Captain Kirk

Malafide extensie voor Google Chrome en Mozilla Firefox maken van verschillende tactieken gebruik waardoor ze lastig te verwijderen zijn, zo meldt anti-malwarebedrijf Malwarebytes. De extensies worden onder andere via advertenties aangeboden en doen zich bijvoorbeeld voor als Firefox-update. Eenmaal geïnstalleerd kapen de extensies zoekopdrachten van de gebruiker en wordt er verkeer naar YouTube-video's gegenereerd. Om te voorkomen dat gebruikers de extensies ontdekken en verwijderen passen de makers verschillende tactieken toe. De extensies voorkomen namelijk dat gebruikers de pagina kunnen opvragen waarop de geïnstalleerde extensies staan vermeld. Zodra een gebruiker deze pagina wil openen zal de extensie die sluiten of de gebruiker naar een andere pagina doorsturen. Om de extensies toch te verwijderen kunnen Firefox-gebruikers de browser in veilige modus starten. Hierbij worden alle extensies uitgeschakeld en kunnen ze worden verwijderd. In het geval van Chrome moeten gebruikers de extensie hernoemen. In dit geval denkt Chrome dat de extensie gecorrumpeerd is geraakt en zal die vervolgens niet laden. De Chrome-extensie die Malwarebytes analyseerde, "Tiempo en colombia en vivo", is inmiddels uit de Chrome Web Store verwijderd. bron: security.nl

Microsoft heeft nieuwe Windows-updates uitgerold die AMD-systemen tegen de Spectre-aanval moet beschermen. De vorige updates zorgden ervoor dat gebruikers met bepaalde AMD-processors met vastlopers en niet meer werkende computers te maken kregen. Daarop besloot Microsoft de uitrol van de beveiligingsupdates tijdelijk te staken. In een verklaring liet de softwaregigant weten dat sommige AMD-chipsets zich niet houden aan de documentatie die eerder aan Microsoft was gegeven om bescherming tegen Spectre en Meltdown te ontwikkelen. Meltdown raakt alleen Intel-processors, Spectre is een probleem dat bij nagenoeg alle moderne processors speelt, waaronder die van AMD. De nieuwe updates worden via de Automatische Updatefunctie van Windows aangeboden maar kunnen ook handmatig worden gedownload. bron: security.nl

De meeste malafide e-mails die links naar malware bevatten maken gebruik van http-links, maar onderzoekers hebben nu een campagne waargenomen waarbij naar malware op gehackte ftp-servers wordt gelinkt. De e-mails doen zich voor als een bericht van een scanner en linken zogenaamd naar een gescand document. De link wijst in werkelijkheid naar doc- en xls-bestanden op gehackte ftp-servers. De doc-bestanden maken gebruik van de DDE-feature in Word om via een PowerShell-commando de Dridex-bankmalware te downloaden. De Dridex-malware is ontwikkeld om gegevens voor internetbankieren te onderscheppen waarmee vervolgens wordt gefraudeerd. Vanwege het feit dat de DDE-feature in Word door aanvallers wordt misbruikt besloot Microsoft die in december via een update uit te schakelen. Het xls-bestand bevat een kwaadaardige macro die de Dridex-malware op het systeem downloadt. Volgens securitybedrijf Forcepoint draaien de gehackte ftp-servers niet dezelfde ftp-software, waardoor de aanvallers de inloggegevens waarschijnlijk op een andere manier hebben gecompromitteerd. "Cybercriminelen blijven continu hun aanvalsmethodes bijwerken om voor een maximaal aantal infecties te zorgen. In dit geval zijn ftp-sites gebruikt, mogelijk in een poging om detectie door e-mailgateways en netwerkbeleid te omzeilen die ftp-sites mogelijk als betrouwbare locaties beschouwen", zegt onderzoeker Roland Dela Paz. bron: security.nl

Aanvallers verspreiden op dit moment een backdoor genaamd Zyklon via malafide doc-bestanden, zo waarschuwt securitybedrijf FireEye. De aanval begint met een e-mail die een zip-bestand bevat, dat weer het malafide doc-bestand bevat. Het doc-bestand maakt gebruik van twee kwetsbaarheden in Microsoft Office die in september en november vorig jaar door Microsoft werden gepatcht. Daarnaast probeert het document ontvangers via de DDE-feature in Word te infecteren. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. Aangezien de feature actief werd aangevallen heeft Microsoft die via updates in Word en Excel uitgeschakeld. In het geval gebruikers het doc-bestand met een ongepatchte versie van Office openen wordt de Zyklon-backdoor geïnstalleerd. Deze backdoor kan toetsaanslagen opslaan, wachtwoorden uit browsers, e-mailclients en ftp-programma's verzamelen, licentiesleutels stelen, het systeem voor ddos-aanvallen en cryptomining gebruiken en aanvullende malware installeren. Volgens FireEye zijn de aanvallen gericht tegen telecomproviders, verzekeringsmaatschappijen en financiële dienstverleners. bron: security.nl

Gmail-gebruikers maken nauwelijks gebruik van tweefactorauthenticatie waarbij er tijdens het inloggen een extra code moet worden ingevoerd of een "Google prompt" bevestigd moet worden. Dat heeft Google tijdens de Usenix Enigma 2018 Conferentie in Santa Clara laten weten, zo meldt The Register. Volgens Google-engineer Grzegorz Milka heeft minder dan 10 procent van de Gmail-gebruikers tweefactorauthenticatie ingeschakeld om hun account te beschermen. Op de vraag waarom Google de beveiligingsmaatregel niet voor alle accounts verplicht laat Milka weten dat dit vanwege de bruikbaarheid niet wordt gedaan. Het zou teveel mensen wegjagen, aldus de engineer. Meer dan 10 procent van de gebruikers die tweefactorauthenticatie probeerde had problemen met het invoeren van de toegangscode die via sms was verkregen. Inmiddels heeft Google sms als eerste keuze voor tweefactorauthenticatie vervangen door Google prompts. Hierbij krijgen gebruikers tijdens het inloggen op hun Google-account een prompt op hun smartphone te zien. Door de prompt te bevestigen wordt men ingelogd. Net als bij het gebruik van een sms-code als tweede factor moet ook bij telefoonprompts eerst het wachtwoord worden ingevoerd. bron: security.nl

Nieuwe webfeatures in Firefox mogen alleen nog via https worden aangeboden, zo heeft browserontwikkelaar Mozilla aangekondigd. De maatregel moet het plan van Mozilla helpen om het onbeveiligde http uit te faseren. "Met onmiddellijke ingang moeten alle nieuwe features die via het web benaderbaar zijn worden beperkt tot secure contexts", aldus Mozilla-engineer Anne van Kesteren. Het gaat dan om features die vanaf een webpagina of server benaderbaar zijn, bijvoorbeeld via JavaScript, CSS en mediaformaten. Een feature kan van alles zijn, van een extensie van een bestaand object tot een nieuwe CSS-eigenschap of HTTP response header, tot grotere features zoals WebVR. Iedereen die zich namens Mozilla met de ontwikkeling van nieuwe features bezighoudt wordt opgeroepen om alleen beveiligde contexten aan te bevelen. Volgens Van Kesteren is er wel ruimte voor uitzonderingen, bijvoorbeeld als andere browsers de feature al onbeveiligd aanbieden of als het verplichten van https de implementatie onnodig complex maakt. Features die al verschenen zijn en geen gebruik van https maken, maar vanuit een beveiligings- of privacystandpunt meer problematisch zijn dan anderen, zullen per geval worden bekeken. Om de overstap naar https te vereenvoudigen zal Mozilla ontwikkeltools gaan aanbieden en het mogelijk maken om tests zonder https-server uit te voeren. bron: security.nl

WordPress heeft besloten Flash-bestanden in het contentmanagementsysteem vanwege een kwetsbaarheid te verwijderen. De Flash-bestanden waren aanwezig in de MediaElement-softwarebibliotheek die onderdeel van WordPress is. De MediaElement-bibliotheek wordt gebruikt voor het afspelen van audio en video en maakt in bepaalde gevallen gebruik van Flash, bijvoorbeeld bij oudere browsers die geen DASH- of HLS-streams via JavaScript kunnen afspelen. Een kwetsbaarheid in de Flash-bestanden van MediaElement maakte cross-site scripting (xss) mogelijk. "Omdat Flash-bestanden in de meeste gevallen niet meer nodig zijn, zijn ze verwijderd uit WordPress", aldus Ian Dunn van WordPress. Voor WordPress-sites die DASH/HLS-video's streamen en oudere browsers willen ondersteunen is er nu een aparte plug-in uitgebracht waarin het beveiligingslek is verholpen. Updaten naar WordPress 4.9.2 kan via de automatische updatefunctie, het beheerderspaneel of WordPress.org. bron: security.nl

Oracle heeft tijdens de patchronde van januari updates uitgerold om gebruikers tegen de Spectre- en Meltdown-aanvallen te beschermen. Ook zijn er 237 kwetsbaarheden in de eigen software gedicht. Oracle komt elk kwartaal met beveiligingsupdates, aangeduid als de "Critical Patch Update". De meeste kwetsbaarheden zijn verholpen in Financial Services Applications (34), Fusion Middleware (27), Oracle MySQL (25), Hospitality Applications (21) en Java (21). Met name de updates voor Java zijn belangrijk, aangezien de software op 70 procent van de computers geïnstalleerd staat. Achttien van de kwetsbaarheden in Java zijn op afstand aan te vallen. De beveiligingslekken zijn aanwezig in Java SE: 6u171, 7u161, 8u152, 9.0.1 en Java SE Embedded: 8u151. Updaten naar de nieuwste Java-versie kan via Java.com. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren. De volgende patchronde van Oracle staat gepland voor 17 April 2018. bron: security.nl

Zet de printer eens in de buurt van router van Telenet zelf en verbind de printer dan eens draadloos met dit punt. Werkt dit niet, reset de modem dan even en probeer het nog eens.

Kwetsbare Linux- en Windows-webservers zijn vorige week het doelwit geworden van een aanval waarbij werd geprobeerd een cryptominer op de machines te installeren, zo melden securitybedrijven Certego en Check Point. De aanvaller maakt gebruik van bekende kwetsbaarheden in Microsoft IIS en Ruby on Rails om de RubyMiner te installeren. Deze cryptominer laat de webserver naar de cryptovaluta Monero minen. Volgens Check Point zouden bij de aanval vorige week zo'n 700 webservers zijn geïnfecteerd. "Deze aanval, net als zijn voorgangers, had voorkomen kunnen worden door oudere servers te patchen en relevante beveiligingsmaatregelen uit te rollen", zegt onderzoeker Richard Clayton. Beide securitybedrijven hebben indicators of compromise (IOC) gedeeld, zodat organisaties kunnen kijken of er besmette webservers in hun netwerk aanwezig zijn. bron: security.nl

Een securitybedrijf heeft voor vier Google Chrome-extensies met zo'n 500.000 downloads gewaarschuwd, waarvan er twee nog altijd in de Chrome Web Store te vinden zijn. Het gaat om de extensies Change HTTP Request Header, Nyoogle, Lite Bookmarks en Stickies - Chrome's Post-it Notes. Securitybedrijf ICEBRG kwam de extensies op het spoor toen het een piek in het netwerkverkeer bij een klant waarnam. De Chrome-extensie Change HTTP Request Header bleek de oorzaak te zijn. De extensie downloadde kwaadaardige JavaScript-code die ervoor zorgde dat de computer advertentie-gerelateerde domeinen bezocht, wat mogelijk op clickfraude duidt. Hierbij lijkt het alsof een echte internetgebruiker op een advertentie of link heeft geklikt, terwijl de click eigenlijk van de malafide Chrome-extensie afkomstig is. De extensie was ruim 14.000 keer geïnstalleerd voordat Google die uit de Chrome Web Store verwijderde. Gebaseerd op de werkwijze en command & control-servers die Change HTTP Request Header gebruikte werden ook drie andere Chrome-extensies ontdekt. Het gaat om Nyoogle - Custom Logo for Google, Lite Bookmarks en Stickies - Chrome's Post-it Notes. Lite Bookmarks is inmiddels ook door Google verwijderd, maar Nyoogle en Stickies zijn nog steeds in de Web Store te vinden en hebben respectievelijk 415.000 en 21.000 installaties. bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de torrentclient Transmission gevonden waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Ormandy waarschuwde de ontwikkelaars op 29 november en stuurde die op 1 december een patch om het probleem te verhelpen. "Ze leken bereid om hem te gebruiken, maar verklaarden dat ze het tot januari te druk hadden om de patch te gebruiken. Ik heb geen update ontvangen, dus heb ik ze weer op 7 januari 2018 benaderd", aldus Ormandy. Twee dagen later laat de Google-onderzoeker weten dat hij het frustrerend vindt dat de Transmission-ontwikkelaars niet op hun eigen security-mailinglist reageren. Hij suggereerde dan ook om het probleem openbaar te maken, zodat verschillende distributies die Transmission standaard meeleveren zelf een patch kunnen toepassen. Google geeft ontwikkelaars 90 dagen de tijd om een gerapporteerd beveiligingslek te verhelpen. Volgens Ormandy heeft het nog nooit zolang voor een opensourceproject geduurd om een kwetsbaarheden te patchen. "Als de kwetsbaarheid zich in een opensourceproject bevindt noem ik meestal de limiet van 90 dagen niet eens", merkt Ormandy op. Gemiddeld genomen reageren opensourceprojecten binnen uren in plaats van maanden, aldus de onderzoeker. Aangezien in het geval van Transmission de limiet van 90 dagen naderde besloot Ormandy de ontwikkelaars hierop te wijzen. Het zou voor de eerste keer in de geschiedenis van Google zijn dat een opensourceproject de limiet overschrijdt. Aanval Ormandy ontdekte dat Transmission kwetsbaar is voor een dns-rebinding-aanval. De torrentclient maakt gebruik van een client-serverarchitectuur. De gebruikersinterface is de client en een daemon draait in de achtergrond en beheert het downloaden en aanbieden van torrents. De daemon accepteert standaard alleen verzoeken van localhost. Via dns-rebinding lukte het Ormandy om de Transmission-interface te bedienen. Een gebruiker zou hiervoor alleen een kwaadaardige website moeten bezoeken, verdere interactie is niet vereist. In het geval van een succesvolle aanval kan een aanvaller de downloaddirectory voor torrents veranderen naar de home-directory van de gebruiker. Vervolgens kan de aanvaller Transmission een torrent laten downloaden genaamd ".bashrc" dat automatisch wordt uitgevoerd als de gebruiker een bash-shell opent. Aanvallers kunnen Transmission ook instellen om elke willekeurig commando te laten uitvoeren nadat een bestand is gedownload. Volgens Ormandy is de kwetsbaarheid eenvoudig te misbruiken. Gebruikers kunnen zich beschermen door de daemon/webserver van Transmission zo in te stellen dat er een gebruikersnaam en wachtwoord is vereist. Tegenover Ars Technica laat Transmission weten dat er zo snel als mogelijk een update komt, maar een datum is niet gegeven. In 2016 wisten aanvallers de officiële versie van Transmission twee keer van een backdoor te voorzien. bron: security.nl

De bekende beveiligingsonderzoeker Steve Gibson heeft een gratis tool ontwikkeld die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. De tool heet InSpectre en kijkt niet alleen of systemen kwetsbaar zijn, maar ook of de prestaties zijn verlaagd. Om volledig tegen beide aanvallen beschermd te zijn moeten gebruikers zowel bios- als besturingssysteem-updates installeren. Dit kan een invloed op de systeemprestaties hebben, afhankelijk van waar het systeem precies voor wordt gebruikt. InSpectre laat weten welke updates geïnstalleerd zijn en wat er nog moet worden gedaan om het systeem te beschermen. Ook biedt de tool een optie om de bescherming tegen Spectre en Meltdown uit te schakelen. bron: security.nl

Onderzoeker Guido Vranken heeft in de vpn-software SoftEther VPN elf kwetsbaarheden gevonden waardoor denial of service-aanvallen en geheugencorruptie mogelijk waren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware. Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. SoftEther VPN biedt zowel de client- als serversoftware. Vranken voerde het onderzoek uit in opdracht van het Max Planck Instituut voor Moleculaire Genetica. De kwetsbaarheden werden tijdens een 80 uur durende security-audit ontdekt, waarbij uitgebreid van fuzzers gebruik werd gemaakt. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Vranken had eerder al via fuzzing elf kwetsbaarheden in FreeRADIUS en verschillende beveiligingslekken in OpenVPN ontdekt. Om SoftEther VPN te kunnen fuzzen werd de broncode aangepast. Alle elf gevonden kwetsbaarheden zijn in SoftEther VPN 4.25 Build 9656 RTM verholpen. bron: security.nl

Onderzoekers hebben naar eigen zeggen de eerste malware voor Internet of Things-apparaten met een ARC-processor ontdekt. ARC-processors worden voor allerlei toepassingen en in enorm veel apparaten gebruikt. Jaarlijks worden er meer dan 1,9 miljard apparaten met een ARC-processor verscheept. De nu ontdekte malware, gevonden door onderzoekers met het alias MalwareMustDie en unixfreaxjp, wordt Okiru genoemd en is een variant van de Mirai-malware. Van de bijna 60 virusscanners op VirusTotal weten dertien er de malware te detecteren. Okiru kwam eind vorig jaar al in het nieuws omdat het Huawei-routers via een zeroday-lek infecteerde. De malware maakt gebruik van verschillende exploits om IoT-apparaten over te nemen en onderdeel van een botnet te maken. Vervolgens worden de besmette apparaten gebruikt om naar andere kwetsbare apparaten te scannen. Op welke apparaten de nu ontdekte malware het precies heeft voorzien is nog niet bekendgemaakt. bron: security.nl

Een 24-jarige Britse man heeft bekend dat hij crypters ontwikkelde waarmee cybercriminelen hun malware voor anti-virussoftware konden verbergen. Ook bood hij een website aan waar cybercriminelen tegen betaling hun malware op detectie door virusscanners konden laten testen. De crypters, genaamd Cryptex Reborn en Cryptex Lite, werden in abonnementsvorm aangeboden. Cryptex Lite kostte 6,50 euro per maand, terwijl voor een "lifetime" licentie voor Cryptex Reborn 73 euro moest worden betaald. De Brit gaf "klanten" via Skype ondersteuning. Tussen 2011 en 2015 ontving hij 36.000 euro aan betalingen via PayPal. Het werkelijke bedrag dat hij verdiende ligt waarschijnlijk hoger, aangezien de Brit ook betalingen in bitcoin en Amazon-cadeaubonnen accepteerde, zo meldt het Britse National Crime Agency (NCA). Een gezamenlijk onderzoek van het NCA en anti-virusbedrijf Trend Micro leidde tot de aanhouding van de man. bron: security.nl

Hardeschijffabrikant Seagate heeft een firmware-update uitgebracht voor de Personal Cloud NAS wegens een kwetsbaarheid waardoor een aanvaller op afstand bestanden kon verwijderen. Securitybedrijf Securify ontdekte dat de Seagate Media Server die op de NAS draait door een ongeauthenticeerde aanvaller gebruikt kan worden om willekeurige bestanden en mappen te verwijderen. De Media Server draait met rootrechten en heeft geen bescherming tegen cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Tevens bleek de applicatie via de personalcloud.local domeinnaam toegankelijk te zijn. Zodoende kon de kwetsbaarheid via een kwaadaardige website worden aangevallen, zonder dat de NAS direct via het internet toegankelijk was. Seagate heeft de kwetsbaarheid in firmware-versie 4.3.18.0 gepatcht. bron: security.nl

Verschillende computerfabrikanten, waaronder Acer, Asus, Dell, HP en Lenovo, hebben vanwege de Meltdown- en Spectre-aanvallen bios-updates uitgebracht of werken hieraan. Ook zijn verschillende updates vanwege problemen inmiddels weer teruggetrokken. Microsoft waarschuwde eerder nog dat het installeren van updates voor het besturingssysteem niet voldoende is. Ook bios-updates moeten worden geïnstalleerd als gebruikers volledig beschermd willen zijn. Intel meldde vorige week echter dat het meldingen van klanten had ontvangen dat de bios-update voor de Spectre- en Meltdown-aanvallen voor herstartende systemen zorgen. Het gaat dan met name om systemen met de Intel Broadwell- en Haswell-processoren bij zowel clients als datacentra. Daarop heeft Intel aan computerfabrikanten gevraagd om de updates voor Broadwell- en Haswell-processoren voorlopig niet meer aan te bieden. Lenovo meldt dat het vanwege "kwaliteitsproblemen" bios-updates voor Broadwell, Haswell en Kaby Lake heeft teruggetrokken. Op de eigen website heeft Lenovo een overzicht gepubliceerd van uitgebrachte, teruggetrokken en nog te verschijnen bios-updates. De fabrikant laat weten dat honderden systemen kwetsbaar zijn. Ook Asus heeft een overzicht van beschikbare bios-updates online gezet voor desktops en laptops, moederborden en servers en workstations. Acer zegt dat het voor de meeste kwetsbare systemen, zoals vermeld in dit overzicht, met een update zal komen. De updates worden op dit moment getest. Dell heeft inmiddels voor een groot aantal systemen bios-updates uitgebracht of zal dit later deze maand doen. Hetzelfde geldt voor HP, alleen meldt de fabrikant dat een groot aantal systemen pas begin februari een update zal ontvangen. Voor eigenaren van een Toshiba-systeem zijn nog geen bios-updates beschikbaar. De fabrikant hoopt de komende maanden met updates te komen. Verder zijn er bios-updates voor Gigabyte- en MSI-moederborden verschenen. Volgens Google is het oplossen van de kwetsbaarheden waar Spectre en Meltdown misbruik van maken mogelijk de grootste uitdaging van de afgelopen tien jaar. bron: security.nl

Een aanvaller heeft de online portemonnee BlackWallet gehackt en voor meer dan 300.000 dollar aan Lumen gestolen, zo laat de oprichter van BlackWallet op Reddit en Twitter weten. BlackWallet is een webwallet voor de cryptovaluta Lumen (XLM). Volgens de oprichter wist de aanvaller toegang tot zijn hostingaccount te krijgen en wijzigde de dns-instellingen. Dns (domain name system) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. De aanvaller wijzigde de dns-instellingen zodat gebruikers naar een kwaadaardige kopie van de originele BlackWallet-website werden doorgestuurd. Als gebruikers op deze website inlogden werden hun Lumen naar de wallet van de aanvaller doorgestuurd. Vervolgens stuurde de aanvaller de Lumen door naar een exchange om daar om te wisselen. De oprichter meldt op Twitter dat het om een bedrag van meer dan 300.000 dollar gaat. Op welke manier de aanvaller toegang tot het hostingaccount wist te krijgen is niet bekendgemaakt. De oprichter zegt op een later moment met meer informatie te zullen komen. Hij verwacht echter niet dat BlackWallet zal terugkomen, aangezien gebruikers het niet meer zullen vertrouwen. De BlackWallet-website is op het moment van schrijven nog altijd uit de lucht. Een aantal weken geleden werd ook de dns van Ethereumplatform EtherDelta door een aanvaller gekaapt. bron: security.nl

Aanvallers hebben e-mails verstuurd die van de Duitse overheid afkomstig lijken en voor de Spectre- en Meltdown-aanvallen waarschuwen, maar in werkelijkheid malware verspreiden. Het bericht heeft als onderwerp "Kritische Sicherheitslücke - Wichtiges Update" en zou van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, afkomstig zijn. Het BSI is de overheidsinstantie die in Duitsland beveiligingsadvies uitbrengt en voor allerlei kwetsbaarheden waarschuwt. De e-mail waarschuwt ontvangers voor Spectre en Meltdown en stelt dat de beschikbaar gemaakte update zo snel als mogelijk moet worden geïnstalleerd. Hiervoor bevat de e-mail een link naar een website. De aanvallers hebben de website van het BSI nagemaakt en bieden daarop een bestand aan dat zogenaamd een beveiligingsupdate is. In werkelijkheid gaat het om malware die computer en smartphone kan infecteren, aldus het echte BSI. De organisatie waarschuwt dat beveiligingsupdates nooit via e-mail worden verspreid. Op de dag dat Spectre en Meltdown bekend werden adviseerde het BSI om de updates die tegen de aanvallen beschermen zo snel als mogelijk te installeren. Anti-malwarebedrijf Malwarebytes maakte een analyse van de aanval. De malafide website biedt een zip-bestand aan genaamd Intel-AMD-SecurityPatch-11-01bsi.zip, dat de zogenaamde patch met de naam Intel-AMD-SecurityPatch-10-1-v1.exe bevat. Het gaat hier om de malware genaamd "Smoke Loader" die aanvallers volledige controle over het systeem geeft en aanvullende malware-modules installeert. bron: security.nl

Intel heeft van een aantal klanten meldingen ontvangen dat de bios-update voor de Spectre- en Meltdown-aanvallen voor herstartende systemen zorgen. Het gaat dan met name om systemen met de Intel Broadwell- en Haswell-processoren bij zowel clients als datacentra, aldus Navin Shenoy van Intel. De chipfabrikant zegt dat het met deze klanten samenwerkt om het herstartprobleem te onderzoeken en verhelpen. "Als dit een herziene firmware-update van Intel vereist, zullen we die via de normale kanalen beschikbaar maken. We werken ook direct met datacentrumklanten om het probleem te bespreken", aldus Shenoy. Hij adviseert eindgebruikers om beschikbare updates voor zowel hun systeem als besturingssysteem te installeren. Eerder werd al bekend dat de Windows-update voor Spectre bij sommige AMD-gebruikers voor problemen zorgde. Daarop werd besloten de uitrol van de update onder AMD-gebruikers tijdelijk te staken. Ook Canonical, verantwoordelijk voor de Linux-distributie Ubuntu, meldde dat sommige gebruikers na installatie van de beschikbaar gemaakte beveiligingsupdate met bootproblemen te maken kregen. Het probleem is inmiddels met een reeks nieuwe updates verholpen. bron: security.nl

Mozilla gaat Firefox ESR van een nieuwe feature voorzien waardoor het uitrollen van en beheren van de browser binnen organisaties eenvoudiger moet worden. Firefox Extended Support Release (ESR) is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Met Firefox 60 ESR zal Mozilla de browser van een "policy engine" voorzien, wat de integratie met bestaande beheersystemen moet vereenvoudigen. Via de policy engine kunnen beheerders bepaalde domeinen black- of whitelisten, voorkomen dat gebruikers de interne configuratie kunnen benaderen, telemetrie uitschakelen, bookmarks instellen en instellen hoe er met cookies, opslag, plug-ins en pop-ups moet worden omgegaan. De policy engine zal met elke tool werken die policies wil instellen en Mozilla is van plan om ook Windows Group Policy-ondersteuning te introduceren. De feature zal zoals gezegd aan Firefox 60 ESR worden toegevoegd die op 8 mei dit jaar moet uitkomen. bron: security.nl

De updates die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen hebben invloed op de systeemprestaties, zo blijkt uit nieuwe benchmarks (pdf) die Intel heeft vrijgegeven. Volgens de chipfabrikant zijn de prestatiegevolgen op Kaby Lake- en Coffee Lake-processoren met een ssd-schijf klein. Zo laat de SYSMark2014SE-benchmark een prestatieverlies van 6 procent zien. In bepaalde gevallen zijn de gevolgen op de systeemprestaties groter. Bijvoorbeeld bij gebruikers die webapplicaties gebruiken die complexe JavaScript-operaties bevatten. Daar kan de impact zelfs tot 10 procent oplopen. Bij andere activiteiten, zoals games en computerintensieve financiële analyses, is de impact minimaal, aldus Intel. In het geval van mobiele Kaby Lake-H-processoren bedraagt de impact zo'n 7 procent in de SYSMark2014SE-benchmark. Voor Skylake-S-processoren zijn de prestatiegevolgen iets groter, namelijk 8 procent in de SYSMark2014SE- benchmark. In combinatie met Windows 7 werd er een prestatieverlies van 6 procent waargenomen. Wanneer het systeem over een ssd-schijf beschikt zijn gevolgen kleiner. Intel zegt dat het de komende week meer benchmarks zal verzamelen en publiceren. Inmiddels wordt er ook gewerkt aan maatregelen om de impact op de systeemprestaties te verminderen. bron: security.nl

AMD komt volgende week met zogeheten microcode-updates om gebruikers van de Ryzen- en EPYC-processors tegen de Spectre-aanval te beschermen, zo heeft de chipfabrikant aangekondigd. Updates voor oudere processors zullen de komende weken verschijnen. Net zoals andere moderne processors zijn ook de chips van AMD kwetsbaar voor de twee Spectre-aanvallen. De Meltdown-aanval is een probleem dat alleen bij Intel-processors speelt. Volgens AMD is de eerste Spectre-aanval via updates voor het besturingssysteem te verhelpen, maar vereist de tweede variant een microcode-update. De eerste van deze updates, bedoeld voor Ryzen- en EPYC-processors, wordt volgende week onder klanten en partners uitgerold. Onlangs werd bekend dat een Windows-update om tegen de Spectre-aanval te beschermen bij gebruikers van bepaalde AMD-processoren voor problemen zorgde. Vanwege deze problemen besloot Microsoft de uitrol tijdelijk te staken. AMD meldt nu dat het probleem oudere processors raakt, namelijk de AMD Opteron, Athlon en AMD Turion X2 Ultra. De chipfabrikant werkt samen met Microsoft om het probleem te verhelpen en verwacht dat Microsoft volgende week de beveiligingsupdate weer zal uitrollen. bron: security.nl

Microsoft heeft wegens aanvallen op gebruikers besloten om de DDE-feature ook in Excel uit te schakelen. Eerder werd dit al bij alle ondersteunde versies van Word gedaan. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds in gebruik is. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren en Microsoft besloot eerder al voor dergelijke aanvallen te waarschuwen. De feature werd op 12 december in Word uitgeschakeld. Een weet later liet Microsoft weten dat het maatregelen had genomen om gebruikers tegen aanvallen van de Lazarus-groep te beschermen. Details werden niet bekendgemaakt, maar mogelijk gaat het hier om het uitschakelen van de DDE-feature. Er is nu ook voor Excel een update verschenen die de feature uitschakelt. Gebruikers die de feature nodig hebben kunnen die wel weer inschakelen, zoals in de security advisory wordt uitgelegd. bron: security.nl