Captain Kirk

De bruteforce-aanvallen op WordPress-sites waar eerder deze week voor werd gewaarschuwd zijn afkomstig van een botnet dat als doel heeft om op gehackte WordPress-servers een cryptominer te installeren. Dat laat securitybedrijf Wordfence weten. Het botnet probeert via allerlei combinaties van gebruikersnamen en wachtwoorden toegang tot WordPress-sites te krijgen. Wanneer de aanval succesvol is wordt er malware geïnstalleerd die de server bruteforce-aanvallen op andere WordPress-sites laat uitvoeren, alsmede de rekenkracht van de machine gebruikt voor het minen van de cryptocurrency Monero. Twee wallets die de aanvallers gebruiken hebben inmiddels 217 Monero verzameld, wat op dit moment 103.000 euro is. Waarschijnlijk maken de aanvallers gebruik van meer wallets, waardoor het werkelijke bedrag hoger ligt, aldus onderzoeker Brad Haas. bron: security.nl

Microsoft en Facebook hebben vorige week verschillende maatregelen genomen om gebruikers tegen malware van de Lazarus-groep te beschermen, een groep aanvallers die verantwoordelijk wordt gehouden voor de uitbraak van de WannaCry-ransomware. De acties van Facebook en Microsoft werden gisteren tijdens eens persconferentie van het Witte Huis genoemd, maar details ontbraken. In een verklaring stelt Microsoft dat het heeft geholpen bij het verstoren van de malware waar de Lazarus-groep gebruik van maakt, besmette systemen van klanten heeft opgeschoond en accounts heeft uitgeschakeld waarmee cyberaanvallen werden uitgevoerd. Ook zou de beveiliging van Windows zijn versterkt om nieuwe infecties te voorkomen. Specifieke details worden niet door Microsoft gegeven, maar de softwaregigant zegt dat het de komende maanden meer informatie zal vrijgeven. Een van de genomen maatregelen is mogelijk het uitschakelen van de DDE-feature in Word. De feature werd bij gerichte aanvallen ingezet om doelwitten met malware te infecteren. Microsoft-topman Brad Smith laat verder weten dat Microsoft blij is dat de Verenigde Staten, Groot-Brittannië, Australië, Canada, Nieuw-Zeeland en Japan gisteren Noord-Korea als verantwoordelijke voor de WannaCry-ransomware hebben genoemd. "Om het groeiende aantal aanvallen van naties op burgers te stoppen moeten overheden bereid zijn om de landen te noemen die ze uitvoeren. De aankondiging van vandaag is een belangrijke stap van overheid en private sector om het internet veiliger te maken." bron: security.nl

Google Chrome zal vanaf 15 februari volgend jaar bepaalde advertenties gaan blokkeren, zo heeft de internetgigant aangekondigd. Het gaat dan om advertenties die niet aan de standaarden van de Coalitie voor Betere Advertenties (CBA) voldoen. De coalitie bestaat uit uitgevers en advertentie- en techbedrijven. Ook Google is lid van de coalitie. Volgens de internetgigant zorgen opdringerige en vervelende reclames ervoor dat steeds meer mensen een adblocker installeren, wat weer gevolgen voor websites heeft, aangezien die in veel gevallen afhankelijk van advertentie-inkomsten zijn. Door het opstellen van nieuwe standaarden wil de CBA voor betere advertenties zorgen. Zo zijn pop-upadvertenties, video-advertenties met geluid die automatisch worden afgespeeld, advertenties die voor het openen van de website verschijnen en over een aftelklok beschikken en grote advertenties niet meer toegestaan voor desktopomgevingen. Voor mobiele apparaten is de lijst met afgekeurde advertenties nog iets langer. Nergens gaat de CBA echter in op de veiligheids- en privacyrisico's van advertenties, bijvoorbeeld in het geval van malvertising en advertentietrackers. Het "Better Ads Experience" programma van de coalitie gaat volgende maand van start. Een maand later zal Google in Chrome advertenties gaan blokkeren die niet aan de CBA-standaarden voldoen. bron: security.nl

Gebruikers van Windows 10 die het wachtwoord van hun lokale account vergeten zijn kunnen die straks via het beantwoorden van een aantal beveiligingsvragen resetten. Microsoft heeft de optie aan een testversie van het besturingssysteem toegevoegd en zal die later onder gebruikers uitrollen. Met de lancering van de Fall Creators Update het al mogelijk voor gebruikers die met hun Microsoft-account op Windows inloggen om vanaf het inlogscherm het wachtwoord te resetten. Nu zal de optie ook voor lokale accounts beschikbaar worden. Hiervoor moeten gebruikers eerst een aantal beveiligingsvragen en antwoorden instellen. In het geval gebruikers hun wachtwoorden vergeten zijn kunnen ze vervolgens door het beantwoorden van de eerder ingestelde beveiligingsvragen het wachtwoord resetten. De nieuwe feature is nu al te te testen in Windows 10 Insider Preview Build 17063. bron: security.nl

Meer dan 300.000 WordPress-sites zijn getroffen door een backdoor die in een populaire plug-in aanwezig was. Het gaat om de plug-in met de naam Captcha. De plug-in, die invoervelden op WordPress-sites van een captcha voorziet, werd oorspronkelijk door softwarebedrijf BestWebSoft beheerd. Op 5 september kreeg Captcha echter een nieuwe eigenaar. Deze nieuwe eigenaar heeft in het verleden vaker WordPress-plug-ins overgenomen om voor dubieuze zaken te gebruiken en van backdoors te voorzien. In dit geval zorgde een aanpassing van Captcha ervoor dat de plug-in een zip-bestand downloadde waarmee de ontwikkelaar van de plug-in beheerderstoegang tot ruim 300.000 WordPress-sites kreeg. De installatiecode van de backdoor is echter ongeauthenticeerd, wat inhoudt dat iedereen die kan aanroepen, zo waarschuwt securitybedrijf Wordfence. Het bedrijf zal over 30 dagen de technische details openbaar maken van hoe de backdoor precies werkt. De backdoor zat verborgen in versie 4.3.6 tot en met versie 4.4.4. Het WordPress.org plug-inteam heeft inmiddels een update uitgebracht die de backdoor verhelpt. Toch krijgen WordPress-beheerders het advies van Wordfence om de plug-in te verwijderen. bron: security.nl

De WannaCry-ransomware is nog altijd zeer actief en heeft sinds de uitbraak op 12 mei miljoenen systemen geprobeerd te infecteren, zo meldt securitybedrijf Kryptos Logic. Een beveiligingsonderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde. Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. In een nieuwe analyse stelt het securitybedrijf dat de killswitch 900 miljoen cumulatieve aanvallen verspreid over miljoenen ip-adressen heeft voorkomen. Hoewel WannaCry gebruik maakt van een Windows-kwetsbaarheid die sinds maart door Microsoft is gepatcht, zijn er nog steeds systemen bij bedrijven die besmet raken. Hiervoor zijn verschillende redenen te geven. Zo werken bedrijven met Windows-images die zijn gemaakt voordat de update voor het beveiligingslek werd uitgerold. Systemen die met deze images worden geïnstalleerd raken besmet voordat ze de update kunnen downloaden. Daarnaast worden oude Windows-images voor cloudsystemen gebruikt. Dit is met name een probleem in China, aldus Kryptos Logic. Ook zijn er nog veel organisaties en bedrijven die besmette systemen moeten opschonen en de updates binnen hun netwerken moeten uitrollen. Verder zorgen infrastructuur- en firewall-aanpassingen voor nieuwe besmettingen en dragen mkb-bedrijven bij aan nieuwe infecties. Gisteren maakte het Witte Huis bekend dat het Noord-Korea verantwoordelijk voor WannaCry houdt. bron: security.nl

Sinds gisteren is er een grootschalige bruteforce-aanval op WordPress-sites gaande waarbij aanvallers via duizenden ip-adressen op WordPress-sites proberen in te loggen. Dat laat securitybedrijf Wordfence weten. Het gaat volgens het bedrijf om meer dan 10.000 ip-adressen die 14,1 miljoen aanvallen per uur uitvoeren. Daarbij zijn tot 190.000 WordPress-sites per uur het doelwit. Bij een bruteforce-aanval proberen aanvallers via combinaties van gebruikersnamen en wachtwoorden in te loggen. "Historisch gezien zijn bruteforce-aanvallen op WordPress-sites niet succesvol", zegt Mark Maunder van Wordfence. Op 5 december verscheen er echter een grote database met gestolen inloggegevens online. Veertien procent van deze inloggegevens is niet eerder gezien. Daarnaast is de database eenvoudig te gebruiken en te doorzoeken. Volgens Maunder kunnen deze "verse inloggegevens" wanneer ze worden gecombineerd met een WordPress-gebruikersnaam voor een hoger succespercentage zorgen, wat de bruteforce-aanval zou kunnen verklaren. bron: security.nl

Ruim 1100 Lexmark-printers zijn toegankelijk via internet omdat gebruikers geen wachtwoord hebben ingesteld. Daarvoor waarschuwen onderzoekers van securitybedrijf NewSky Security. Doordat er geen wachtwoord is ingesteld kan een aanvaller dit doen en zo controle over de printer krijgen. De printers werden via de zoekmachine Shodan gevonden. Het ging in totaal om 1475 Lexmark-printers, waarvan er 1123 geen wachtwoord vereisten. 352 printers wezen naar een inlogpagina. De meeste printers werden in de Verenigde Staten gevonden, gevolgd door Duitsland en Brazilië. Een van de printers was van een Amerikaanse stad. Ruim 200 printers werden bij universiteiten aangetroffen. In het geval de printers een beveiligingslek bevatten zou een aanvaller op deze manier andere systemen in het netwerk kunnen aanvallen, zo waarschuwen de onderzoekers. Onlangs werd er nog een kwetsbaarheid in printers van fabrikant Brother gevonden, waardoor een denial of service kan worden veroorzaakt. De onderzoekers die dit probleem vonden ontdekten dat er ruim 16.000 kwetsbare Brother-printers via internet toegankelijk waren. bron: security.nl

Mozilla heeft aan een vroege testversie van Firefox 59 een optie toegevoegd om alle http-sites als onveilig te bestempelen, zo meldt webontwikkelaar Soeren Hentzschel. Firefox waarschuwt nu al bij http-websites die zonder een beveiligde verbinding inlog- en creditcardgegevens verwerken. Begin dit jaar maakte Mozilla al bekend dat het op den duur alle http-sites als onveilig in de browser gaat aanmerken. Al eerder waren de ontwikkelaars van de browser hiermee bezig. "De uitrol van https krijgt momentum en is de 50 procent gepasseerd. We moeten voorbereidingen treffen om http-sites als onveilig aan te merken, in plaats van https-sites als veilig aan te merken. Een eerste stap is een negatieve indicator voor alle http-sites, afgeschermd door een instelling die standaard uitgeschakeld staat", aldus Mozilla's Richard Barnes in het ticket waarin de maatregel wordt aangekondigd. Via de instelling "security.insecure_connection_icon.enabled" kunnen gebruikers van de testversie van Firefox 59 nu instellen dat de browser bij http-sites een icoon met een rode streep laat zien. Als gebruikers op het icoon klikken verschijnt er een pop-up die uitlegt dat de verbinding naar de website niet beveiligd is. De definitieve versie van Firefox 59 staat gepland voor 13 maart 2018. Onlangs liet Let's Encrypt weten dat van alle websites die Firefox-gebruikers dit jaar opvroegen 67 procent via een beveiligde https-verbinding werd aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden. bron: security.nl

Facebook heeft tools gepubliceerd waarmee ontwikkelaars en domeinhouders voor onterecht uitgegeven tls-certificaten worden gewaarschuwd, wat moet helpen bij het detecteren van man-in-the-middle-aanvallen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en hun bezoekers. Op dit moment zijn er honderden certificaatautoriteiten die voor nagenoeg elke website op het internet een geldig tls-certificaat kunnen uitgeven. Een hack van een dergelijke certificaatautoriteit, zoals DigiNotar, of in het geval van een malafide certificaatautoriteit, kan ervoor zorgen dat er tls-certificaten worden uitgegeven waarmee een aanvaller man-in-the-middle-aanvallen kan uitvoeren. Doordat het tls-certificaat van een vertrouwde certificaatautoriteit afkomstig wordt het namelijk door de browser vertrouwd, die zodoende geen waarschuwing aan de gebruiker laat zien. Om onterecht uitgegeven certificaten te detecteren bedacht Google een systeem genaamd Certificate Transparency. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van uitgegeven certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn. Tools van Facebook Vorig jaar december lanceerde Facebook al een monitoringtool voor Certificate Transparency-logs, waarmee ontwikkelaars en domeinhouders naar certificaten kunnen zoeken en een waarschuwing ontvangen wanneer er nieuwe certificaten voor hun domeinen zijn uitgegeven. Nu komt het sociale netwerk met verschillende nieuwe tools die bij de detectie van onterecht uitgegeven certificaten moeten helpen. Via de Webhooks-programmeerinterface kunnen ontwikkelaars een domein opgeven dat moet worden gemonitord. Elke keer dat Facebook een nieuw certificaat voor dit domein detecteert, wordt er een request met informatie over het certificaat naar de server van de ontwikkelaar gestuurd. Daarnaast is er ook een progammeerinterface (api) voor het analyseren van certificaten vrijgegeven en ondersteunt Facebook nu ook push-notificaties. In plaats van waarschuwingen per e-mail kunnen ontwikkelaars ook via Facebook voor onterecht uitgegeven certificaten worden gewaarschuwd. bron: security.nl

Een securitybedrijf heeft informatie over twee ongepatchte beveiligingslekken in de populaire forumsoftware vBulletin openbaar gemaakt waardoor een aanvaller op afstand code kan uitvoeren of willekeurige bestanden kan verwijderen. De kwetsbaarheden zijn aanwezig in vBulletin 5. Allerlei populaire websites maken gebruik van de forumsoftware, waarbij moet worden opgemerkt dat vBulletin 4 nog altijd het grootste marktaandeel van de verschillende vBulletin-versies heeft. De kwetsbaarheden werden door onderzoekers aan securitybedrijf Beyond Security gemeld, dat onderzoekers voor bugmeldingen betaalt. Beyond Security claimt dat het vBulletin op 21 november voor het eerst heeft gewaarschuwd, maar ondanks herhaaldelijke pogingen ontving het securitybedrijf geen reactie. 22 dagen later besloot Beyond Security om de details openbaar te maken. VBulletin laat op de eigen website weten dat het helemaal niet door het securitybedrijf is benaderd. De eerste keer dat vBulletin over de kwetsbaarheden werd ingelicht was via de posting van Beyond Security, aldus supportmedewerker Wayne Luke. Volgens de softwareontwikkelaar is het risico dat de kwetsbaarheden worden aangevallen klein en is er een update in ontwikkeling. Deze update zal "binnenkort" beschikbaar komen. bron: security.nl

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers via verschillende exploits cryptominers op systemen en netwerken installeren Het gaat om een exploit die gebruik maakt van een beveiligingslek in Apache Struts dat in maart van dit jaar werd gepatcht, zo meldt netwerkfabrikant F5 Networks. Het is dezelfde kwetsbaarheid waardoor ook de Amerikaanse kredietbeoordelaar Equifax werd gehackt. Verder maken de aanvallers ook gebruik van een exploit voor een beveiligingslek in het DotNetNuke (DNN) contentmanagementsysteem. Voor deze kwetsbaarheid is sinds juli een update beschikbaar. De aanvallen zijn zowel tegen Linux- als Windows-systemen gericht. Afhankelijk van de aangevallen omgeving wordt er na een succesvolle infectie een andere "payload" gebruikt. Wat verder aan de campagne opvalt is dat bij een succesvolle infectie van de Struts- of DNN-server de EternalBlue- en EternalSynergy-exploits worden gebruikt. Het gaat om twee exploits die bij de Amerikaanse geheime dienst NSA werden gestolen en begin dit jaar op internet verschenen. Op deze manier kunnen ongepatchte Windows-systemen in het netwerk met de "mule" malware worden geïnfecteerd. Deze malware is een cryptominer die besmette systemen naar de cryptocurrency Monero laat minen. Hoeveel systemen er inmiddels zijn besmet is onbekend. Een van de Monero-wallets die de aanvallers gebruiken zou inmiddels voor 8500 dollar aan Monero bevatten. bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in Keeper ontdekt, een met Windows 10 gebundelde wachtwoordmanager. Via de kwetsbaarheid zou een kwaadaardige of gehackte website alle in Keeper opgeslagen wachtwoorden kunnen stelen. Alleen het bezoeken van een dergelijke website met een kwetsbare versie van Keeper zou voldoende zijn. Ruim een jaar geleden had Ormandy het nagenoeg zelfde beveiligingslek in Keeper aangetroffen, dat destijds door de ontwikkelaar werd gepatcht. Onlangs ontdekte Ormandy in een schone Windows 10-installatie dat ook de Keeper-wachtwoordmanager was geïnstalleerd. Windows 10-gebruikers op Reddit maakten eerder dit jaar al melding van de aanwezigheid van Keeper, die standaard lijkt te worden mee-geïnstalleerd. Het duurde niet lang voordat Ormandy een ernstig lek in de wachtwoordmanager had gevonden. De kwetsbaarheid die de onderzoeker vorig jaar ontdekte bleek ook in de Windows 10-versie aanwezig te zijn. Een kleine aanpassing aan zijn exploit van vorig jaar was genoeg om in Keeper opgeslagen wachtwoorden te stelen. Na te zijn ingelicht kwam de ontwikkelaar binnen 24 uur met een update die onder gebruikers werd uitgerold. Op deze website geeft Ormandy een demonstratie van de kwetsbaarheid. Het is niet voor het eerst dat de onderzoeker ernstige kwetsbaarheden in wachtwoordmanagers vindt. Eerder was dit al het geval bij de programma's Dashlane en Lastpass. Op Twitter haalt Ormandy dan ook uit naar dergelijke software. "Ik wil niet horen dat zelfs een wachtwoordmanager met een eenvoudige remote root die al je wachtwoorden met elke website deelt beter is dan niets. Er zijn mensen die dit echt tegen me zeggen", merkt de onderzoeker op. "Iedereen wil dat er eenvoudige antwoorden zijn als het om security gaat, maar soms zijn die er niet." bron: security.nl

Meer dan duizend WordPress-sites zijn met malware besmet geraakt omdat ze een beveiligingsupdate voor een oude kwetsbaarheid in twee themes niet geïnstalleerd hebben. Het gaat om de themes Newspaper en Newsmag. Het lek waar de aanvallers gebruik van maken werd in april 2016 gepatcht. Toch zijn er nog altijd websites die de update niet hebben uitgerold. Via de kwetsbaarheid kan een aanvaller kwaadaardige JavaScript in de website injecteren. Oorspronkelijk werd de geïnjecteerde JavaScript-code gebruikt voor het weergeven van pop-ups op gehackte website of het doorsturen van bezoekers naar andere websites. Een nieuwe variant van de aanval stuurt aanvallers nog steeds door naar andere websites, maar maakt ook een nieuwe WordPress-beheerder aan genaamd "simple001". Daarmee hebben de aanvallers volledige controle over de website. Zelfs wanneer een WordPress-gebruiker de infectie verwijdert en de kwetsbaarheid patcht, blijft de aanvaller via het aangemaakte beheerdersaccount toegang houden. Volgens securitybedrijf Sucuri zijn meer dan duizend WordPress-sites door de nieuwe variant van de aanval getroffen. bron: security.nl

Als het gaat om de detectie van malware ontlopen de meeste virusscanners elkaar niet zoveel, maar een gratis anti-viruspakket zet de beste score neer, zo blijkt uit een test van het Oostenrijkse testlab AV-Comparatives met echte besmette links en drive-by downloads op internet. Om de effectiviteit van anti-virussoftware buiten een testomgeving om te testen voert AV-Comparatives elke maand een "real-world protection test" uit. In plaats van een laboratoriumomgeving met duizenden exemplaren wordt er met echte links en bestanden getest. De testresultaten van juli tot en met november zijn nu bij elkaar genomen. In deze periode werden er 1769 kwaadaardige links en websites met een Windows 10-systeem bezocht. Alleen de gratis anti-virussoftware van Panda wist alle malware-exemplaren zonder tussenkomst van de gebruiker te detecteren. Vijftien van de 21 geteste anti-viruspakketten behalen een detectiescore van 99 procent of meer. Adaware eindigt met 95,4 procent onderaan. Microsoft Windows Defender weet 99,5 procent van de malware te detecteren. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. Alleen de oplossing van CrowdStrike slaat geen enkele keer onterecht alarm. Gemiddeld gaan de anti-viruspakketten 19 keer de fout in. F-Secure zet de slechtste score neer. 132 keer worden ten onrechte bestanden en websites geblokkeerd. Ook Seqrite, Symantec, Fortinet, BullGuard en Microsoft presteren slechter dan het gemiddelde. Vanwege het grote aantal false postives krijgen deze pakketten een lagere uiteindelijke beoordeling. Uiteindelijk worden Panda, Bitdefender, Tencent, Trend Micro, Kaspersky Lab, AVIRA, Avast, AVG, VIPRE, Emsisoft, ESET en McAfee als 'Advanced+' beoordeeld, de hoogste beoordeling. bron: security.nl

Touchpadfabrikant Synaptics gaat in alle keyboarddrivers die het ontwikkelt de debugger uitschakelen, nadat een beveiligingsonderzoeker vorige week waarschuwde dat het eigenlijk een keylogger is die toetsaanslagen kan opslaan. De onderzoeker waarschuwde dat de keylogger in de Synaptics Touchpad-driver op honderden HP-laptops is geïnstalleerd. De keylogger stond standaard uitgeschakeld, maar zou eenvoudig door malware kunnen worden ingeschakeld. HP stelde dat het om een achtergebleven debugger ging en kwam vervolgens met een beveiligingsupdate om het probleem te verhelpen. Synaptics liet destijds niets van zich horen, maar heeft nu toch via de eigen website een reactie gegeven. Volgens de touchpadfabrikant is de debugtool ten onrechte als keylogger aangemerkt. Alle Synaptics-drivers worden van een debugtool voorzien waarmee de fabrikant eventuele problemen kan achterhalen. Het betreft dus niet alleen HP-laptops, maar ook de computers van andere fabrikanten die de TouchPads van Synaptics gebruiken. De debugtool in de driver wordt standaard uitgeschakeld, maar de fabrikant kan ervoor kiezen om die in te schakelen. Wanneer de debugtool is ingeschakeld verzamelt die volgens Synaptics data in een binair formaat. Deze data wordt bij elk "power event" overschreven of verwijderd. Volgens Synaptics is er tegenwoordig sprake van een "verhoogde gevoeligheid voor security en privacy" en heeft het daarom uit voorzorg besloten om de debugtool in alle productiedrivers te verwijderen, zodat die niet voor kwade doeleinden is te gebruiken. Er wordt nu met fabrikanten samengewerkt zodat die updates onder hun gebruikers en klanten kunnen uitrollen om de debugtool uit te schakelen. bron: security.nl

Er is een nieuwe versie van de populaire Windows-firewall GlassWire verschenen die over allerlei nieuwe features beschikt, waaronder integratie met VirusTotal om verdachte bestanden te scannen en detectie van zogeheten Evil Twins. Het gaat in dit geval om wifi-netwerken die zich voordoen als het huidige wifi-netwerk van de gebruiker. GlassWire herkent het mac-adres van de wifi-router en waarschuwt als dit verandert. Door de integratie met de VirusTotal-dienst van Google kunnen gebruikers ervoor kiezen om netwerk-gerelateerde bestanden automatisch of handmatig door tientallen virusscanner-engines te laten scannen. Een andere nieuwe optie in GlassWire 2.0 is de mogelijkheid om firewall-profielen in te stellen en worden monitoren met hoge resoluties en setups met meerdere monitoren beter ondersteund. Verder is het eenvoudiger voor gebruikers om te zien hoeveel data hun computer verbruikt. GlassWire kent zowel gratis als betaalde versies. De firewall werd onlangs nog aangeraden in de door experts opgestelde Security Planner van het Canadese Citizen Lab. bron: security.nl

Google Chrome krijgt een sterkere pop-upblocker die gebruikers tegen ongewenste content moet beschermen. Twintig procent van de meldingen die Chrome-gebruikers op de desktop doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. Om gebruikers hier tegen te beschermen zal de pop-upblocker in Chrome 64 nu het openen van nieuwe tabs of vensters via automatische redirects en andere misleidende manieren tegengaan. De maatregel is nu al te testen in de betaversie van Chrome 64. bron: security.nl

Onderzoekers van securitybedrijf FireEye hebben malware ontdekt die ontwikkeld is om een industrieel veiligheidssysteem te manipuleren en dit ook bij een fabriek heeft gedaan. Triton, zoals de malware wordt genoemd, kan Triconex Safety Instrumented System (SIS) controllers aanpassen. Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren. Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten sommige controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Volgens FireEye was het waarschijnlijk niet de bedoeling van de aanvaller om het systeem uit te schakelen. De aanvaller had namelijk al toegang tot het DCS en had zo de mogelijkheid om het proces te manipuleren of de fabriek uit te schakelen. In plaats daarvan kozen ze ervoor om het SIS-systeem te compromitteren. Zodra er toegang tot het SIS-systeem was verkregen had de malware een commando kunnen geven om het proces uit te schakelen of opzettelijk defecte code naar de SIS-controller kunnen uploaden, waardoor die defect raakte. In plaats daarvan probeerde de aanvaller gedurende een periode om binnen de gehackte omgeving functionele controllerlogica voor de SIS-controller te ontwikkelen en installeren. De pogingen zouden door een fout in de gebruikte aanvalsscripts zijn mislukt. Toch bleef de aanvaller volhouden. Dit suggereert volgens FireEye dat de aanvaller een ander doel had dan het uitschakelen van het proces. Wat verder opvalt is dat de malware kort nadat er toegang tot het SIS-systeem was verkregen werd ingezet. Volgens het securitybedrijf wijst dit erop dat de malware al was gemaakt en getest. Hiervoor hadden de aanvallers toegang moeten hebben tot hardware en software die niet eenvoudig beschikbaar is. Daarnaast communiceert de malware via het gesloten TriStation-protocol waarvan geen documentatie openbaar is. Dit zou erop duiden dat de aanvaller het protocol zelf heeft gereverse engineered. Wie er achter de aanval zit en hoe de fabriek besmet raakte laat FireEye niet weten. bron: security.nl

Mozilla heeft een nieuwe optie aan Firefox Focus toegevoegd waarmee gebruikers op een privacyvriendelijke manier snel hun favoriete websites kunnen opzoeken. Firefox Focus is een op privacy gerichte Firefox-versie voor mobiele apparaten die standaard advertenties en trackers blokkeert en het mogelijk maakt om met een druk op de knop alle gegevens te wissen. Vanwege privacyredenen ontbreken er bepaalde functies in de Firefox Focus, zoals autocomplete. Bij andere browsers kunnen gebruikers via autocomplete een aantal letters van een website in de adresbalk invoeren, waarna de browser verschillende suggesties toont. Deze suggesties zijn gebaseerd op eerdere zoekopdrachten, surfgedrag en populaire websites. Informatie die niet door Firefox Focus wordt bijgehouden. Toch hadden veel gebruikers om een dergelijke feature gevraagd, zo laat Mozilla weten. Daarom heeft de browserontwikkelaar een privacyvriendelijke autocomplete ontwikkeld. Nu kunnen gebruikers websites aan een persoonlijke autocompletelijst binnen de app toevoegen. Zodoende zijn deze websites alleen zichtbaar voor de gebruiker en kan die nog steeds door het intikken van een paar letters snel naar zijn favoriete website gaan. Daarnaast is er ook een andere optie toegevoegd waarbij gebruikers zoekmachines aan de browser kunnen toevoegen van elke website die over een zoekveld beschikt. Firefox Focus is zowel voor Android als iOS beschikbaar. bron: security.nl

Een ernstig beveiligingslek in firewalls van leverancier Palo Alto Networks maakte het mogelijk om de apparaten op afstand over te nemen. Door drie verschillende bugs aan elkaar te koppelen konden er zonder wachtwoord via de webinterface commando's met rootrechten worden uitgevoerd. Palo Alto Networks adviseert om de webinterface niet aan het internet te hangen. Diensten zoals Project Sonar en Shodan laten echter zien dat het vrij normaal is om firewalls uit te rollen waarbij de webinterface via internet toegankelijk is, aldus onderzoeker Philip Pettersson op de Full Disclosure-mailinglist. Palo Alto Networks heeft updates voor het besturingssysteem van de firewall uitgebracht om het probleem te verhelpen. Beheerders krijgen het advies om te updaten naar PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14 of PAN-OS 8.0.6. bron: security.nl

Anti-virusbedrijf Avast heeft een tool open source gemaakt waarmee kan worden gekeken of applicaties malware zijn. RetDec is een machine-code decompiler voor platformonafhankelijke analyse van uitvoerbare bestanden. Via de tool kan worden gekeken wat applicaties doen, zonder ze uit te voeren. Met het open source maken van RetDec wil Avast een generieke tool bieden om platformspecifieke code, bijvoorbeeld x86/PE uitvoerbare bestanden, op een andere manier weer te geven, zoals C-broncode. Daarnaast is de tool niet beperkt tot één enkel platform en kan die verschillende platformen, architecturen, bestandsformaten en compilers ondersteunen. Avast maakt zelf gebruik van RetDec voor het analyseren van malware voor verschillende platformen, zoals x86/PE en ARM/ELF. De broncode van de decompiler en bijbehorende tools zijn nu via GitHub beschikbaar. bron: security.nl

Eigenaren van Internet of Things-apparaten doen er verstandig aan om de apparatuur in een afzonderlijk beveiligd netwerk te plaatsen en uit te schakelen wanneer die niet in gebruik is, zo adviseert de FBI. De opsporingsdienst verwacht dat het aantal IoT-apparaten de komende jaren sterk zal toenemen. Gebruikers moeten echter rekening houden met wat ze in huis halen, stelt FBI-agent Beth Anne Steele. Aanvallers maken namelijk misbruik van het ontbreken van beveiliging in deze apparaten, de moeite die fabrikanten hebben met het patchen van kwetsbaarheden en de onervarenheid van gebruikers met deze apparaten. "In veel gevallen maken deze apparaten gebruik van standaard gebruikersnamen en wachtwoorden, waardoor ze een eenvoudig doelwit van cyberdieven zijn", aldus Steele. De opsporingsdienst geeft daarom verschillende tips om IoT-apparatuur te beveiligen. Zo wordt aangeraden de standaard gebruikersnamen en wachtwoorden te wijzigen en de apparaten in een afzonderlijk, beveiligd netwerk te plaatsen. Ook krijgen gebruikers het advies om de apparatuur uit te schakelen wanneer die niet in gebruik is en moet voor de aanschaf worden uitgezocht welke fabrikanten veilige apparatuur bieden en regelmatig met updates komen. Verder moet worden uitgezocht welke data de IoT-apparaten allemaal verzamelen, hoe lang de data wordt bewaard, of die versleuteld is en of het wordt gedeeld met derde partijen. bron: security.nl

Een bug in Flash Player kon ervoor zorgen dat de instellingen van gebruikers onbedoeld werden gereset. Iets waarvoor Adobe nu een beveiligingsupdate heeft uitgebracht. Gebruikers van Flash Player kunnen allerlei instellingen aanpassen, zoals die van de camera of microfoon waar Flash-applicaties toegang toe kunnen krijgen. Volgens Adobe werden deze instellingen onbedoeld door een logische fout gereset. Gebruikers krijgen dan ook het advies om te updaten naar Flash Player-versie 28.0.0.126. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. bron: security.nl

Om gebruikers tegen aanvallen te beschermen heeft Microsoft gisterenavond een update voor Microsoft Office uitgebracht die de DDE-feature in alle ondersteunde versies van Word uitschakelt. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Vorige maand gaf Microsoft al een waarschuwing voor deze aanvallen af, maar nu heeft de softwaregigant besloten om de functionaliteit voor Word in zijn geheel uit te schakelen. De update wordt aan alle ondersteunde versies van Microsoft Office aangeboden. In het geval van Office 2010 wordt de update alleen aan systemen aangeboden die specifieke configuraties van Office 2010 draaien. Wanneer gebruikers de update niet kunnen installeren of die in andere Office-applicaties zoals Excel of Outlook willen uitschakelen, wijst Microsoft naar deze advisory. bron: security.nl