Captain Kirk

Er is een nieuwe versie van de populaire wachtwoordkraker Hashcat verschenen die wachtwoordhashes nu veel sneller kan kraken dan bij vorige versies het geval was. Bij veelgebruikte hash-algoritmes zoals MD5, SHA-1 en SHA-256 bedraagt de prestatiewinst tientallen procenten, aldus de benchmarks. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database wordt gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Het is echter mogelijk om een hash te kraken en het bijbehorende wachtwoord te achterhalen. Iets wat middels een tool als Hashcat mogelijk is. Het programma maakt hierbij gebruik van de rekenkracht van de videokaart en processor. In Hashcat 4.1.0 zouden zowel eigenaren van een AMD- als Nnvidia-videokaart bij alle hash-algoritmes en aanvalsmodes prestatieverbeteringen moeten zien, zo laat de ontwikkelaar van de software weten. Dit komt mede door een nieuwe techniek die bedoeld is om de PCIe-overdachtstijd te verkorten. Ook zijn de prestaties voor systemen met Intel I7- en AMD Ryzen-processoren verbeterd. Verder zijn er verschillende nieuwe hash-modes toegevoegd, waaronder die van Electrum Wallet, Apple Secure Notes en Ethereum Pre-Sale Wallet. Hashcat 4.1.0 is te downloaden via Hashcat.net. bron: security.nl

Een variant van de beruchte Mirai-malware maakt van gehackte Internet of Things-apparaten een proxyserver die criminelen voor allerlei malafide doeleinden kunnen gebruiken. De oorspronkelijke Mirai-malware was ontwikkeld om IoT-apparaten voor het uitvoeren van ddos-aanvallen in te zetten. Onlangs werd er een variant ontdekt die ontwikkeld was om cryptovaluta te stelen. De variant waar securitybedrijf Fortinet nu over schrijft wordt "OMG" genoemd en beschikt over dezelfde modules van Mirai voor het uitvoeren van ddos-aanvallen, het uitschakelen van processen zoals telnet en shh, en het scannen naar andere kwetsbare IoT-apparaten om die vervolgens via bruteforce-aanvallen te infecteren. Een nieuwe toevoeging is het gebruik van 3proxy, een opensourceproxyserver. Aanvallers kunnen via een proxyserver bijvoorbeeld andere aanvallen uitvoeren. In het geval van een onderzoek zal het spoor naar de proxyserver leiden, wat helpt om de identiteit van de aanvaller te beschermen. Volgens Fortinet is dit de eerste Mirai-variant die over een proxyfunctionaliteit beschikt. De proxyserver zal waarschijnlijk tegen betaling aan andere criminelen worden aangeboden, die er vervolgens voor hun eigen doeleinden gebruik van kunnen maken, aldus het securitybedrijf. bron: security.nl

Een beveiligingslek in Windows 10 dat door een Google-onderzoeker werd ontdekt is niet gepatcht, ook al geeft Microsoft aan dat dit wel is gedaan. Dat laat Google-onderzoeker James Forshaw weten die het probleem ontdekte. Forshaw waarschuwde Microsoft op 10 november vorig jaar voor twee lekken waardoor een aanvaller zijn rechten op een Windows 10-systeem eenvoudig kan verhogen. Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller wel al toegang tot een systeem hebben. Aangezien beide kwetsbaarheden in dezelfde functie van de Windows Storage Services werden gevonden vroeg Microsoft één CVE-nummer aan, te weten CVE-2018-0826. Via een CVE-nummer kan een kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Microsoft liet Forshaw weten dat het beide problemen deze maand in Windows 10 zou verhelpen. Het beveiligingsbulletin van Microsoft stelt ook dat CVE-2018-0826 is opgelost. Nu meldt Forshaw dat één van de twee problemen die hij rapporteerde niet is verholpen en een aanvaller zodoende nog steeds zijn rechten op een systeem kan verhogen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. In dit geval werd de deadline op verzoek van Microsoft verlengd zodat de betreffende beveiligingsupdate tijdens de patchdinsdag van 13 februari kon worden uitgerold voordat de details online zouden verschijnen. Aangezien de extra tijd die Google aan Microsoft gaf om een update uit te rollen is verstreken zijn de details nu openbaar geworden, ook al is er voor de ene kwetsbaarheid nog geen patch beschikbaar. Onlangs maakte Google ook een probleem in Edge openbaar waar nog geen oplossing van Microsoft voor is. bron: security.nl

Zip- en Office-bestanden waren vorig jaar de meestgebruikte bestandsformaten bij e-mailaanvallen, zo laat Cisco in een vandaag verschenen rapport weten. Van de kwaadaardige e-mailbijlagen die van januari tot en met september 2017 werden waargenomen ging het in 38 procent van de gevallen om een Office-bestand, zoals .docx of .xlsx. Archiefbestanden als Zip en Jar waren voor 37 procent van de kwaadaardige bijlagen verantwoordelijk. Kwaadaardige pdf-bestanden (14 procent) maken de top 3 van gevaarlijke bestandsextensies compleet. Ransomware werd vorig jaar veelvuldig via Office-documenten en zip-bestanden verspreid. De overige 11 procent van de malafide e-mailbijlagen bestaat uit bestanden met "andere extensies", binaries en html/xml/js-extensies. In de categorie "andere extensies" was de MyWebSearch-spyware, die exe-bestanden gebruikt om zich via e-mail te verspreiden, de meest actieve dreiging. Cisco omschrijft MyWebSearch als kwaadaardige advware en een browserkaper die zich voordoet als behulpzame toolbar. Om infecties via e-mailbijlagen te voorkomen krijgen organisaties onder andere het advies om gebruikers voor te lichten. bron: security.nl

Intel heeft wederom nieuwe beveiligingsupdates uitgebracht die eigenaren van een Intel-processor tegen de Spectre- en Meltdown-aanvallen moeten beschermen. Gebruikers klaagden na de installatie van eerdere updates over herstartende systemen en ander onverwacht systeemgedrag. Vervolgens waarschuwde Intel gebruikers en organisaties om de updates niet te installeren en kregen fabrikanten het verzoek om de updates niet meer aan te bieden. Twee weken geleden kwam Intel al met nieuwe microcode-updates voor verschillende Skylake-gebaseerde platformen. Nu zijn er ook nieuwe microcode-updates voor Kaby Lake- en Coffee Lake-gebaseerde platformen uitgebracht, alsmede voor verschillende andere Skylake-platformen. Een overzicht van de status van de microcode-updates is in dit pdf-bestand van Intel te vinden. De nu uitgebrachte updates zijn bedoeld voor computerfabrikanten, die ze weer tot bijvoorbeeld een bios-update moeten verwerken die eindgebruikers kunnen installeren. Wederom herhaalt Intel dat het belangrijk is om systemen up-to-date te houden. Daarnaast noemt de chipfabrikant ook de Retpoline-oplossing van Google. Dit is een verdedigingstechniek die binnen Google wordt toegepast om gebruikers tegen één van de twee Spectre-aanvallen te beschermen. bron: security.nl

Firefox 60 zal over een optie beschikken waarmee gebruikers de ondersteuning van het ftp-protocol kunnen uitschakelen. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te verplaatsen. Dit gebeurt echter onversleuteld. Daarnaast maakt een klein percentage van de internetgebruikers via hun browser gebruik van ftp. Mozilla is al geruime tijd bezig om het gebruik van het onversleutelde http-protocol terug te dringen en lijkt zich nu ook op ftp te gaan richten, zo ontdekte webontwikkelaar Soeren Hentzschel. Via de optie in Firefox 60 zal het niet meer mogelijk zijn om via de browser ftp-links te openen. In plaats daarvan zal de link als invoer voor de standaard ingestelde zoekmachine worden gebruikt. Gebruikers moeten de optie nog wel zelf inschakelen. Firefox 60 staat gepland voor 9 mei. Een vroege testversie van de browser is nu al te downloaden. bron: security.nl

Criminelen hebben de publieke cloudomgeving van Tesla gebruikt voor het mijnen van cryptovaluta. De aanval werd door securitybedrijf RedLock ontdekt dat op internet naar onbeveiligde en verkeerde geconfigureerde cloudservers zocht. De aanvallers hadden een cloudconsole van Tesla geïnfiltreerd die niet met een wachtwoord was beveiligd, aldus het securitybedrijf. Vervolgens werd de onderliggende cloudomgeving gebruikt om naar cryptovaluta te mijnen. De aanvallers hadden verschillende maatregelen genomen om niet te worden ontdekt. Zo was de miningsoftware geconfigureerd zodat die niet naar een standaardpoort luisterde, wat de detectie van kwaadaardige activiteiten gebaseerd op poortverkeer lastiger maakt. Daarnaast was de miningsoftware zo ingesteld dat het systeem niet maximaal werd belast, waardoor de cryptominer niet in het clouddashboard opviel. Tevens was het werkelijke ip-adres van de miningpoolserver verborgen. Na te zijn ingelicht heeft Tesla de cloudomgeving beveiligd. bron: security.nl

Een feature van Microsoft Word maakt het mogelijk om cryptominers in documenten te verbergen die vervolgens de rekenkracht van de computer gebruiken om cryptovaluta te mijnen, zo waarschuwt onderzoeker Amit Dori van securitybedrijf Votiro. Het gaat om de Online Video-feature waarmee video's aan documenten kunnen worden toegevoegd. In plaats van een video in het document te embedden wordt er een frame gebruikt dat de video laadt. Voor het weergeven van dit frame maakt Word gebruik van Internet Explorer. Op deze manier is het mogelijk om in het frame te wijzen naar een website die de video laadt, maar in de achtergrond IE naar cryptovaluta laat mijnen. Voorwaarde is wel dat het frame open blijft en niet gesloten wordt. Dori maakte twee documenten om de aanval te demonstreren. De onderzoeker waarschuwt dat de Online Video-feature ook voor andere doeleinden is te gebruiken, zoals phishingaanvallen en drive-by downloads. bron: security.nl

In november en december vorig jaar hebben criminelen miljarden keren geprobeerd om met gestolen wachtwoorden op websites in te loggen, zo laat internetgigant Akamai in een vandaag verschenen rapport weten (pdf). Van de meer dan 17 miljard inlogverzoeken die eind vorig jaar op het platform van Akamai werden gemonitord, werd bijna de helft (43 procent) gebruikt voor het misbruiken van inloggegevens. De internetgigant baseert dit op ip-adressen die meerdere keren met gelekte inloggegevens op accounts probeerden in te loggen of wachtwoorden probeerden te raden, zonder dat ze verder iets op de website deden. De aanvallen doen zich voornamelijk voor bij webwinkels, gevolgd door websites van hotels en de reisindustrie. "Misbruik van inloggegevens, zowel door brute-force of het gebruik van illegaal verkregen lijsten met gebruikersnamen en wachtwoorden is een probleem dat niet snel zal verdwijnen. Mensen blijven continu wachtwoorden hergebruiken en veel te veel organisaties houden inlogpogingen niet voldoende in de gaten", aldus Akamai. bron: security.nl

Wordpress-gebruikers zijn gewaarschuwd voor een populaire website die illegale themes verspreidt waarvan sommige een backdoor blijken te bevatten. Dat laat anti-virusbedrijf G Data weten. Het gaat om de website "downloadfreethemes.download", waar meer dan 32.000 themes zijn te downloaden. Via themes kunnen Wordpress-beheerders de vormgeving van hun website aanpassen. Naast gratis themes zijn er ook allerlei betaalde themes. De downloadfreethemes-website biedt echter deze betaalde themes gratis aan. Sommige van de downloads zijn daarbij van een backdoor voorzien waardoor aanvallers controle over de Wordpress-site krijgen die de themes installeren. De downloadsite zou volgens cijfers van Similarweb 880.000 bezoekers per maand krijgen. Dit komt mede door de goede indexering in de zoekresultaten van Google. Bij het zoeken naar bepaalde themes of extensies verschijnt de malafide website hoger in de ranking dan de officiële downloadsite. "Zolang mensen bijna blindelings elke website die ze zien vertrouwen, blijven mensen een doelwit en dit zal niet snel stoppen", aldus G Data (pdf). bron: security.nl

Het bedrijf Flight Sim Labs dat uitbreidingen voor Microsoft Flight Simulator ontwikkelt heeft aan de laatste versie een keylogger toegevoegd om inloggegevens van één specifieke softwarepiraat te achterhalen, zo heeft de softwareontwikkelaar op de eigen website bekendgemaakt. Op Reddit ontstond ophef nadat een gebruiker in de laatste uitbreiding van Flight Sim Labs een keylogger ontdekte. De malware bleek in Chrome opgeslagen gebruikersnamen en wachtwoorden te kunnen stelen. In een verklaring laat de softwareontwikkelaar weten dat de keylogger alleen bij het invoeren van specifieke gegevens werd geactiveerd. Dit gebeurde niet bij legitieme gebruikers en er zijn ook geen persoonsgegevens van legitieme gebruikers gestolen, aldus de ontwikkelaar. De keylogger was namelijk tegen één specifieke softwarepiraat gericht. Bij de lancering van een vorige uitbreiding voor Flight Simulator bleek dat er specifieke softwarekrakers waren die de kopieerbeveiliging door middel van offline serienummergeneratoren wisten te omzeilen. Flight Sim Labs had geen idee hoe dit precies gebeurde, maar zag wel steeds bepaalde informatie, zoals gebruikersnaam, e-mailadres en serienummer, van specifieke ip-adressen komen. Aan nieuwere versies van het installatieprogramma werden meer "tests" toegevoegd om de identiteit van de krakers te achterhalen, wat uiteindelijk ook lukte. Het bleek om één specifiek persoon te gaan en Flight Sim Labs zegt de naam van deze kraker te hebben. De kraker was op bepaalde besloten websites actief waar hij zijn gegevens met andere softwarepiraten deelde. Uit de informatie die Flight Sim Labs had verzameld bleek dat de softwarepiraat in kwestie Google Chrome gebruikte. Daarom werd besloten om in de meest recente versie van de uitbreiding een Chrome-keylogger toe te voegen die in de browser opgeslagen wachtwoorden van alleen de softwarepiraat achterhaalde. Op deze manier wilde de softwareontwikkelaar de inloggegevens achterhalen waarmee er toegang tot de besloten websites kon worden verkregen die de softwarepiraat gebruikt. Deze werkwijze was succesvol, laat Flight Sim Labs weten. De softwareontwikkelaar ontdekte naar eigen zeggen een heel web van softwarepiraterij waar veel meer extensie-ontwikkelaars voor Flight Simulator het doelwit waren. Achteraf gezien was het volgens de softwareontwikkelaar geen goede beslissing om de keylogger toe te voegen en maakt het excuses voor het vertrouwen dat is geschaad. Ook biedt het klanten de mogelijkheid om hun geld terug te vragen. Inmiddels is er een nieuwe versie uitgekomen waarin de keylogger is verwijderd. bron: security.nl

Google heeft details openbaar gemaakt van een kwetsbaarheid in Microsoft Edge, ook al is een update van Microsoft nog niet voorhanden. Via de kwetsbaarheid is het mogelijk om een beveiligingsmaatregel van de browser te omzeilen. Het gaat om Arbitrary Code Guard (ACG), een maatregel die moet voorkomen dat een aanvaller kwaadaardige code in het geheugen kan laden. Door ACG en een andere beveiligingsmaatregel genaamd Code Integrity Guard kan een proces alleen gesigneerde code in het geheugen laden. Dit zorgt echter voor een probleem met Just-in-Time (JIT) compilers die JavaScript-code naar 'native code' omzetten. Daarbij wordt er namelijk ook ongesigneerde code gegenereerd. Om dit toch te laten werken heeft Microsoft de JIT-functionaliteit naar een apart proces verplaatst dat in een eigen geïsoleerde sandbox draait. Het JIT-proces is verantwoordelijk voor het compileren van JavaScript naar native code en het plaatsen hiervan in het contentproces dat hierom vraagt. Op deze manier kan het contentproces nooit zelf direct zijn eigen JIT-codepagina's laden of aanpassen. Google ontdekte een manier waarbij het JIT-proces uitvoerbare data naar het contenproces kan schrijven. De impact van de kwetsbaarheid is beoordeeld als "medium". Google waarschuwde Microsoft op 17 november. De softwaregigant liet weten dat het een veel complexer probleem is om te verhelpen dan in eerste instantie werd gedacht. Daardoor zou de update niet klaar zijn voor de patchdinsdag van februari. Microsoft zegt dat het probleem met de patchdinsdag van maart zeker wordt verholpen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen. Een deadline die nog met twee weken kan worden uitgebreid. Aangezien Microsoft niet aan dit tijdsvenster heeft voldaan zijn de details nu openbaar gemaakt. bron: security.nl

Een Belgische rechter heeft vandaag bepaald dat Facebook moet stoppen met het volgen van Belgische internetters. De sociale netwerksite mag het internetgebruik van mensen die vanuit België internetten niet meer registreren en volgen, zo meldt De Standaard. De zaak tegen Facebook was door de Belgische Privacycommissie aangespannen. Het draait om de technieken die Facebook gebruikt om mensen zowel met als zonder profiel op websites te volgen. De rechtbank van Brussel oordeelde dat Facebook de Belgische privacywet overtreedt. Zo worden internetgebruikers niet geïnformeerd over het feit dat Facebook informatie over hen verzamelt, om wat voor informatie het gaat, wat er met die informatie wordt gedaan en hoe lang die informatie wordt bewaard. "Daarnaast verkrijgt Facebook ook geen geldige toestemming van ons om al die informatie te verzamelen en verwerken", aldus de rechtbank. Naast de uitspraak dat Facebook moet stoppen met het volgen van Belgische internetgebruikers moeten ook alle onwettig verkregen gegevens worden vernietigd. Wanneer Facebook het vonnis negeert krijgt het een dwangsom van 250.000 euro per dag opgelegd, met een maximum van 100 miljoen euro. Facebook laat weten dat het in beroep gaat. De cookies en pixels die het gebruikt zijn volgens de sociale netwerksite "standaard" in de sector. bron: security.nl

Ongepatchte Jenkins-servers zijn het doelwit van een cryptominer die de rekenkracht van de machines inzet om de cryptovaluta Monero te mijnen, zo waarschuwt securitybedrijf Checkpoint. Jenkins is een opensource-automatiseringsserver die binnen softwareontwikkeling wordt gebruikt. Vorig jaar april werd er een kwetsbaarheid in Jenkins gepatcht waardoor een aanvaller op afstand willekeurige code op Jenkins-servers had kunnen uitvoeren. Het beveiligingslek is aanwezig in Jenkins versie 2.56 en ouder en Jenkins LTS versie 2.46.1 en ouder. Hoewel een beveiligingsupdate al bijna een jaar beschikbaar is, hebben nog niet alle beheerders die geïnstalleerd. Een aanvaller maakt nu van de kwetsbaarheid gebruik om een Monero-miner te installeren. Checkpoint laat weten dat de Monero-miner negatieve gevolgen voor de server kan hebben, zoals een hogere systeembelasting of zelfs een denial of service. bron: security.nl

De groep achter de beruchte SamSam-ransomware is nu al zo'n 2 jaar actief en door slecht beveiligde RDP-systemen nog steeds succesvol. Opmerkelijk aan SamSam, ook bekend als Samas, is dat de installatie van de ransomware handmatig plaatsvindt, complete netwerken worden versleuteld en er zeer hoge bedragen voor het ontsleutelen worden gevraagd. Onlangs besloot een Amerikaans ziekenhuis de makers van SamSam nog 55.000 dollar te betalen om versleutelde bestanden te ontsleutelen. In tegenstelling tot andere ransomware, die vaak via bijlagen en exploits wordt verspreid, hackt de SamSam-groep organisaties. Eenmaal binnen wordt de ransomware op zoveel mogelijk systemen geïnstalleerd en wordt er actief naar back-ups gezocht om die te verwijderen of versleutelen. In eerste instantie gebruikte de groep bekende kwetsbaarheden in JBoss-servers, waar organisaties de beschikbare updates niet voor hadden geïnstalleerd, om toegang tot netwerken te krijgen. Sinds vorig jaar wordt er echter van het Remote Desktop Protocol (RDP) gebruikmaakt. Via RDP is het mogelijk om op afstand op systemen in te loggen. Om toegang tot de RDP-systemen van organisaties te krijgen maakt de groep gebruik van bruteforce-aanvallen, zo laat securitybedrijf Secureworks in een vandaag gepubliceerd rapport weten. Matt Webster van Secureworks sluit echter niet uit dat de groep ook gebruikmaakt van al gecompromitteerde RDP-systemen. Op internet zijn er criminelen die gehackte RPD-systemen van organisaties te koop aanbieden. De SamSam-groep zou zo toegang tot slachtoffers krijgen, aldus Webster in een interview met Security.NL. In de praktijk blijkt dat er tijd tussen het compromitteren van de RDP-gegevens of het RDP-systeem zit en de infectie door SamSam. Dat zou deze theorie ondersteunen. Hoewel aanvallen van de groep tegen ziekenhuizen veel aandacht krijgen, worden ook andere sectoren getroffen, waaronder it-bedrijven, zakelijke dienstverleners, softwareontwikkelaars en horeca. De groep gaat daarbij opportunistisch te werk, zegt Webster. Met name kleinere organisaties die niet over goede incident response of beschikbare back-ups beschikken, of geen complex of gesegmenteerd netwerk hebben, kunnen zwaar door SamSam worden getroffen. Zo was een Amerikaans ziekenhuis zes weken door SamSam ontregeld. Begin 2016 gaf de FBI een waarschuwing af voor SamSam. Nog altijd maakt de groep slachtoffers. De laatste campagne, die eind vorig jaar en begin dit jaar plaatsvond, zou de criminelen 350.000 dollar hebben opgeleverd. Dit is gebaseerd op de bekende Bitcoin-wallets waar slachtoffers het geld naar toe hebben overgemaakt. Het werkelijke bedrag kan echter hoger liggen, aangezien niet alle Bitcoin-wallets die de groep gebruikt bekend zijn. Webster adviseert organisaties om hun RDP-systemen goed te beveiligen, back-ups te maken en over een incident-responseplan te beschikken en dit ook te testen. Daarnaast kan de groep door middel van systeemmonitoring ook tijdens de aanval zelf worden opgemerkt. De SamSam-groep werkt namelijk met bekende tools als Mimikatz. bron: security.nl

Anti-virusbedrijf G Data heeft vandaag een gratis "Meltdown & Spectre Scanner" gelanceerd die systemen op verschillende zaken met betrekking tot de twee aanvallen controleert. De gratis tool controleert of recente Windows-updates zijn geïnstalleerd, of de processor van de computer kwetsbaar is, de gebruikte Windows-versie, bios-updates en of er een compatibele virusscanner is geïnstalleerd. Om problemen door incompatibele anti-virusproducten te voorkomen worden Microsoft-beveiligingsupdates vanaf 3 januari, waaronder die voor Spectre en Meltdown, alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren. Na het uitvoeren van de test zal de Meltdown & Spectre Scanner verschillende tips geven om het systeem te beveiligen. De afgelopen weken zijn verschillende scanprogramma's voor de cpu-kwetsbaarheden verschenen. Deze week kwam Microsoft al met een soortgelijke gratis oplossing voor organisaties. In januari ontwikkelde beveiligingsonderzoeker Steve Gibson een gratis tool die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. Een paar dagen na het bekend worden van de aanvallen kwam het Duitse softwarebedrijf Ashampoo met de "Spectre Meltdown CPU Checker". bron: security.nl

Criminelen hebben Google Adwords gebruikt voor een phishingaanval op Bitcoin-gebruikers, zo laat Cisco vandaag weten. Als gebruikers bij Google op bepaalde zoektermen zochten zoals "blockchain" of "bitcoin wallet" kregen ze advertenties te zien die zich voordeden als de website Blockchain.info, waar het mogelijk is om een Bitcoin-wallet aan te maken. De advertenties wezen echter naar phishingsites waarvan de domeinnaam erg leek op die van Blockchain.info. Als gebruikers op de phishingsites inlogden werden hun inloggegevens naar de aanvallers doorgestuurd. Die konden zo toegang tot de bitcoins van hun slachtoffers krijgen. Cisco schat aan de hand van de Bitcoin-wallet die de aanvallers gebruikten dat ze zo'n 10 miljoen dollar hebben gestolen. Het gebruik van Google-advertenties om internetgebruikers naar phishingsites te lokken is niet nieuw. Eind vorig jaar werd de tactiek tegen Knab-klanten ingezet. bron: security.nl

Chipgigant Intel heeft het programma waarbij het onderzoekers beloont voor het melden van kwetsbaarheden uitgebreid en de beloningen verhoogd. Vorig jaar maart lanceerde Intel een gesloten "bug bounty" programma waar onderzoekers alleen op uitnodiging aan konden deelnemen. Nu is het beloningsprogramma voor iedereen opengesteld. Ook is de maximale beloning die onderzoekers in dit programma kunnen krijgen verhoogd naar 100.000 dollar, afhankelijk van de ernst van de kwetsbaarheid die ze rapporteren. Het beloningsprogramma richt zich op kwetsbaarheden in de processors, chipsets, solid state drives, firmware, drivers, applicaties en controllers van Intel. Naast het standaardbeloningsprogramma heeft Intel vandaag ook een nieuw programma voor "sidechannelaanvallen" zoals Spectre en Meltdown aangekondigd. Bij dergelijke aanvallen wordt informatie verkregen via de fysieke implementatie van een computersysteem, geheugen of processor, in plaats van dat er een kwetsbaarheid in een algoritme wordt gebruikt. Voor dergelijke kwetsbaarheden looft Intel tot 250.000 dollar uit. Dit speciale programma loopt tot 31 december van dit jaar. bron: security.nl

Organisaties die willen weten of hun Windows-computers tegen de Spectre- en Meltdown-aanvallen beschermd zijn kunnen dit voortaan via Windows Analytics achterhalen. Dit is een gratis dienst van Microsoft die informatie over Windows-computers binnen de organisatie verzamelt en via een centraal dashboard weergeeft. Het gaat dan bijvoorbeeld om de status van updates en anti-virussoftware. De dienst kan nu ook detecteren welke Spectre- en Meltdown-updates op een systeem zijn geïnstalleerd. Om tegen de aanvallen beschermd te zijn moeten er zowel besturingssysteem- als bios-updates zijn geïnstalleerd. Daarnaast moet ook de anti-virussoftware compatibel met de laatste Windows-updates zijn. Als er niet aan al deze drie eisen wordt voldaan, kunnen systemen nog steeds risico lopen. Windows Analytics laat nu zien wat de status van anti-virussoftware, beveiligingsupdates en bios-updates is met betrekking tot Spectre en Meltdown. bron: security.nl

Tijdens de patchcyclus van februari heeft Microsoft 50 kwetsbaarheden gedicht in Windows, Internet Explorer, Edge, Outlook, Office en ChakraCore waardoor een aanvaller in het ergste geval kwetsbare systemen had kunnen overnemen. Eén van de kwetsbaarheden, een manier om de beveiliging van Edge te omzeilen, was al voor het verschijnen van de beveiligingsupdate openbaar, maar volgens Microsoft is er geen misbruik van gemaakt. De meest kritieke kwetsbaarheden bevinden zich in de scripting engine van Internet Explorer 11 en Edge. Alleen door het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Ook via kwetsbaarheden in Microsoft Office en Outlook was het mogelijk om willekeurige code uit te voeren, maar hierbij had een gebruike eerst nog een kwaadaardig bestand moeten openen. Verder zijn er verschillende beveiligingslekken in de Windows-kernel, Microsoft Office en Windows Embedded OpenType (EOT) font engine verholpen waardoor een aanvaller informatie had kunnen achterhalen, alsmede kwetsbaarheden waardoor een aanvaller zijn rechten had kunnen verhogen of een denial of service veroorzaken. Op de meeste Window-systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Het updatemechanisme van Skype op Windows is kwetsbaar voor een dll-aanval waardoor een aanvaller in het ergste geval volledige controle over een systeem kan krijgen, zo waarschuwt onderzoeker Stefan Kanthak op de Full Disclosure-mailinglist. Bij een dll-aanval wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap. Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo het bestand laten uitvoeren en de computer infecteren. Hoewel Skype onderdeel van Microsoft is en ook als optionele update door Windows wordt aangeboden, maakt de voip-applicatie gebruik van een eigen updatemechanisme. Deze updater, die met systeemrechten draait, gebruikt een ander uitvoerbaar bestand om de update uit te voeren. Dit uitvoerbare bestand bevindt zich in een tijdelijke (temp) map. Wanneer een aanvaller in deze map zijn kwaadaardige dll-bestand weet te krijgen, zal de Skype-updater die uitvoeren. Op deze manier is het ook mogelijk voor een lokale gebruiker zonder rechten om systeemrechten te krijgen. Kanthak, die in het verleden veel meer van dergelijke dll-aanvallen ontdekte, waarschuwde Microsoft in september vorig jaar. Eind oktober liet Microsoft weten dat de oplossing van het probleem in een nieuwere versie van Skype zal worden verwerkt en er geen aparte beveiligingsupdate komt. De onderzoeker heeft nu zijn bevindingen openbaar gemaakt. bron: security.nl

Gebruikers van de Windows-versie van de chatt-app Telegram waren vorig jaar gedurende enkele maanden het doelwit van een RTLO-aanval, zo laat anti-virusbedrijf Kaspersky Lab weten. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Als voorbeeld noemen de onderzoekers een bestand met de naam photo_high_re[unicode-karakter]gnp.js dat een aanvaller naar een doelwit had kunnen sturen. Door het gebruik van het unicode-karakter kregen Telegram-gebruikers de bestandsnaam photo_high_resj.png te zien. Hierdoor lijkt het om een afbeelding te gaan, terwijl het in werkelijkheid een JavaScript-bestand is. Bij het openen van het JavaScript-bestand krijgen gebruikers wel een waarschuwing te zien dat het om een JavaScript-bestand gaat. Vervolgens moet de gebruiker bevestigen dat hij het bestand wil openen. Wanneer dit wordt gedaan zal het JavaScript-bestand malware op het systeem installeren. Via de malware hadden aanvallers volledige controle over het systeem en konden aanvullende modules installeren. Het ging onder andere om modules die de besmette computer naar cryptovaluta lieten mijnen. Kaskersy Lab ontdekte de aanval in oktober vorig jaar. Verder onderzoek wees uit dat de aanvallen tegen de Windows-versie van Telegram sinds maart 2017 plaatsvonden. Na te zijn ingelicht heeft Telegram het probleem verholpen zodat RTLO-aanvallen niet meer werken en de werkelijke bestandsnaam wordt weergegeven. Of ook andere Telegram-versies kwetsbaar waren kan Kaspersky Lab niet zeggen. bron: security.nl

Microsoft heeft besloten om Windows Defender Advanced Threat Protection (ATP) ook op Windows 7 en 8.1 te gaan ondersteunen. Windows Defender ATP werd in 2016 door Microsoft gelanceerd en is een dienst die organisaties tegen geavanceerde aanvallen moet beschermen. Het maakt gebruik van de beveiligingsmaatregelen die in Windows 10 aanwezig zijn en biedt aanvullende technologie voor het vinden, onderzoeken en reageren op malware en andere aanvallen. Via een dashboard geeft het organisaties een overzicht van de status van apparaten en incidenten binnen hun netwerk. Onlangs besloot Microsoft om de anti-virussoftware van andere anti-virusbedrijven binnen Windows Defender ATP te integreren, zodat ook dreigingen op andere platformen als Linux en macOS zichtbaar worden. Nu maakt de softwaregigant bekend dat de ondersteuning van de dienst wordt uitgebreid naar Windows 7 en 8.1. De reden hiervoor is volgens Microsoft dat er bedrijven zijn waar Windows 7 en Windows 10 naast elkaar draaien. Daarom zal Windows 7 tot het einde van Microsofts ondersteuning in januari 2020 ook binnen Windows Defender ATP worden ondersteund. Bedrijven kunnen zo de status van hun apparaten binnen één oplossing bekijken en verdacht gedrag op Windows 7- en 8.1-machines detecteren, aldus Microsoft. bron: security.nl

Mozilla gaat een beveiligingsmaatregel binnen Firefox doorvoeren die gebruikers tegen cache-aanvallen via http moet beschermen. De browser beschikt over een feature genaamd Application Cache (AppCache) waarmee websites ook offline kunnen werken, websites sneller worden geladen en serverbelasting wordt verminderd. Hierbij wordt er informatie van de website lokaal op het systeem opgeslagen. AppCache kent echter verschillende beperkingen als het gaat om het controleren of de cache moet worden vernieuwd. Een aanvaller kan hier misbruik van maken en ervoor zorgen dat de browser de opgeslagen cache nooit zal vernieuwen. Mozilla geeft als voorbeeld een scenario waarbij een gebruiker via een openbaar wifi-netwerk het internet opgaat. Zelfs als deze gebruiker slechts één website via http bezoekt, kan de aanvaller door middel van onveilige iframes kwaadaardige content in de cache plaatsen en zodoende al die websites voor altijd manipuleren. Zelfs een voorzichtige gebruiker die alleen thuis op websites inlogt loopt door deze "oude cache" risico, aldus Mozilla. Om gebruikers tegen een dergelijke aanval te beschermen zullen testversies vanaf Firefox 60 http-pagina's geen toegang meer tot de AppCache geven. Alleen bij een onversleutelde verbinding kan een aanvaller namelijk de inhoud van het verkeer en zo de cache manipuleren. Met de lancering van Firefox 62 zal Application Cache voor http-websites ook in de standaardversie worden verwijderd, zo laat Mozilla weten. Ook andere browsers zoals Chrome, Edge en WebKit waar Safari van gebruikmaakt hebben aangegeven deze maatregel door te zullen voeren. Het uiteindelijke plan is om steeds meer features van Firefox alleen maar toegankelijk voor https-sites te maken. Firefox 62 staat gepland voor 21 augustus van dit jaar. bron: security.nl

Gisteren is op meer dan 4.000 websites een cryptominer verschenen omdat de voorleesplug-in waar de websites gebruik van maken was gehackt. Het gaat onder andere om Amerikaanse en Britse overheidssites, zo laten beveiligingsonderzoekers Scott Helme en Troy Hunt weten. Aanvallers wisten de voorleesplug-in Browsealoud van het bedrijf TextHelp te compromitteren. Via deze plug-in is het mogelijk om tekst op websites voor te laten lezen. De JavaScript-library waar de plug-in gebruik van maakt was door de aanvallers aangepast, waardoor er een cryptominer op de websites werd geïnjecteerd. Deze cryptominer draait in de browser en gebruikt de rekenkracht van de computer om cryptovaluta te mijnen. TextHelp bevestigt dat code van de browserplug-in was aangepast. Het bedrijf stelt verder dat er geen klantgegevens zijn benaderd of verloren gegaan. "Het aangepaste bestand was alleen gebruikt om computers naar cryptocurrency te laten mijnen. De exploit was voor een periode van vier uur op zondag actief", aldus cto Martin McKay. De gehackte voorleesplug-in verscheen onder andere op de websites van de Britse privacytoezichthouder ICO, de Britse National Health Service en Amerikaanse rechtbanken. bron: security.nl