systeem of zogenoemde cold boot-aanvallen. De DPAPI biedt geen bescherming tegen malafide applicaties die code als de ingelogde gebruiker kunnen uitvoeren, zoals infostealer-malware doet. Om cookies beter te beschermen maakt Chrome sinds kort gebruik van 'Application-Bound (App-Bound) Encryption'. In plaats van elke applicatie toegang tot de gevoelige data te geven, kan Chrome nu browserdata op zo'n manier versleutelen, waarbij de encryptie is gekoppeld aan de app-identiteit. Dit is vergelijkbaar met de manier waarop de Keychain op macOS werkt. Tijdens de versleuteling voegt App-Bound Encryption de identiteit van de app aan de versleutelde data toe. Wanneer geprobeerd wordt om de data te ontsleutelen wordt eerst de identiteit van de betreffende app gecontroleerd. Als die niet overeenkomt met de identiteit van de initiële applicatie, zal er geen decryptie plaatsvinden. De App-Bound Encryption service draait met systeemrechten. Een aanvaller moet dan niet alleen malware op het systeem uitvoeren, maar ook systeemrechten zien te krijgen of code in Chrome zien te injecteren. Verschillende ontwikkelaars van infostealer-malware, waarmee wachtwoorden, sessiecookies en andere inloggegevens van besmette computers worden gestolen, laten weten dat hun creaties nu in staat zijn de beveiligingsmaatregel te omzeilen. Het gaat onder andere om Lumma, Lumar, StealC, Vidar en WhiteSnake. Daarbij stellen de ontwikkelaars dat het niet nodig is om over admin- of systeemrechten te beschikken. "Alles werkt zoals voorheen". bron: https://www.security.nl

Privacyorganisatie noyb heeft bij de Oostenrijkse privacytoezichthouder een klacht over Mozilla ingediend en de autoriteit gevraagd een onderzoek naar tracking door Firefox uit te voeren. Aanleiding is het inschakelen van 'Privacy Preserving Attribution' in de browser. "In tegenstelling tot de geruststellende naam, zorgt deze technologie ervoor dat Firefox gebruikersgedrag op websites kan tracken. In essentie doet de browser nu het tracken in plaats van individuele websites", aldus noyb. Eerder kreeg Mozilla al de nodige kritiek over de feature te verduren. Volgens de privacyorganisatie kan Mozillas oplossing een verbetering zijn ten opzichte van tracking door middel van cookies, maar zijn gebruikers nooit gevraagd of ze de feature willen inschakelen. Mozilla heeft het standaard in nieuwe Firefox-versies ingeschakeld. "Dit is met name zorgwekkend, omdat Mozilla over het algemeen de reputatie van een privacyvriendelijk alternatief heeft, wanneer de meeste andere browsers gebaseerd zijn op Googles Chromium", gaat noyb verder. "Mozilla gelooft het verhaal van de advertentie-industrie dat het een recht heeft om gebruikers te tracken door Firefox in een advertentiemeettool te veranderen. Hoewel Mozilla mogelijk goede intenties had, is het zeer onwaarschijnlijk dat 'privacy preserving attribution' cookies en andere trackingtools zal vervangen. Het is gewoon een nieuwe, aanvullende manier om gebruikers te tracken", zegt noyb-advocaat Felix Mikolasch. De privacyorganisatie hekelt ook het feit dat Mozilla de technologie ongevraagd heeft ingeschakeld en gebruikers hier ook niet over informeerde. Mozilla stelde dat er bewust voor is gekozen om gebruikers geen toestemmingsscherm te tonen, omdat dit een gebruikersonvriendelijke afleiding is. Ook stelde een Firefox-ontwikkelaar dat het lastig is om 'privacybeschermende advertentiemetingen' voor de meeste gebruikers uit te leggen, zodat ze een geïnformeerde beslissing kunnen maken. "Het is jammer dat een organisatie zoals Mozilla denkt dat gebruikers te dom zijn om ja of nee te zeggen. Gebruikers zouden in staat moeten zijn om een keuze te maken en de feature zou standaard moeten zijn uitgeschakeld", gaat Mikolasch verder. Noyb wil dat de Oostenrijkse privacytoezichthouder het gedrag van Mozilla onderzoekt. Daarnaast wil de organisatie dat Mozilla gebruikers adequaat over de dataverwerkingsactiviteiten informeert, naar een opt-insysteem overstapt en alle onrechtmatig verwerkte data verwijdert. bron: https://www.security.nl

Het Europese cyberagentschap ENISA gaat op verzoek van de Europese Commissie certificering van ID-wallets ondersteunen. Met de ID-wallets kunnen burgers en ondernemers straks digitaal zaken doen in Nederland en de rest van Europa. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. De wallet-applicaties maken het mogelijk om identiteitsdocumenten op te slaan en persoonlijke identificeerbare data met andere partijen te delen. ENISA gaat nu aan de slag met de voorbereiding voor een certificeringsschema voor de ID-wallets en elektronische identificatie. "Een certificeringsschema voor de EU Digital Identity (EUDI) Wallets is essentieel voor een succesvolle werking van het walletconcept. De certificering zorgt ervoor dat EUDI-wallets veilig zijn en de privacy en persoonlijke gegevens van gebruikers beschermen. Bovendien garandeert het ook dat burgers hun nationale digitale wallets in de hele EU kunnen gebruiken", zegt Christiane Kirketerp de Viron, plaatsvervangend directeur voor Digital Society, Trust and Cybersecurity van de Europese Commissie. bron: https://www.security.nl

Betalingsverwerker MoneyGram heeft vorige week systemen wegens een beveiligingsincident offline gehaald, wat nog altijd gevolgen heeft voor de beschikbaarheid van de dienst. Dat laat het bedrijf via X weten. Zondag meldde MoneyGram dat het te maken had met een netwerkstoring en een onderzoek naar de aard en omvang van het probleem had ingesteld. Gisteren verscheen er een nieuwe verklaring waarin de betalingsverwerker meldt dat het om een digitaal beveiligingsincident gaat. Uit voorzorg zijn meerdere systemen offline gehaald. Inmiddels wordt samengewerkt met externe cybersecurity-experts en justitie, aldus de verklaring. Tevens meldt MoneyGram dat het bezig is om systemen weer online te brengen. Verdere details over het incident en de impact ervan zijn niet gegeven. De website van MoneyGram is op het moment van schrijven offline en kunnen er ook geen betalingen worden verwerkt omdat het MoneyGram-platform niet benaderbaar is. bron: https://www.security.nl

Antivirusbedrijf Kaspersky heeft de eigen virusscanner bij Amerikaanse klanten verwijderd en vervolgens automatisch UltraAV geïnstalleerd, tot verrassing van sommige gebruikers. Bij sommige gebruikers verscheen ook UltraVPN op het systeem. De Amerikaanse regering besloot in juni om de verkoop van Kaspersky-producten in de VS te verbieden en later deze maand ook het uitbrengen van updates voor de software. Daarop maakte Kaspersky bekend dat het de VS zal verlaten. De virusbestrijder sloot een overeenkomst met antivirusbedrijf Pango, dat alle Kaspersky-klanten in de VS overneemt. De afgelopen dagen is Kaspersky begonnen om zichzelf van Amerikaanse systemen te verwijderen en UltraAV te installeren. Voor veel gebruikers kwam dit ondanks eerdere berichtgeving als een verrassing, zo blijkt uit reacties op Reddit en het Kaspersky-forum. Meerdere klanten zijn ook niet blij met de automatische installatie en overgang naar UltraAV, omdat ze het bedrijf niet kennen en vertrouwen. In een reactie op het eigen forum laat Kaspersky weten dat het nauw met UltraAV heeft samengewerkt om de overgang naar de andere virusscanner zo naadloos mogelijk te maken. bron: https://www.security.nl

Microsoft heeft een testversie van Windows Server 2025 beschikbaar gemaakt die het installeren van beveiligingsupdates zonder herstart van het systeem mogelijk maakt. Deze 'hotpatches' zijn volgens Microsoft een 'gamechanger'. Hotpatches zijn beveiligingsupdates die geen reboot vereisen. De updates patchen in het geheugen code van draaiende processen, zonder dat het nodig is om deze processen te herstarten. Dit moet ervoor zorgen dat in plaats van twaalf verplichte reboots per jaar op 'Patch Tuesday', er wordt gewerkt met een geplande herstart per kwartaal. Dit bestempelt Microsoft als 'nominale hotpatch maand'. Minder binaries houdt ook in dat updates sneller worden gedownload en geïnstalleerd, aldus het techbedrijf. Hotpatching is al een aantal jaren beschikbaar in Windows Server 2022 Datacenter: Azure Edition, maar vereist dat het besturingssysteem in een virtual machine (VM) draait. De feature komt ook beschikbaar in de Standard en Datacenter edition van Windows Server 2025. en zonder VM-verplichting. Hotpatching wordt ondersteund op fysieke servers of virtual machines. De VM's kunnen op Hyper-V, VMware of andere oplossingen draaien die Microsofts Virtualization Based Security-standaard ondersteunen. Voor het gebruik van hotpatching is wel Azure Arc vereist. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft een naar eigen zeggen 'catastrofale' kwetsbaarheid in de op Chromium-gebaseerde Arc-browser gevonden waardoor het mogelijk was om willekeurige JavaScript binnen de browser van alle gebruikers uit te voeren, waarbij alleen het kennen van een user-ID voldoende was. Het probleem speelde alleen bij de Arc-browser, andere Chromium-gebaseerde browsers waren niet kwetsbaar. The Browser Company, het bedrijf achter de Arc-browser, had oorspronkelijk geen bugbountyprogramma, maar besloot de onderzoeker met het alias 'xyzeva' een beloning van tweeduizend dollar toe te kennen. De Arc-browser biedt een feature genaamd 'Boosts', waarmee het mogelijk is om elke website door middel van custom CSS en JavaScript aan te passen. Deze aanpassingen slaat Arc op in Firebase. The Browser Company had naar eigen zeggen de Firebase ACL's (Access Control Lists) verkeerd geconfigureerd, waardoor het mogelijk was om de CreatorID van een Boost te veranderen nadat die was aangemaakt. Hierdoor was het mogelijk om een malafide Boost aan elke willekeurige gebruiker toe te kennen, die dan automatisch werd geactiveerd als ze de website bezochten waarvoor de Boost was aangemaakt. Het bleek daarbij eenvoudig om het user-ID te achterhalen. Een aanvaller zou zo een Boost kunnen maken met malafide JavaScript dat binnen de browser van de gebruiker zou worden uitgevoerd. De kwetsbaarheid (CVE-2024-45489) werd op 25 augustus aan The Browser Company gemeld dat een dag later met een fix en beloning kwam. Naar aanleiding van het incident gaat Arc-browser JavaScript in gesynchroniseerde Boosts standaard uitschakelen, zal het Firebase niet meer voor nieuwe features en producten gebruiken, worden bestaande Firebase ACL's geaudit, is er een security-engineer aangenomen en een bugbountyprogramma gestart. bron: https://www.security.nl

Graag gedaan en succes. Ik zet het topic op slot. Wil je toch nog reageren, laat het ons dan even weten.

I think youre question is to change the OS XP for a other OS to use the laptop for the next 18 years. You can try to install a Linux-version. Those are free to use and sutable for most systems.

Kleine aanvulling: ik gebruik zelf ook regelmatig zo 'uitlees-apparaatje" De meeste hebben verschillende aansluitingen zodat de meeste schijven, zeker de oudere, eenvoudig aangesloten kunnen worden. Je schijf verschijnt als extern station in je verkenner. Werkt simpel en snel.

Aanvallers maken gebruik van GitHub-notificatiemails om ontwikkelaars op het platform via een malafide PowerShell-commando met malware te infecteren. Het uiteindelijke doel is om via de malware wachtwoorden en andere inloggegevens te stelen die voor verdere aanvallen zijn te gebruiken. Als eerste stap in de aanval maakt de aanvaller een GitHub-account aan en rapporteert dan een probleem met een publieke repository van de ontwikkelaar. Vervolgens verwijdert de aanvaller het probleem. De eigenaar van de publieke repository ontvangt nu een notificatiemail. Daarin staat de omschrijving van het probleem dat door de aanvaller was aangemaakt. De aanvaller laat in de omschrijving weten dat er een beveiligingsprobleem met de repository is aangetroffen en wijst vervolgens naar een website genaamd 'github-scanner' waarin meer informatie over het oplossen van het probleem te vinden zou zijn. De website heeft een zogenaamde captcha waarbij gebruikers worden opgeroepen PowerShell te starten, ctrl+v te doen en dan enter. Hierdoor wordt de net gekopieerde code geplakt en uitgevoerd. Deze code downloadt de malware op het systeem. Het gaat om de Lumma-infostealer. Deze malware is ontwikkeld om allerlei inloggegevens van het systeem te stelen, zo meldt Ian Spence, die een dergelijke GitHub-notificatiemail ontving. Het gebruik van malafide PowerShell-commando's is al bij verschillende phishingaanvallen toegepast. bron: https://www.security.nl

Thunderbird is gestopt met de ondersteuning van Windows 7 en 8 en zal niet zoals Mozilla bij Firefox deed de e-mailclient langer blijven ondersteunen. Dat heeft het ontwikkelteam bekendgemaakt. Onlangs maakte Mozilla bekend dat het Firefox voor Windows 7 en 8.1 tot maart 2025 van beveiligingsupdates zal voorzien en een verdere verlenging wordt niet uitgesloten. "We zullen de support van Thunderbird 115 niet op dezelfde manier verlengen", aldus de ontwikkelaars van de e-mailclient. Dat houdt in dat Thunderbird 115.15.0, die twee weken geleden verscheen, de laatste ondersteunde versie is. De ontwikkelaars sluiten niet uit dat er nog één kleine update voor deze versie verschijnt, maar de support van de oude Windowsversies is daarmee officieel tot een einde gekomen. Aanleiding voor de beslissing is dat Thunderbird veel minder gebruikers op Windows 7 en 8 heeft dan Firefox. Het aandeel Windows 7- en 8-gebruikers bij de e-mailclient is zo'n zes procent, tegenover elf procent bij de browser. Thunderbird 115 blijft vooralsnog voor gebruikers van Windows 7 en 8 beschikbaar, totdat dit niet langer veilig is, gebaseerd op de beveiligingsupdates die voor Thunderbird versie 128 verschijnen. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt klanten voor een kritiek path traversal-lek in Cloud Service Appliance (CSA) waar aanvallers actief misbruik van maken en dat 'bij toeval' op 10 september werd opgelost. Onlangs meldde Ivanti ook actief misbruik van een andere kwetsbaarheid in CSA. Via de Cloud Service Appliance kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook verstrekkende gevolgen voor een organisatie hebben. Op 10 september kan Ivanti met een update voor een kwetsbaarheid in CSA versie 4.6, aangeduid als CVE-2024-8190. Drie dagen later liet het softwarebedrijf weten dat aanvallers actief misbruik van dit beveiligingslek maken. Gisteren kwam Ivanti met een nieuwe waarschuwing voor een tweede actief aangevallen lek in CSA 4.6. Het gaat om een kritieke path traversal-kwetsbaarheid (CVE-2024-8963) waardoor een ongeauthenticeerde aanvaller op afstand 'toegang tot 'afgeschermde functionaliteit' kan krijgen. Aanvallers combineren CVE-2024-8963 en CVE-2024-8190 om de admin-authenticatie te omzeilen en willekeurige commando's op de appliance uit voeren. De impact van CVE-2024-8963 is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Met de update die op 10 september voor CVE-2024-8190 verscheen blijkt ook 'bij toeval' CVE-2024-8963 te zijn verholpen, aldus de uitleg van Ivanti. Met de patch voor CSA 4.6 zijn dan ook beide actief aangevallen kwetsbaarheden opgelost. Deze versie is echter end-of-life en organisaties worden dan ook aangeraden naar CSA 5.0 te upgraden. bron: https://www.security.nl