Captain Kirk

De groep achter de beruchte SamSam-ransomware is nu al zo'n 2 jaar actief en door slecht beveiligde RDP-systemen nog steeds succesvol. Opmerkelijk aan SamSam, ook bekend als Samas, is dat de installatie van de ransomware handmatig plaatsvindt, complete netwerken worden versleuteld en er zeer hoge bedragen voor het ontsleutelen worden gevraagd. Onlangs besloot een Amerikaans ziekenhuis de makers van SamSam nog 55.000 dollar te betalen om versleutelde bestanden te ontsleutelen. In tegenstelling tot andere ransomware, die vaak via bijlagen en exploits wordt verspreid, hackt de SamSam-groep organisaties. Eenmaal binnen wordt de ransomware op zoveel mogelijk systemen geïnstalleerd en wordt er actief naar back-ups gezocht om die te verwijderen of versleutelen. In eerste instantie gebruikte de groep bekende kwetsbaarheden in JBoss-servers, waar organisaties de beschikbare updates niet voor hadden geïnstalleerd, om toegang tot netwerken te krijgen. Sinds vorig jaar wordt er echter van het Remote Desktop Protocol (RDP) gebruikmaakt. Via RDP is het mogelijk om op afstand op systemen in te loggen. Om toegang tot de RDP-systemen van organisaties te krijgen maakt de groep gebruik van bruteforce-aanvallen, zo laat securitybedrijf Secureworks in een vandaag gepubliceerd rapport weten. Matt Webster van Secureworks sluit echter niet uit dat de groep ook gebruikmaakt van al gecompromitteerde RDP-systemen. Op internet zijn er criminelen die gehackte RPD-systemen van organisaties te koop aanbieden. De SamSam-groep zou zo toegang tot slachtoffers krijgen, aldus Webster in een interview met Security.NL. In de praktijk blijkt dat er tijd tussen het compromitteren van de RDP-gegevens of het RDP-systeem zit en de infectie door SamSam. Dat zou deze theorie ondersteunen. Hoewel aanvallen van de groep tegen ziekenhuizen veel aandacht krijgen, worden ook andere sectoren getroffen, waaronder it-bedrijven, zakelijke dienstverleners, softwareontwikkelaars en horeca. De groep gaat daarbij opportunistisch te werk, zegt Webster. Met name kleinere organisaties die niet over goede incident response of beschikbare back-ups beschikken, of geen complex of gesegmenteerd netwerk hebben, kunnen zwaar door SamSam worden getroffen. Zo was een Amerikaans ziekenhuis zes weken door SamSam ontregeld. Begin 2016 gaf de FBI een waarschuwing af voor SamSam. Nog altijd maakt de groep slachtoffers. De laatste campagne, die eind vorig jaar en begin dit jaar plaatsvond, zou de criminelen 350.000 dollar hebben opgeleverd. Dit is gebaseerd op de bekende Bitcoin-wallets waar slachtoffers het geld naar toe hebben overgemaakt. Het werkelijke bedrag kan echter hoger liggen, aangezien niet alle Bitcoin-wallets die de groep gebruikt bekend zijn. Webster adviseert organisaties om hun RDP-systemen goed te beveiligen, back-ups te maken en over een incident-responseplan te beschikken en dit ook te testen. Daarnaast kan de groep door middel van systeemmonitoring ook tijdens de aanval zelf worden opgemerkt. De SamSam-groep werkt namelijk met bekende tools als Mimikatz. bron: security.nl

Anti-virusbedrijf G Data heeft vandaag een gratis "Meltdown & Spectre Scanner" gelanceerd die systemen op verschillende zaken met betrekking tot de twee aanvallen controleert. De gratis tool controleert of recente Windows-updates zijn geïnstalleerd, of de processor van de computer kwetsbaar is, de gebruikte Windows-versie, bios-updates en of er een compatibele virusscanner is geïnstalleerd. Om problemen door incompatibele anti-virusproducten te voorkomen worden Microsoft-beveiligingsupdates vanaf 3 januari, waaronder die voor Spectre en Meltdown, alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren. Na het uitvoeren van de test zal de Meltdown & Spectre Scanner verschillende tips geven om het systeem te beveiligen. De afgelopen weken zijn verschillende scanprogramma's voor de cpu-kwetsbaarheden verschenen. Deze week kwam Microsoft al met een soortgelijke gratis oplossing voor organisaties. In januari ontwikkelde beveiligingsonderzoeker Steve Gibson een gratis tool die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. Een paar dagen na het bekend worden van de aanvallen kwam het Duitse softwarebedrijf Ashampoo met de "Spectre Meltdown CPU Checker". bron: security.nl

Criminelen hebben Google Adwords gebruikt voor een phishingaanval op Bitcoin-gebruikers, zo laat Cisco vandaag weten. Als gebruikers bij Google op bepaalde zoektermen zochten zoals "blockchain" of "bitcoin wallet" kregen ze advertenties te zien die zich voordeden als de website Blockchain.info, waar het mogelijk is om een Bitcoin-wallet aan te maken. De advertenties wezen echter naar phishingsites waarvan de domeinnaam erg leek op die van Blockchain.info. Als gebruikers op de phishingsites inlogden werden hun inloggegevens naar de aanvallers doorgestuurd. Die konden zo toegang tot de bitcoins van hun slachtoffers krijgen. Cisco schat aan de hand van de Bitcoin-wallet die de aanvallers gebruikten dat ze zo'n 10 miljoen dollar hebben gestolen. Het gebruik van Google-advertenties om internetgebruikers naar phishingsites te lokken is niet nieuw. Eind vorig jaar werd de tactiek tegen Knab-klanten ingezet. bron: security.nl

Chipgigant Intel heeft het programma waarbij het onderzoekers beloont voor het melden van kwetsbaarheden uitgebreid en de beloningen verhoogd. Vorig jaar maart lanceerde Intel een gesloten "bug bounty" programma waar onderzoekers alleen op uitnodiging aan konden deelnemen. Nu is het beloningsprogramma voor iedereen opengesteld. Ook is de maximale beloning die onderzoekers in dit programma kunnen krijgen verhoogd naar 100.000 dollar, afhankelijk van de ernst van de kwetsbaarheid die ze rapporteren. Het beloningsprogramma richt zich op kwetsbaarheden in de processors, chipsets, solid state drives, firmware, drivers, applicaties en controllers van Intel. Naast het standaardbeloningsprogramma heeft Intel vandaag ook een nieuw programma voor "sidechannelaanvallen" zoals Spectre en Meltdown aangekondigd. Bij dergelijke aanvallen wordt informatie verkregen via de fysieke implementatie van een computersysteem, geheugen of processor, in plaats van dat er een kwetsbaarheid in een algoritme wordt gebruikt. Voor dergelijke kwetsbaarheden looft Intel tot 250.000 dollar uit. Dit speciale programma loopt tot 31 december van dit jaar. bron: security.nl

Organisaties die willen weten of hun Windows-computers tegen de Spectre- en Meltdown-aanvallen beschermd zijn kunnen dit voortaan via Windows Analytics achterhalen. Dit is een gratis dienst van Microsoft die informatie over Windows-computers binnen de organisatie verzamelt en via een centraal dashboard weergeeft. Het gaat dan bijvoorbeeld om de status van updates en anti-virussoftware. De dienst kan nu ook detecteren welke Spectre- en Meltdown-updates op een systeem zijn geïnstalleerd. Om tegen de aanvallen beschermd te zijn moeten er zowel besturingssysteem- als bios-updates zijn geïnstalleerd. Daarnaast moet ook de anti-virussoftware compatibel met de laatste Windows-updates zijn. Als er niet aan al deze drie eisen wordt voldaan, kunnen systemen nog steeds risico lopen. Windows Analytics laat nu zien wat de status van anti-virussoftware, beveiligingsupdates en bios-updates is met betrekking tot Spectre en Meltdown. bron: security.nl

Tijdens de patchcyclus van februari heeft Microsoft 50 kwetsbaarheden gedicht in Windows, Internet Explorer, Edge, Outlook, Office en ChakraCore waardoor een aanvaller in het ergste geval kwetsbare systemen had kunnen overnemen. Eén van de kwetsbaarheden, een manier om de beveiliging van Edge te omzeilen, was al voor het verschijnen van de beveiligingsupdate openbaar, maar volgens Microsoft is er geen misbruik van gemaakt. De meest kritieke kwetsbaarheden bevinden zich in de scripting engine van Internet Explorer 11 en Edge. Alleen door het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Ook via kwetsbaarheden in Microsoft Office en Outlook was het mogelijk om willekeurige code uit te voeren, maar hierbij had een gebruike eerst nog een kwaadaardig bestand moeten openen. Verder zijn er verschillende beveiligingslekken in de Windows-kernel, Microsoft Office en Windows Embedded OpenType (EOT) font engine verholpen waardoor een aanvaller informatie had kunnen achterhalen, alsmede kwetsbaarheden waardoor een aanvaller zijn rechten had kunnen verhogen of een denial of service veroorzaken. Op de meeste Window-systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Het updatemechanisme van Skype op Windows is kwetsbaar voor een dll-aanval waardoor een aanvaller in het ergste geval volledige controle over een systeem kan krijgen, zo waarschuwt onderzoeker Stefan Kanthak op de Full Disclosure-mailinglist. Bij een dll-aanval wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap. Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo het bestand laten uitvoeren en de computer infecteren. Hoewel Skype onderdeel van Microsoft is en ook als optionele update door Windows wordt aangeboden, maakt de voip-applicatie gebruik van een eigen updatemechanisme. Deze updater, die met systeemrechten draait, gebruikt een ander uitvoerbaar bestand om de update uit te voeren. Dit uitvoerbare bestand bevindt zich in een tijdelijke (temp) map. Wanneer een aanvaller in deze map zijn kwaadaardige dll-bestand weet te krijgen, zal de Skype-updater die uitvoeren. Op deze manier is het ook mogelijk voor een lokale gebruiker zonder rechten om systeemrechten te krijgen. Kanthak, die in het verleden veel meer van dergelijke dll-aanvallen ontdekte, waarschuwde Microsoft in september vorig jaar. Eind oktober liet Microsoft weten dat de oplossing van het probleem in een nieuwere versie van Skype zal worden verwerkt en er geen aparte beveiligingsupdate komt. De onderzoeker heeft nu zijn bevindingen openbaar gemaakt. bron: security.nl

Gebruikers van de Windows-versie van de chatt-app Telegram waren vorig jaar gedurende enkele maanden het doelwit van een RTLO-aanval, zo laat anti-virusbedrijf Kaspersky Lab weten. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Als voorbeeld noemen de onderzoekers een bestand met de naam photo_high_re[unicode-karakter]gnp.js dat een aanvaller naar een doelwit had kunnen sturen. Door het gebruik van het unicode-karakter kregen Telegram-gebruikers de bestandsnaam photo_high_resj.png te zien. Hierdoor lijkt het om een afbeelding te gaan, terwijl het in werkelijkheid een JavaScript-bestand is. Bij het openen van het JavaScript-bestand krijgen gebruikers wel een waarschuwing te zien dat het om een JavaScript-bestand gaat. Vervolgens moet de gebruiker bevestigen dat hij het bestand wil openen. Wanneer dit wordt gedaan zal het JavaScript-bestand malware op het systeem installeren. Via de malware hadden aanvallers volledige controle over het systeem en konden aanvullende modules installeren. Het ging onder andere om modules die de besmette computer naar cryptovaluta lieten mijnen. Kaskersy Lab ontdekte de aanval in oktober vorig jaar. Verder onderzoek wees uit dat de aanvallen tegen de Windows-versie van Telegram sinds maart 2017 plaatsvonden. Na te zijn ingelicht heeft Telegram het probleem verholpen zodat RTLO-aanvallen niet meer werken en de werkelijke bestandsnaam wordt weergegeven. Of ook andere Telegram-versies kwetsbaar waren kan Kaspersky Lab niet zeggen. bron: security.nl

Microsoft heeft besloten om Windows Defender Advanced Threat Protection (ATP) ook op Windows 7 en 8.1 te gaan ondersteunen. Windows Defender ATP werd in 2016 door Microsoft gelanceerd en is een dienst die organisaties tegen geavanceerde aanvallen moet beschermen. Het maakt gebruik van de beveiligingsmaatregelen die in Windows 10 aanwezig zijn en biedt aanvullende technologie voor het vinden, onderzoeken en reageren op malware en andere aanvallen. Via een dashboard geeft het organisaties een overzicht van de status van apparaten en incidenten binnen hun netwerk. Onlangs besloot Microsoft om de anti-virussoftware van andere anti-virusbedrijven binnen Windows Defender ATP te integreren, zodat ook dreigingen op andere platformen als Linux en macOS zichtbaar worden. Nu maakt de softwaregigant bekend dat de ondersteuning van de dienst wordt uitgebreid naar Windows 7 en 8.1. De reden hiervoor is volgens Microsoft dat er bedrijven zijn waar Windows 7 en Windows 10 naast elkaar draaien. Daarom zal Windows 7 tot het einde van Microsofts ondersteuning in januari 2020 ook binnen Windows Defender ATP worden ondersteund. Bedrijven kunnen zo de status van hun apparaten binnen één oplossing bekijken en verdacht gedrag op Windows 7- en 8.1-machines detecteren, aldus Microsoft. bron: security.nl

Mozilla gaat een beveiligingsmaatregel binnen Firefox doorvoeren die gebruikers tegen cache-aanvallen via http moet beschermen. De browser beschikt over een feature genaamd Application Cache (AppCache) waarmee websites ook offline kunnen werken, websites sneller worden geladen en serverbelasting wordt verminderd. Hierbij wordt er informatie van de website lokaal op het systeem opgeslagen. AppCache kent echter verschillende beperkingen als het gaat om het controleren of de cache moet worden vernieuwd. Een aanvaller kan hier misbruik van maken en ervoor zorgen dat de browser de opgeslagen cache nooit zal vernieuwen. Mozilla geeft als voorbeeld een scenario waarbij een gebruiker via een openbaar wifi-netwerk het internet opgaat. Zelfs als deze gebruiker slechts één website via http bezoekt, kan de aanvaller door middel van onveilige iframes kwaadaardige content in de cache plaatsen en zodoende al die websites voor altijd manipuleren. Zelfs een voorzichtige gebruiker die alleen thuis op websites inlogt loopt door deze "oude cache" risico, aldus Mozilla. Om gebruikers tegen een dergelijke aanval te beschermen zullen testversies vanaf Firefox 60 http-pagina's geen toegang meer tot de AppCache geven. Alleen bij een onversleutelde verbinding kan een aanvaller namelijk de inhoud van het verkeer en zo de cache manipuleren. Met de lancering van Firefox 62 zal Application Cache voor http-websites ook in de standaardversie worden verwijderd, zo laat Mozilla weten. Ook andere browsers zoals Chrome, Edge en WebKit waar Safari van gebruikmaakt hebben aangegeven deze maatregel door te zullen voeren. Het uiteindelijke plan is om steeds meer features van Firefox alleen maar toegankelijk voor https-sites te maken. Firefox 62 staat gepland voor 21 augustus van dit jaar. bron: security.nl

Gisteren is op meer dan 4.000 websites een cryptominer verschenen omdat de voorleesplug-in waar de websites gebruik van maken was gehackt. Het gaat onder andere om Amerikaanse en Britse overheidssites, zo laten beveiligingsonderzoekers Scott Helme en Troy Hunt weten. Aanvallers wisten de voorleesplug-in Browsealoud van het bedrijf TextHelp te compromitteren. Via deze plug-in is het mogelijk om tekst op websites voor te laten lezen. De JavaScript-library waar de plug-in gebruik van maakt was door de aanvallers aangepast, waardoor er een cryptominer op de websites werd geïnjecteerd. Deze cryptominer draait in de browser en gebruikt de rekenkracht van de computer om cryptovaluta te mijnen. TextHelp bevestigt dat code van de browserplug-in was aangepast. Het bedrijf stelt verder dat er geen klantgegevens zijn benaderd of verloren gegaan. "Het aangepaste bestand was alleen gebruikt om computers naar cryptocurrency te laten mijnen. De exploit was voor een periode van vier uur op zondag actief", aldus cto Martin McKay. De gehackte voorleesplug-in verscheen onder andere op de websites van de Britse privacytoezichthouder ICO, de Britse National Health Service en Amerikaanse rechtbanken. bron: security.nl

Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang tot lokale bestanden van de gebruiker geven, zo waarschuwen de ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk om via een url data in een document te laden, bijvoorbeeld van een programmeerinterface (api). Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen. Andere formules in het document kunnen van die geïnjecteerde data gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren zou een aanvaller het slachtoffer wel eerst een kwaadaardig document moeten laten openen. "Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn kwetsbaar. bron: security.nl

Computerfabrikant Lenovo waarschuwt gebruikers van verschillende ThinkPad-modellen voor twee ernstige wifi-lekken waardoor een aanvaller willekeurige code op de wifi-chip kan uitvoeren. De kwetsbaarheden bevinden zich in de wifi-firmware van de Broadcom-wifi-chip en werden vorig jaar september onthuld. De beveiligingslekken werden door Google-onderzoeker Gal Beniamini ontdekt en bevonden zich onder andere in de wifi-firmware van de iPhone en verschillende Android-toestellen. Daar zijn ze inmiddels gepatcht. Ook verschillende ThinkPad-modellen bleken kwetsbaar te zijn. Lenovo laat weten dat Broadcom in eerste instantie niet van plan was om deze kwetsbaarheden te verhelpen. "Maar toen het KRACK-probleem ook opdook combineerde Broadcom beide oplossingen in één verzameling driver-updates", aldus de computerfabrikant in de advisory. Lenovo ontving de eerste van de updates eind 2017 en is sindsdien bezig met het testen van de updates. De kwetsbaarheid is nu gepatcht in de ThinkPad 10, ThinkPad L560, ThinkPad P50s, ThinkPad T460, ThinkPad T460p, ThinkPad T460s, ThinkPad T560, ThinkPad X260, ThinkPad Yoga 260 en ThinkPad S1. Het probleem is ook aanwezig in de ThinkPad L460, maar het is nog onbekend wanneer dit model de update zal ontvangen. bron: security.nl

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft 45.000 dollar uitgeloofd voor een zeroday-lek in Linux. Het moet gaan om een kwetsbaarheid waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten verder kan verhogen. Specifiek wordt er gezocht naar een exploit die met de standaardinstallatie van Ubuntu, Debian, CentOS, Red Hat Enterprise Linux en Fedora werkt. Normaliter betaalt Zerodium voor een dergelijke aanval tot 30.000 dollar. Tot 31 maart is het bedrag verhoogd naar 45.000 dollar. Onlangs kwam het bedrijf ook al in het nieuws omdat het tijdelijk 1 miljoen dollar uitloofde voor kwetsbaarheden waarmee gebruikers van Tor Browser kunnen worden aangevallen. Dat beloningsprogramma is inmiddels beëindigd, maar Zerodium wil niet zeggen of het bruikbare exploits heeft opgeleverd. Het bedrijf meldt op de eigen website dat het verkregen zeroday-exploits aan een "beperkt aantal" bedrijven en overheden doorverkoopt. bron: security.nl

Mijn eerste idee is juist de voeding. Is er een computerwinkeltje in de buurt die deze voor je zou kunnen doormeten?

Vandaag is versie 3.0 van de populaire mediaspeler VLC media player verschenen die lang op beveiligingsupdates zal kunnen rekenen, zo heeft ontwikkelaar VideoLAN aangekondigd. De 3.0-versie van VLC is aangemerkt als "Long Term Support" en zal de laatste versie zijn voor Windows XP en Vista, Mac OS X Lion, Mountain Lion en Mavericks, iOS 7 en 8 en Android 2.x tot en met 4.1.x. VideoLAN laat wel weten dat de ondersteuning van Windows XP op een "best-effort basis" zal zijn. De mediaspeler zou op de oude Windows-versie moeten blijven werken, maar niet zonder beperkingen. Naast allerlei audiovisuele verbeteringen en features ondersteunt VLC 3.0 ook keystores voor het laden en opslaan van wachtwoorden voor veelgebruikte protocollen zoals http, smb, sftp, ftp en rtsp. In de aankondiging van de nieuwe mediaspeler wordt geen melding gemaakt van verholpen kwetsbaarheden. In december werd bekend dat de Europese Commissie een beloningsprogramma is gestart om kwetsbaarheden in VLC financieel te belonen. De mediaspeler is op alle workstations van de Europese Commissie geïnstalleerd. VLC media player 3.0 is te downloaden via VideoLAN.org. bron: security.nl

Aanbieder van remote beheersoftware LogMeIn waarschuwt gebruikers voor malware die zich voordoet als een LogMeIn-update, maar in werkelijkheid kassasystemen infecteert om creditcardgegevens te stelen. De malware wordt via een domein verspreid met daarin de naam "service-logmeln". Mogelijk versturen de aanvallers e-mails waarin ze naar dit domein linken. De "update" die via het domein wordt aangeboden is een zichzelf uitpakkend 7-Zip-bestand dat de bestanden "LogmeinServicePack_5.115.22.001.exe" en "logmeinumon.exe" bevat, zo laat securitybedrijf Proofpoint weten. Dit is de uiteindelijke kassamalware die creditcardgegevens probeert te stelen. Opvallend is dat de malware opgevangen creditcardgegevens via dns naar de aanvallers kan versturen. Proofpoint weet niet of de malware al actief wordt ingezet. "Hoewel het gebruik van LogMeIn-gerelateerde bestandsnamen en domeinen, gecombineerd met een eerdere op Intel-gebaseerde variant, suggereert dat dit mogelijk wel het geval is", zegt onderzoeker Robert Neumann. LogMeIn waarschuwt gebruikers dat updates nooit via e-mail worden verspreid. "Accepteer alleen updates die direct vanuit het LogMeIn-programma afkomstig zijn", aldus LogMeIn-engineer Attila Torok. bron: security.nl

Een beveiligingsonderzoeker heeft details van meerdere kwetsbaarheden in routers en modems van Netgear openbaar gemaakt, omdat de netwerkfabrikant updates voor de beveiligingslekken heeft uitgebracht. Via de lekken kan een aanvaller in het ergste geval toegang tot het apparaat krijgen. Ook bleek het mogelijk om op sommige routers en modems bestanden te benaderen en wachtwoorden te achterhalen. De kwetsbaarheden werden gevonden door onderzoeker Martin Rakhmanov van securitybedrijf Trustwave en werden in december door Netgear gepatcht. Aangezien de meeste routers en modems zichzelf niet automatisch updaten krijgen gebruikers het advies om de updates zelf te installeren. Op de website van Netgear is een overzicht van kwetsbare apparaten te vinden. Vorige maand kwam Netgear met een waarschuwing voor de Spectre- en Meltdown-aanvallen. Meer dan dertig ReadyNAS- en ReadyDATA-modellen zijn kwetsbaar. De netwerkfabrikant is van plan om firmware-updates uit te brengen om gebruikers te beschermen. Acht kwetsbare modellen worden echter niet meer ondersteund en zullen geen update ontvangen. Als tijdelijke oplossing adviseert Netgear om SSH op de apparaten uit te schakelen en alleen applicaties van betrouwbare bronnen te installeren. Volgens Netgear is het risico op aanvallen klein en hoeven gebruikers kwetsbare apparaten niet uit te schakelen of uit hun netwerk te verwijderen. bron: security.nl

Google Chrome gaat vanaf begin juli alle http-sites op internet als "Niet veilig" bestempelen. Dit moet ervoor zorgen dat meer websites op het beveiligde https overstappen. Google is al geruime tijd bezig met het plan om gebruikers voor http-sites te waarschuwen. Het verkeer tussen http-sites en hun bezoekers is niet beveiligd en kan zo worden onderschept en aangepast. In 2014 kondigde de internetgigant het plan al aan. Mede door de lancering van de certificaatautoriteit Let's Encrypt, dat gratis tls-certificaten uitgeeft en een eenvoudige installatieprocedure aanbiedt, is het aantal https-sites sterk gestegen. Volgens Google gaat meer dan 68 procent van al het Chrome-verkeer op zowel Android als Windows via https. Op Chrome OS en macOS is dit zelfs meer dan 78 procent. Verder maken 81 van de top 100 populairste websites op internet standaard gebruik van https. Met de lancering van Chrome 68 begin juli dit jaar zal bij http-sites onderstaande waarschuwing verschijnen. bron: security.nl

Een ernstig beveiligingslek in de vpn-functie van de Cisco ASA-firewalls wordt actief aangevallen, zo waarschuwt Cisco. Via de kwetsbaarheid kan een aanvaller op afstand het systeem overnemen. Wereldwijd zouden 120.000 ASA-firewalls de vpn-functie hebben ingeschakeld en mogelijk risico lopen. De Adaptive Security Appliance (ASA) software is het besturingssysteem van Cisco-firewalls en andere netwerkapparaten. De software beschikt over een vpn-functionaliteit waarin de kwetsbaarheid zich bevindt. Wanneer die staat ingeschakeld kan een aanvaller door het versturen van xml-pakketten naar de interface van het systeem een denial of service veroorzaken of willekeurige code uitvoeren en zo het systeem volledig overnemen. Cisco rolde een update uit, maar die bleek niet volledig te zijn. Niet alleen waren er andere manieren om de kwetsbaarheid aan te vallen, ook bleken andere features binnen de ASA-software kwetsbaar te zijn. Daarop kwam Cisco met een nieuwe update. Daarnaast zijn niet voor alle klanten updates beschikbaar gemaakt. Volgens Cato Networks zijn er wereldwijd 120.000 ASA-firewalls waar de vpn-functionaliteit staat ingeschakeld. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld. bron: security.nl

Afgelopen maandag kwam WordPress met een onderhoudsupdate, maar een fout in de update zorgt ervoor dat de automatische updatefunctie van miljoenen WordPress-sites niet meer werkt. Gebruikers moeten dan ook handmatig de update installeren die het probleem verhelpt, anders zal hun website niet meer automatisch updates kunnen installeren en zo kwetsbaar voor eventuele beveiligingsproblemen blijven. Vier jaar geleden lanceerde WordPress de functionaliteit waardoor het contentmanagementsysteem zichzelf kan updaten. WordPress 4.9.3 die op maandag 5 februari werd uitgebracht bevatte een ernstig bug die ervoor zorgt dat WordPress niet naar versie 4.9.4 kan updaten, waarmee het probleem wordt verholpen. Gebruikers moeten zelf op het contentmanagementsysteem inloggen en vanaf het dashboard de update installeren. In het geval van hostingbedrijven die WordPress-hosting aanbieden kunnen die de update voor hun klanten installeren, zo stelt Dion Hulse van WordPress. WordPress wordt door 29,4 procent van alle websites op internet gebruikt, aldus cijfers van W3Techs. bron: security.nl

Intel heeft nieuwe microcode-updates voor de Spectre- en Meltdown-aanvallen uitgerold, nadat eerdere updates voor allerlei problemen zorgden. Gebruikers klaagden na de installatie van de eerdere updates over herstartende systemen en ander onverwacht systeemgedrag. Daarop waarschuwde Intel gebruikers en organisaties om de updates niet te installeren en kregen fabrikanten het verzoek om de updates niet meer aan te bieden. De nieuwe microcode-updates zijn nu voor verschillende Skylake-gebaseerde platformen uitgebracht. In de komende dagen zullen de updates ook voor andere platformen verschijnen. Deze updates moeten vervolgens door computerfabrikanten tot bijvoorbeeld een bios-update worden verwerkt die eindgebruikers kunnen installeren. Navin Shenoy van Intel stelt dat het belangrijk is voor gebruikers om hun systeem up-to-date te houden. Uit onderzoek blijkt dat er nogal een lange tijd zit tussen de beschikbaarheid van updates en het moment dat gebruikers ze daadwerkelijk installeren. Zo stelt het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid dat 85 procent van de gerichte aanvallen is te voorkomen door onder andere beveiligingsupdates te installeren. Intel verwacht dat onderzoekers en aanvallers uiteindelijk nieuwe varianten van de oorspronkelijke Spectre- en Meltdown-aanvallen zullen ontwikkelen. bron: security.nl

Microsoft heeft aan een nieuwe testversie van Windows 10 een optie toegevoegd waardoor gebruikers de diagnostische data kunnen verwijderen die Microsoft van het systeem heeft verzameld. Eind januari werd al bekend dat het besturingssysteem een optie zou krijgen om diagnostische data te bekijken. Windows 10 biedt twee niveaus voor het verzamelen van diagnostische data, namelijk standaard en volledig. Op het basisniveau worden zaken teruggestuurd als apparaat-, connectiviteit- en configuratiegegevens, beperkte foutrapportages en de status van update-installaties. Bij het volledige niveau worden de gegevens van het basisniveau verstuurd, aangevuld met extra gegevens over het apparaat, de connectiviteit en de configuratie, alsmede app- en browsergebruik, fragmenten van handgeschreven en getypte tekst en uitgebreidere foutrapportages. Via de Diagnostic Data Viewer kunnen gebruikers de door Microsoft verzamelde diagnostische data bekijken. In Windows 10 Insider Preview Build 17093 is het nu ook mogelijk om de gegevens te verwijderen. Microsoft laat weten dat als gebruikers een Microsoft Account hebben er mogelijk aanvullende diagnostische data is om te verwijderen. Dit kan via het Microsoft Account-portaal. Verder is in de nieuwste testversie van Windows 10 het menu met beveiligingsinstellingen hernoemd van "Windows Defender" naar "Windows Security". De opties om diagnostische data te bekijken en verwijderen zal op een later moment onder alle Windows 10-gebruikers worden uitgerold. bron: security.nl

De populaire vpn-dienst Hotspot Shield ontkent dat een kwetsbaarheid ervoor zorgt dat het echte ip-adres van gebruikers kan lekken. Onderzoeker PaulosYibelo maakte vorige week een beveiligingslek bekend waardoor het mogelijk zou zijn om allerlei informatie over Hotspot Shield-gebruikers te achterhalen, waaronder hun ip-adres. Omdat de vpn-provider naar eigen zeggen niet reageerde besloot Yibelo de details openbaar te maken zonder dat het probleem is gepatcht. Hotspot Shield claimt 500 miljoen gebruikers wereldwijd te hebben en zorgt ervoor dat het verkeer van gebruikers via een beveiligde vpn-tunnel loopt. Daardoor kunnen bijvoorbeeld internetproviders niet zien welke websites hun abonnees bezoeken en is het mogelijk om bepaalde websites die in een land worden geblokkeerd toch te bezoeken. Yibelo stelt dat een kwaadaardige website met de lokale webserver van Hotspot Shield op het systeem van de gebruiker kan communiceren en zo allerlei gegevens kan opvragen. De website ZDNet bevestigt dat het met de proof-of-concept van Yibelo mogelijk is om de naam van het wifi-netwerk van een gebruiker te achterhalen. "Door informatie zoals de naam van het wifi-netwerk prijs te geven kan een aanvaller lokaliseren waar het slachtoffer zich bevindt", aldus de onderzoeker. Die stelt dat in bepaalde gevallen het ook mogelijk is om het echte ip-adres van het slachtoffer te zien, maar dat ontkent Hotspot Shield. Volgens de vpn-dienst zorgt de kwetsbaarheid ervoor dat "generieke informatie zoals het land van de gebruiker" kan lekken, maar geen ip-adres of andere persoonlijke informatie. Deze week zal Hotspot Shield een update uitrollen om het informatielek te verhelpen. bron: security.nl

Oplichters die zich als medewerkers van Microsoft voordoen maken gebruik van kwaadaardige advertenties en websites die Google Chrome via een "downloadbom" laten vastlopen, in de hoop dat mensen het opgegeven telefoonnummer bellen. Dat laat anti-malwarebedrijf Malwarebytes weten. De kwaadaardige advertenties sturen internetgebruikers door naar een webpagina die over twee functies beschikt genaamd "bomb_ch" en "ch_jam". Deze functies laten Chrome een groot aantal downloads tegelijkertijd uitvoeren waardoor de browser niet meer reageert. De webpagina heeft dan al een pop-up getoond waarin wordt beweerd dat de computer met een virus is besmet en "Microsoft" moet worden gebeld. Het opgegeven telefoonnummer is niet van Microsoft, maar van oplichters die slachtoffers proberen te laten betalen voor het verhelpen van het zogenaamde probleem. Het komt ook voor dat de oplichters geld van de rekening van slachtoffers stelen. Ze laten het slachtoffer namelijk software installeren waarmee de computer op afstand kan worden overgenomen. Volgens Malwarebytes zijn Google Chrome-gebruikers op Windows het voornaamste doelwit. Gebruikers kunnen zich beschermen door een adblocker te gebruiken, zodat ze niet naar de kwaadaardige pagina's worden doorgestuurd. Wanneer Chrome is vastgelopen kan de browser middels Windows Taakbeheer worden gesloten. In de onderstaande afbeelding is links de melding te zien die gebruikers op hun scherm krijgen. De rechter afbeelding laat zien wat er gebeurt wanneer er wordt geprobeerd om de tab op een krachtige computer aan het begin te sluiten. bron: security.nl