Captain Kirk

De BadRabbit-ransomware die eind oktober allerlei bedrijven en organisaties in voornamelijk Oekraïne en Rusland infecteerde werd in eerste instantie niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was. Dat laat Microsoft in een vandaag gepubliceerde analyse weten. BadRabbit verspreidde zich via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Hiervoor werd gebruik gemaakt van een lijst met veelvoorkomende wachtwoorden, onderschepte inloggegevens en een exploit van de NSA. Microsoft heeft de eerste infectie met BadRabbit herleid naar een gebruiker van Windows Defender in Sint Petersburg, ook wel "patient zero" genoemd. Deze gebruiker downloadde het bestand "FlashUtil.exe". Windows Defender vond dit een verdacht bestand, maar niet verdacht genoeg om het meteen te blokkeren. Het bestand werd daarop naar de cloudscandienst van Microsoft geupload en met een zekerheidsscore van 81,6 procent als malware bestempeld. De cloudscandienst was echter ingesteld om bestanden pas bij een zekerheidsscore van 90 procent te blokkeren. Dit om false positives te voorkomen, waarbij schone bestanden ten onrechte als malware worden beschouwd. Daardoor kon de ransomware zijn gang gaan en het systeem infecteren. Microsoft laat weten dat het de percentages continu aanpast om de juiste balans te vinden tussen het stoppen van malware en het niet blokkeren van legitieme programma's. Verder geautomatiseerd onderzoek via machine learning naar het verdachte bestand leverde uiteindelijk een score van 90,7 procent op. Genoeg om het bestand te blokkeren, wat vervolgens bij gebruikers van Windows Defender werd gedaan. Er zaten in totaal 14 minuten tussen de infectie van patient zero en detectie door de beveiligingssoftware. In de tussentijd had de ransomware acht andere slachtoffers in Oekraïne, Rusland, Israel en Bulgarije gemaakt. Volgens Microsoft laat dit zien dat machine learning een belangrijke rol speelt bij het detecteren van malware. Daarnaast wijst de softwaregigant organisaties op de mogelijkheid om het cloudbeschermingsniveau aan te passen, zodat verdachte bestanden bij een lagere zekerheidsscore worden geblokkeerd. bron: security.nl

Vanwege verschillende problemen met updates de afgelopen maanden doen Windows-gebruikers er verstandig aan om de automatische updatefunctie van het besturingssysteem uit te schakelen, zo stelt Windows-expert Woody Leonhard, tevens auteur van verschillende "Windows For Dummies" boeken. Morgen brengt Microsoft tijdens de laatste patchdinsdag van dit jaar weer allerlei beveiligingsupdates uit voor Windows, Office en andere software. Beveiligingsexperts adviseren om dergelijke updates altijd direct te installeren en dit bij voorkeur via de automatische updatefunctie te doen. Volgens Leonhard hebben gebruikers de beveiligingsupdates niet meteen nodig, tenzij het om een grote kwetsbaarheid gaat. "Zoals ik al vaker heb gezegd is het verstandig om het installeren van Windows- en Office-updates uit te stellen totdat de grote bugs eerst zijn verhopen. Laat onbetaalde betatesters hun machine maar eerst opofferen", aldus Leonhard, die in zijn column voor Computerworld ook uitlegt hoe gebruikers de updates kunnen uitstellen. De Windows-expert benadrukt dat gebruikers de updates uiteindelijk wel moeten installeren, maar niet meteen. Het advies van Leonhard is risicovol. Zo werd een ernstig beveiligingslek in Microsoft Office dat Microsoft vorige maand patchte een aantal dagen na het uitkomen van de update al actief aangevallen. bron: security.nl

De Conficker-worm die op zijn hoogtepunt negen miljoen computers besmette is 9 jaar sinds de eerste verschijning op 21 november 2008 nog altijd op 150.000 computers actief, zo laat anti-virusbedrijf Trend Micro weten. Conficker verspreidt zich op verschillende manieren, waaronder een kwetsbaarheid in de Windows Server-service, gedeelde netwerkmappen en de Autorun-functie van Windows. Het beveiligingslek in de Windows Server-service werd op 23 oktober 2008 door Microsoft gepatcht. In januari 2009 begon Conficker zich ook via de Autorun-functie van Windows te verspreiden, iets waarvoor Microsoft in februari 2011 een update uitbracht. Volgens Trend Micro is Conficker vooral actief in China, Brazilië en India. Deze drie landen zijn bij elkaar voor ruim de helft van alle infecties verantwoordelijk. De meeste besmettingen werden in overheidssystemen aangetroffen, gevolgd door productiebedrijven en gezondheidszorg. Na een infectie probeert Conficker dagelijks met allerlei domeinen verbinding te maken om te kijken of er nieuwe instructies van de makers zijn. ICANN, de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen, heeft echter maatregelen genomen zodat deze domeinen niet kunnen worden geregistreerd. Zodoende kunnen de besmette computers niet worden gebruikt voor criminele doeleinden. Volgens Trend Micro is Conficker dan ook te bestempelen als "achtergrond-malware" die vooral op legacy-systemen actief is. "Hoewel het voor het grote publiek niet zo interessant is als modernere malware als WannaCry en Petya, blijft het een persistente dreiging en zal het dit blijven zolang niet meer ondersteunde, ongepatchte legacy-systemen nog steeds onderdeel van bedrijfsnetwerken zijn", aldus de virusbestrijder. bron: security.nl

Niet alleen legitieme websites maken steeds vaker gebruik van https, ook phishingsites beschikken meer en meer over een beveiligde verbinding. Er is zelfs sprake van een sterke toename van het aantal https-phishingsites, zo stelt securitybedrijf PhishLabs. In het derde kwartaal van dit jaar beschikte bijna 25 procent van de waargenomen phishingsites over een https-verbinding. Een kwartaal eerder ging het nog om zo'n 12 procent, terwijl een jaar geleden minder dan 3 procent van de phishingsites over een ssl-certificaat beschikte. Volgens het securitybedrijf zijn er twee redenen waarom er een toename is van het https-gebruik onder phishingsites. De eerste reden is dat phishingsites geregeld via gehackte, legitieme websites worden aangeboden. Wanneer een legitieme website met een ssl-certificaat wordt gehackt, zal ook de phishingpagina die via de website wordt aangeboden over een beveiligde verbinding beschikken. De tweede reden volgens PhishLabs is dat criminelen domeinen voor hun phishingsite registreren en vervolgens zelf https inschakelen. Dit gebeurt dan via certificaatautoriteiten die gratis ssl-certificaten aanbieden, zoals Let's Encrypt en Comodo. Op deze manier ziet de phishingsite er legitiemer uit, aldus Crane Hassold van PhishLabs. Chrome laat bij https-sites automatisch de melding "Veilig" zien. Dit slaat op de beveiligde verbinding, maar eindgebruikers denken dat de website die ze bezoeken veilig is, merkt Hassold op. "Het misverstand over de betekenis van https onder het algemene publiek en de verwarrende benoeming van https-websites in browsers zijn de voornaamste redenen waarom het een populaire voorkeur is van phishers bij het hosten van phishingsites", gaat Hassold verder. "Gecombineerd met de snelle groei van https onder website-eigenaren, verwachten we dat het aantal https-phishingsites verder zal groeien."

Een onderzoeker met het alias ZwClose heeft een keylogger in een keyboarddriver van HP ontdekt waar malware gebruik van had kunnen maken. De keylogger bevond zich in het bestand SynTP.sys. Dit is een onderdeel van de Synaptics Touchpad-driver die op honderden HP-laptops is geïnstalleerd. Hoewel de keylogger standaard stond uitgeschakeld, had die via een aanpassing aan het Windows Register kunnen worden ingeschakeld. De onderzoeker waarschuwde HP en de fabrikant bevestigde de aanwezigheid van de keylogger. Het ging om code die eigenlijk bedoeld was voor het debuggen van de driver en was achtergebleven. HP heeft nu een update uitgebracht om de code te verwijderen. De update is via de website van HP en Windows Update te downloaden, zo laat de onderzoeker weten. Op de website van HP staan ook alle getroffen modellen vermeld. Het gaat om bijna 500 verschillende laptops. Volgens HP heeft de aanwezigheid van de keylogger er niet voor gezorgd dat het zelf of Synaptics toegang tot klantgegevens hebben gekregen. Eerder dit jaar werd er ook een keylogger in een audiodriver van HP aangetroffen. bron: security.nl

Een internetprovider in een niet nader genoemd land voorziet progamma's die abonnees willen downloaden opnieuw van spyware, zo laat anti-virusbedrijf ESET weten. In september waarschuwde de virusbestrijder voor een aanval waarbij providers in twee landen actief voor getrojaniseerde downloads zorgden. Als het doelwit van de surveillance-operatie een populaire applicatie wilde downloaden, zoals WhatsApp, VLC, WinRAR, Skype of Avast, werd hij door de provider doorgestuurd naar de server van de aanvallers. Daar werd een getrojaniseerde versie van de applicatie aangeboden. Tijdens de installatie wordt vervolgens de legitieme applicatie en de FinFisher-spyware geïnstalleerd. Via de FinFisher-spyware wordt volledige controle over het systeem verkregen en is het mogelijk om live met de webcam mee te kijken en de microfoon af te luisteren. Nadat ESET het nieuws over de aanvallen op 21 september naar buiten bracht stopten die. Op 8 oktober werd in één van de twee landen de campagne hervat, zo meldt het anti-virusbedrijf vandaag. Wederom worden gebruikers bij het downloaden van populaire software naar een kwaadaardige server doorgestuurd. Het gaat om downloads van CCleaner, Driver Booster, Opera, Skype, VLC media player en WinRAR. In plaats van de FinFisher-spyware wordt nu echter de StrongPity-spyware geïnstalleerd. Via deze spyware zoeken de aanvallers naar allerlei soorten documenten. In welk land de aanvallen zijn waargneomen laat ESET niet weten. Wel heeft de virusbestrijder verschillende indicators of compromise gepubliceerd die gebruikers kunnen helpen bij het vinden van een infectie. bron: security.nl

Microsoft heeft eerder dit jaar de tls-privésleutel voor een cloud ERP-oplossing gelekt, waardoor het mogelijk was om gebruikers van de software aan te vallen, zo laat Matthias Gliwka weten. Microsoft Dynamics 365 for Finance and Operations helpt organisaties en bedrijven bij allerlei bedrijfskritische processen, zoals inkoop, productie, verkoop, productplanning en financiën, en wordt door Microsoft in de Azure-cloud gehost. Gliwka werkte voor een bedrijf dat met Microsoft Dynamics werkt en besloot via RDP op een installatie van de ERP-software in te loggen. Tot zijn grote verbazing ontdekte hij in de certificaatmanager het geldige tls-certificaat en bijbehorende privésleutel. Het bleek om een wildcard-certificaat te gaan dat voor alle klantomgevingen kon worden gebruikt. Via het certificaat wordt een versleutelde verbinding tussen gebruikers van de ERP-software en de server opgezet. Met het gelekte certificaat en de privésleutel had een aanvaller tussen een gebruiker en de server een man-in-the-middle-aanval kunnen uitvoeren. Gliwka besloot Microsoft halverwege augustus te informeren, maar dit bleek een lastig proces. Pas toen er eind november een ticket bij Mozilla werd geopend omdat Microsoft het certificaat niet had ingetrokken, terwijl certificaatautoriteiten dit volgens de regels wel horen te doen, kwam er beweging in de zaak. Afgelopen dinsdag, meer dan 100 dagen na de eerste melding, liet Microsoft weten dat het certificaat was ingetrokken en er nu voor alle klantomgevingen een apart certificaat wordt gebruikt. bron: security.nl

Opera-gebruikers die van het ingebouwde vpn gebruikmaken zullen bij zoekopdrachten standaard hun eigen ip-adres naar de betreffende zoekmachine sturen, zo laat Opera weten. Volgens de ontwikkelaar klaagden gebruikers over de kwaliteit van de zoekresultaten wanneer het vpn stond ingeschakeld. Engelstalige gebruikers konden bijvoorbeeld Nederlandstalige zoekresultaten krijgen omdat ze de Nederlandse vpn-server van Opera gebruikten. Opera stelt dat dit een probleem voor de meeste vpn-diensten is. Om gebruikers tegemoet te komen is nu besloten om een "lokale zoekfeature" te introduceren. Standaard zal Opera nu de browser-vpn bij zoekopdrachten omzeilen, waardoor het ip-adres van de gebruiker zichtbaar voor de zoekmachine is. Wanneer gebruikers de zoekresultaten openen wordt het vpn weer ingeschakeld. "We denken dat dit een verstandige balans is tussen absolute privacy en gebruikerscomfort", zegt Andrzej Czarnecki van Opera. Gebruikers hebben echter de optie om de lokale zoekfeature uit te schakelen, waarbij de vpn-verbinding ook voor de zoekopdrachten wordt gebruikt. Een testversie van Opera 50 met de nieuwe vpn-opties is nu beschikbaar. bron: security.nl

Certificaatautoriteit Let's Encrypt waar websites gratis certificaten voor een versleutelde verbinding kunnen aanvragen heeft voor een stijging van het https-verkeer gezorgd. Dat blijkt uit cijfers van Let's Encrypt en Mozilla. Dit jaar zag de certificaatautoriteit het aantal actieve certificaten meer dan verdubbelen naar 46 miljoen. Het aantal domeinen dat van een Let's Encrypt-certificaat gebruikmaakt verdrievoudigde naar 61 miljoen. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. Een doel dat dit jaar weer een stuk dichterbij is gekomen, aldus cijfers van Mozilla. Van alle websites die Firefox-gebruikers dit jaar opvroegen werd 67 procent via een beveiligde https-verbinding aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden. Voor volgend jaar wil Let's Encrypt het aantal actieve certificaten en unieke domeinen verdubbelen naar respectievelijk 90 miljoen en 120 miljoen. Daarnaast zullen er verschillende belangrijke features worden uitgerold, zoals ondersteuning van wildcard-certificaten. Nu moeten webmasters voor elk subdomein dat onder hun domein valt een apart certificaat aanvragen. Via een wildcard-certificaat zijn alle subdomeinen meteen van een beveiligde verbinding voorzien. De feature zou eind februari beschikbaar moeten zijn. bron: security.nl

Microsoft heeft een ernstige kwetsbaarheid in Windows Defender, Security Essentials, Microsoft Forefront en verschillende andere beveiligingsprogramma's gedicht waardoor een aanvaller kwetsbare systemen volledig had kunnen overnemen, zonder enige interactie van gebruikers. De Microsoft Malware Protection Engine, waar de beveiligingssoftware van Microsoft gebruik van maakt, bleek speciaal geprepareerde bestanden niet goed te scannen, waardoor het geheugen gecorrumpeerd kon raken. In het geval van een succesvolle aanval had een aanvaller willekeurige code met systeemrechten kunnen uitvoeren en zo volledige controle over het systeem kunnen krijgen. De kwetsbaarheid kon zonder interactie van gebruikers worden uitgebuit. Het versturen van een kwaadaardige e-mailbijlage die automatisch bij binnenkomst wordt gescand was bijvoorbeeld voldoende geweest. De update voor de beveiligingssoftware wordt automatisch binnen 48 uur geïnstalleerd en gebruikers hoeven in principe geen actie te ondernemen, zo laat Microsoft weten. bron: security.nl

Een hacker heeft een manier gevonden om de permissies van het programma TeamViewer aan te passen, waardoor het mogelijk is om de computer te besturen van degene die via TeamViewer op een computer inlogt. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt, maar ook telefonische oplichters maken er gebruik van. Het gaat dan om oplichters die zich bijvoorbeeld als Microsoftmedewerker voordoen en mensen thuis opbellen. Vervolgens proberen ze hun slachtoffers een progamma zoals TeamViewer te laten installeren, waarmee de computer van het slachtoffer op afstand kan worden overgenomen. TeamViewer moet zowel op de lokale client (server) als remote client zijn geïnstalleerd. Iemand die via TeamViewer op een remote client inlogt heeft volledige controle over dat systeem. De eigenaar van de remote client kan vervolgens zien hoe zijn computer via TeamViewer door de server wordt overgenomen. Een hacker met het alias "xpl0yt" heeft echter ontdekt dat het mogelijk is voor de client om de computer te besturen van de persoon die inlogt. De client kan namelijk een dll-bestand injecteren waarmee zijn permissies worden aangepast. Zodoende kan hij de muis en het keyboard van de server besturen. De hacker heeft de tool waarmee de permissies kunnen worden aangepast via GitHub openbaar gemaakt. Hij merkt daarbij op dat de tool alleen voor educatieve testdoeleinden is bedoeld. De tool is getest op Windows 10. Linux wordt niet ondersteund. Op Reddit stellen sommige gebruikers dat dit een probleem voor telefonische oplichters is, aangezien nu hun computer kan worden overgenomen. bron: security.nl

De honderden Andromeda-botnets die Europol, de FBI, internationale opsporingsdiensten en bedrijven vorige week uit de lucht haalden schakelden op besmette computers Windows Update uit, wat inhoudt dat een groot aantal computers geen beveiligingsupdates ontvangt, zo laat Microsoft weten. Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Eenmaal actief kan Andromeda allerlei andere malware installeren, zoals ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware. Ook probeert de malware Windows Update en de Firewall uit te schakelen. Deze functionaliteit kan niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd. En dat is een probleem gezien het aantal besmette machines. Bij de operatie tegen Andromeda wisten opsporingsdiensten de domeinen in beslag te nemen waarmee Andromeda besmette computers aanstuurt. Vervolgens werden deze domeinen zo ingesteld dat ze niet meer naar de malware-servers wezen, maar naar servers van Microsoft. In een periode van 48 uur maakten twee miljoen unieke ip-adressen verbinding met de ingestelde Microsoft-servers. Door het aanpassen van de malware-domeinen is de infectie nog niet van de getroffen systemen verwijderd en het is de vraag hoe lang dit gaat duren. Vorig jaar haalden opsporingsdiensten het Avalanche-botnet offline. Een jaar later blijkt nog 55 procent van de destijds besmette machines nog steeds geïnfecteerd te zijn. De meeste met Andromeda besmette Windows-computers bevinden zich in India, Indonesië en Turkije. Zolang de infectie aanwezig is ontvangen deze machines geen updates en lopen zo risico door andere malware besmet te raken. Anti-virusbedrijf ESET was ook bij de operatie tegen de malware betrokken en heeft een analyse online gezet. bron: security.nl

Europol en de FBI hebben in samenwerking met verschillende bedrijven en organisaties vorige week het Andromeda-botnet uit de lucht gehaald, zo laat de Europese opsporingsdienst vandaag weten. De malware, die ook bekend staat als Gamarue, is al jaren actief en besmette een groot aantal computers. Via de malware hadden criminelen volledige controle over de computers van hun slachtoffers en konden die voor allerlei zaken gebruiken. Een jaar geleden haalden Europol, Eurojust, FBI en de Duitse politie het Avalanche-botnet offline. Dit botnet werd gebruikt voor de verspreiding van allerlei malware, waaronder Andromeda. Informatie die de Duitse autoriteiten via het onderzoek naar het Avalanche-botnet verkregen werd met internationale partners gedeeld, wat uiteindelijk tot het oprollen van het Andromeda-botnet leidde. Om het botnet uit te schakelen werden meer dan 1500 domeinen in beslag genomen die de Andromeda-malware gebruikte om met besmette machines te communiceren. Vervolgens lieten de autoriteiten deze domeinen naar machines van Microsoft wijzen. Op deze manier maakten de besmette computers verbinding met servers van Microsoft. Volgens de softwaregigant werden gedurende een periode van 48 uur zo'n 2 miljoen unieke ip-adressen uit 223 landen waargenomen van computers die met de Andromeda-malware zijn besmet. Tevens is er een arrestatiebevel uitgevaardigd tegen een verdachte uit Wit-Rusland. Gelijktijdig hebben de Duitse autoriteiten besloten om het sinkholen van het Avalanche-botnet met een jaar te verlengen. Volgens Europol was deze maatregel nodig, aangezien wereldwijd nog 55 procent van de machines die een jaar geleden met Avalanche was besmet, nog steeds geïnfecteerd is. bron: security.nl

Het op privacy en veiligheid gerichte besturingssysteem Tails komt begin volgend jaar met een serverfunctie die het eenvoudig voor gebruikers moet maken om websites, chatrooms, bestandsuitwisseling en andere online diensten op het Tor-netwerk te draaien. Volgens de Tails-ontwikkelaars zijn dergelijke diensten handig voor mensen die op afstand met elkaar samenwerken. Het hosten van een website of chatroom bij een provider houdt echter in dat gebruikers die provider moeten vertrouwen. Het zelf hosten van een online dienst via het Tor-netwerk heeft verschillende voordelen, aldus de ontwikkelaars. Het biedt automatisch sterke encryptie tussen de server en client. Ook biedt het anonimiteit voor de server en client. Verder werken de diensten achter NAT-netwerken en firewalls en is het gedecentraliseerd. Het Tor-netwerk zorgt ervoor dat de locatie van de server is afgeschermd. Het adres is in principe alleen bekend onder de serverbeheerder en de personen met wie de url wordt gedeeld. Voor het opzetten van de Tails-server zal er een grafische gebruikersinterface en command line interface beschikbaar worden. Wanneer de serverfunctie precies zal verschijnen is nog onbekend. In de vandaag aangekondigde plannen voor volgend jaar wordt "begin 2018" als planning genoemd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen en privacy-experts aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

Om crashes te voorkomen gaat Google het injecteren van code in Chrome door third-party software blokkeren, zo heeft de internetgigant aangekondigd. De maatregel gaat gelden voor de Windows-versie van Chrome. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Door de beschikbaarheid van Chrome-extensies en Native Messaging zijn er volgens Google alternatieven voor het injecteren van code binnen Chrome-processen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren. Deze aanpassing zal in drie fases plaatsvinden. Vanaf april 2018 met Chrome 66 zullen gebruikers na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. In juli 2018 met Chrome 68 wordt het injecteren van code geblokkeerd. In het geval Chrome hierdoor niet kan starten, zal Chrome zichzelf herstarten en het injecteren van de code toelaten, maar gebruikers een waarschuwing laten zien waarin het verwijderen van de verantwoordelijke software wordt uitgelegd. Met de lancering van Chrome 72 in januari 2019 zal het injecteren van code geheel worden geblokkeerd. Volgens Google gaat het blokkeren voor de meeste software die code in Chrome injecteert gelden, hoewel er enkele uitzonderingen zijn. Door Microsoft gesigneerde code, toegankelijkheidssoftware en IME-software zullen wel worden toegestaan. In de aankondiging noemt Google anti-virussoftware als voorbeeld van software die code in Chrome injecteert. Of gebruikers straks ook het advies krijgen om hun virusscanner te verwijderen in het geval die code blijft injecteren, laat Google niet weten. bron: security.nl

De Europese Commissie is voor het eerst een zogeheten bug bounty-programma gestart waarbij het hackers en onderzoekers gaat belonen voor het rapporteren van kwetsbaarheden in VLC media player. Het gaat om beloningen met een bedrag van maximaal 3000 euro. Het beloningsprogramma zal doorlopen tot de eerste weken van januari 2018 of totdat het budget op is, zo laat het Open Source Observatory (OSOR) van de Europese Commissie weten. Het beloningsprogramma heeft de Europese Commissie uitbesteed aan HackerOne. Dit is een platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te starten en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. In de eerste fase van het beloningsprogramma zullen hackers worden uitgenodigd die eerder op HackerOne actief zijn geweest. Na drie weken kan iedereen bugmeldingen inzenden. Vorig jaar stemde het Europees Parlement om 2 miljoen euro vrij te maken voor een opvolger van het EU-Fossa-project, waarbij opensourcesoftware werd geaudit. Door het geld kan de Europese Commissie nu een nieuwe pilot starten waarbij beloningen voor kwetsbaarheden worden uitgekeerd, met een nadruk op opensourcesoftwareprojecten en -bibliotheken waar Europese instellingen gebruik van maken. VLC is een populaire opensourcemediaspeler die op alle workstations van de Europese Commissie is geïnstalleerd. bron: security.nl

Onderzoekers hebben een cryptominer ontdekt die de rekenkracht van de computer blijft gebruiken, ook als het browservenster wordt gesloten. Wanneer de gebruiker denkt de browser te sluiten blijft die door een pop-under onder de taakbalk actief. Zodoende kan het script dat de cryptominer aanroept gewoon blijven werken, zo laat anti-malwarebedrijf Malwarebytes weten. De cryptominer in kwestie is een aangepaste versie van de Coinhive-cryptominer. Het gaat om een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. Naast legitieme websites die cryptominers als alternatief voor advertenties gebruiken, wordt er ook door criminelen misbruik van gemaakt. Ze plaatsen de cryptominer op gehackte websites. Bezoekers van deze websites genereren zo nietsvermoedend, en zonder dat de eigenaar van de website dit doorheeft, inkomsten voor de criminelen. Adblockers kunnen cryptominers blokkeren. De nu ontdekte cryptominer maakt echter gebruik van een specifieke pop-under die volgens Malwarebytes is ontwikkeld om adblockers te omzeilen, aangezien die veel lastiger te identificeren is. Deze pop-under wordt door het Ad Maven-advertentienetwerk geladen, die weer code van andere locaties laadt. "Het sluiten van de browser via de "X" is niet langer voldoende. De meer technische gebruiker zal via Taakbeheer willen controleren of er geen overgebleven browserprocessen draaien en ze vervolgens beëindigen. Daarnaast zal de taakbalk nog steeds het browsericoon met een lichte highlight tonen, wat aangeeft dat die nog steeds draait", aldus onderzoeker Jerome Segura. bron: security.nl

Facebook is bezig met het testen van een nieuw soort van captchasysteem waarbij gebruikers door het uploaden van een foto van hun gezicht moeten bewijzen dat ze geen robot zijn. Op Twitter verscheen een screenshot van een Facebookpagina die gebruikers vraagt om een foto van hun gezicht te uploaden. "We controleren de foto en verwijderen die dan permanent van onze servers", aldus de tekst op de pagina. Tegenover Wired laat Facebook weten dat de maatregel is bedoeld om "verdachte activiteit" op de website te detecteren, waaronder het aanmaken van een account, het versturen van een vriendverzoek en het aanmaken of aanpassen van advertenties. De controle vindt volgens de socialmediasite geautomatiseerd plaats en kijkt of de geuploade foto uniek is. Daarna wordt de foto verwijderd. Of en wanneer Facebook de maatregel onder alle gebruikers gaat uitrollen is nog niet bekend. bron: security.nl

Microsoft heeft nieuwe beveiligingsupdates uitgebracht voor een 17-jaar oude kwetsbaarheid in Office 2007 en 2010. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen als er een kwaadaardig document met een kwetsbare Office-versie wordt geopend. Het beveiligingslek was aanwezig in alle Office-versies die de afgelopen 17 jaar verschenen en werd op dinsdag 14 november door Microsoft gepatcht. Opmerkelijk was dat Microsoft ook een beveiligingsupdate voor Office 2007 publiceerde, terwijl deze versie eigenlijk niet meer wordt ondersteund. Vorige week werd bekend dat de kwetsbaarheid inmiddels actief wordt aangevallen. Zowel de update voor Office 2007 als Office 2010 blijken het probleem niet helemaal te hebben verholpen. Microsoft laat namelijk weten dat het nieuwe beveiligingsupdates heeft uitgebracht om de kwetsbaarheid in deze Office-versies "volledig" op te lossen. Gebruikers van Office 2007 wordt aangeraden om update 4011604 te installeren. Voor Office 2010 is update 4011618 verschenen. bron: security.nl

Bijzonder probleem welk je meestal alleen maar ziet wanneer je huismerk cartridegs gebruikt. Heb je al de contactpunten in de printer van de cartridge even schoongewreven?

Computerfabrikant HP ligt onder vuur van gebruikers omdat het zonder toestemming en waarschuwing telemetriesoftware op systemen installeert. Het gaat om de HP Touchpoint Analytics Service die telemetriegegevens verzamelt. Om wat voor gegevens het precies gaat is nog onduidelijk, wat ook geldt voor de manier hoe de software wordt geïnstalleerd. Op de eigen website laat HP weten dat de Touchpoint Manager technology nu als een cloudgebaseerde dienst wordt aangeboden en de ondersteuning van de software als losstaand product zal worden gestopt. Gebruikers klagen over de hoge systeembelasting van de service en dat die zonder enige waarschuwing of toestemming is geïnstalleerd. Het verwijderen van de software zou het probleem met de systeembelasting verhelpen, zo laten gebruikers weten. De website Ghacks legt uit hoe dit precies kan worden gedaan. bron: security.nl

Mozilla gaat in Firefox 58 data-url's deels blokkeren, wat gebruikers tegen phishingaanvallen moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden. Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url. "Eindgebruikers vertrouwen op de adresbalk van een browser om de te zien op welke pagina ze zich bevinden. De meeste eindgebruikers zijn niet bekend met het concept van de data-url, die een string met een legitiem adres kan bevatten, waardoor de eindgebruiker denkt dat die op een bepaalde pagina zit. In werkelijkheid kan een malafide data-url echter vermomde content weergeven waardoor eindgebruikers hun inloggegevens verstrekken", zegt Mozilla's Christoph Kerschbaumer. Om gebruikers tegen dergelijke phishingaanvallen te beschermen zal Firefox 58 voorkomen dat webpagina's in de adresbalk een data-url kunnen laten zien. Het navigeren naar een data-url zal mogelijk blijven als deze actie daadwerkelijk van de eindgebruiker afkomstig is. Het gaat dan bijvoorbeeld om het kopiëren en plakken van een data-url in de adresbalk of het downloaden van een data-url. bron: security.nl

Een groot aantal mailservers op internet is kwetsbaar voor aanvallen via een ongepatcht beveiligingslek in Exim, een message/mail transfer agent (MTA). De software draait volgens statistieken op 56 procent van de mailservers en wordt gebruikt voor het afleveren van e-mails. Een ernstig beveiligingslek in de software maakt het mogelijk voor aanvallers om willekeurige code op de server uit te voeren met de rechten van de gebruiker waaronder Exim draait. Ook kan er een denial of service worden veroorzaakt. Een beveiligingsupdate is nog niet beschikbaar. Wel zijn er workarounds en een broncodepatch verschenen. Het Nationaal Cyber Security Center (NCSC) van de overheid stelt dat er een grote kans is dat aanvallers misbruik van de kwetsbaarheid zullen maken en de schade die dit kan veroorzaken groot is. bron: security.nl

WordPress-sites zijn het doelwit van aanvallers die kwetsbaarheden in twee populaire plug-ins combineren om websites over te nemen. Het gaat om de plug-ins Shortcodes Ultimate en Formidable Forms, die respectievelijk op 700.000 en 200.000 websites zijn geïnstalleerd. De twee kwetsbaarheden, die inmiddels ook zijn gepatcht door de ontwikkelaars, zijn beoordeeld als een "medium" risico. Gecombineerd laten ze een aanvaller echter kwaadaardige code op de onderliggende server uitvoeren, waardoor de WordPress-site kan worden overgenomen. Volgens securitybedrijf Sucuri zijn aanvallers sinds het bekend worden van de kwetsbaarheden actief op zoek naar WordPress-sites die de kwetsbare plug-ins draaien. Het bedrijf heeft naar eigen zeggen duizenden scans waargenomen. Beheerders krijgen het advies om te updaten naar Formidable Forms versie 2.05.02 of 2.05.03 en Shortcodes Ultimate versie 5.0.1. bron: security.nl

Een ernstig beveiligingslek in Microsoft Office dat vorige week dinsdag werd gepatcht wordt inmiddels actief gebruikt om Windows-computers met malware te infecteren. Alleen het openen van een kwaadaardig rtf-document met een kwetsbare versie van Office is voldoende om aanvallers controle over het systeem te geven, zo waarschuwen securitybedrijven Carbon Black en Reversing Labs. De kwetsbaarheid in kwestie bleek aanwezig te zijn in alle Office-versies die de afgelopen 17 jaar verschenen. Het securitybedrijf dat het beveiligingslek ontdekte en aan Microsoft rapporteerde stelde dat de beveiligingsmaatregel Protected View, die sinds Office 2010 in de kantoorsoftware aanwezig is, tegen misbruik kan beschermen. Protected View blokkeert namelijk het uitvoeren van actieve content in documenten die van het web afkomstig zijn. In dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt voordat de kwaadaardige code in het document wordt uitgevoerd. Zowel Carbon Black als Reversing Labs maken hier echter geen melding van. Verder laat Carbon Black weten dat twee beveiligingsmaatregelen genaamd Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) misbruik van de kwetsbaarheid zouden moeten voorkomen, maar het kwetsbare Office-onderdeel blijkt hier geen gebruik van te maken. Microsoft biedt gebruikers wel de Enhanced Mitigation Experience Toolkit (EMET) en Windows Defender Exploit Guard in Windows 10 om onder andere tegen Office-exploits te beschermen. Ook de beveiligingsmaatregelen van deze twee tools gelden niet voor het kwetsbare Office-onderdeel, tenzij ze voor het gehele systeem zijn ingesteld. De nu waargenomen aanvallen zijn afkomstig van een groep genaamd Cobalt, die het volgens Trend Micro op Russische banken en financiële instellingen heeft voorzien. De documenten die de aanvallers naar hun slachtoffers sturen hebben een Russische naam, alsmede "account details.rtf" en "news.swift.rtf". De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Wanneer de aanval succesvol is wordt er een backdoor op het systeem geïnstalleerd waarmee de aanvallers volledige controle krijgen. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. bron: security.nl