Captain Kirk

Het installeren van Windows-updates is niet voldoende om volledig tegen de Spectre- en Meltdown-aanvallen beschermd te zijn, zo heeft Microsoft laten weten. Gebruikers moeten ook de bios-update van hun leverancier installeren. "Omdat deze kwetsbaarheden op het processorniveau beginnen, is het installeren van de nieuwste Windows-updates niet voldoende om volledig beschermd te zijn. Je moet ook de laatste firmware-updates van je computerleverancier installeren", zegt Microsofts John Cable. Vorige week verschenen er verschillende beveiligingsupdates voor Windows om gebruikers tegen Spectre en Meltdown te beschermen. Intel liet eerder al weten dat er voor alle processors die in de laatste 5 jaar zijn uitgekomen voor eind januari updates beschikbaar zullen zijn. Cable maakte de opmerking in een aankondiging over de uitrol van de Windows 10 Fall Creators Update. De update, die op 17 oktober verscheen, wordt nu aan alle Windows 10-computers aangeboden, waaronder bedrijfscomputers. Alle systemen met de Windows 10 Enterprise edition of Windows 10 Pro edition die zijn ingesteld om automatisch updates te ontvangen zullen vanaf 18 januari de Fall Creators Update aangeboden krijgen. bron: security.nl

Microsoft heeft in samenwerking met Signal end-to-end-encryptie aan Skype toegevoegd. De voip-applicatie van Microsoft beschikt over een nieuwe feature genaamd Private Conversations die via het Signal Protocol end-to-end-encryptie biedt. Hetzelfde protocol wordt door WhatsApp en Signal gebruikt. De end-to-end-encryptie zorgt ervoor dat de inhoud van chatgesprekken alleen toegankelijk is voor de zender en ontvanger. "Skype is één van de populairste applicaties in de wereld en we vinden het fantastisch dat Private Conversations in Skype ervoor zorgt dat meer gebruikers hun communicatie met de sterke encryptie van het Signal Protocol kunnen beveiligen", zegt Joshua Lund van Open Whisper Systems, de ontwikkelaar van het Signal Protocol. Private Conversations is nu in de testversie van Skype beschikbaar. bron: security.nl

Een groep aanvallers genaamd Turla slaagt er al geruime tijd in om een besmet installatieprogramma van Adobe Flash Player op onbekende wijze te verspreiden. Dat laat anti-virusbedrijf ESET weten (pdf). De virusbestrijder ontdekte een aanval gericht tegen ambassades en consulaten in voormalige Sovjet-landen. De aanvallers gebruiken een legitieme Flash Player-installer, gebundeld met een backdoor die informatie verzamelt en terugstuurt. Nu zijn er meer aanvallen bekend waarbij er besmette Flash Player-installers werden gebruikt. Wat opvalt aan deze aanval is dat het lijkt alsof de besmette Flash Player-installer bij Adobe is gedownload. Zowel de links, domeinen als ip-adressen die de onderzoekers tegenkwamen waren echt van Adobe. ESET sluit echter uit dat Adobe gehackt is geweest. Er wordt dan ook aan een soort van man-in-the-middle-aanval gedacht. De downloads van het besmette installatieprogramma, die waarschijnlijk door de slachtoffers werden geïnitieerd, vonden plaats via http. Een aanvaller tussen de gebruiker en het internet kan het http-verkeer manipuleren en zo het besmette installatieprogramma aanbieden. In een rapport over de aanval schetsen de onderzoekers verschillende mogelijk scenario's, zoals het gebruik van ARP-spoofing. Hierbij wordt het verkeer van het doelwit in real-time doorgestuurd naar een al besmette computer in het netwerk. Om een dergelijke aanval uit te voeren moeten de aanvallers al een machine in het netwerk hebben gecompromitteerd. Een andere mogelijkheid die wordt genoemd is een gehackte gateway waarmee http-verzoeken naar de website van Adobe kunnen worden onderschept en aangepast. Een man-in-the-middle-aanval zou ook op het niveau van de internetprovider kunnen plaatsvinden. De slachtoffers die ESET identificeerde zitten bij vier verschillende internetproviders. "Dit scenario zou suggerren dat de Turla-groep het verkeer in verschillende landen kan monitoren", zo stellen de onderzoekers. Als laatste wordt een techniek genaamd BGP-hijacking genoemd. Hierbij wordt het verkeer dat voor de servers van Adobe bedoeld is omgeleid naar de servers van de aanvallers. Deze techniek heeft als nadeel dat die snel kan worden opgemerkt, terwijl de aanvalscampagne waar ESET over schrijft al sinds augustus 2016 gaande is. Volgens de onderzoekers is het dan ook waarschijnlijk dat de Turla-groep een zelfgemaakte tool op de lokale gateways van getroffen organisaties installeert waarmee het verkeer kan worden onderschept en aangepast. Hoe de aanvallers echter precies te werk gaan is nog altijd onbekend. bron: security.nl

Het Duitse softwarebedrijf Ashampoo heeft een gratis tool uitgebracht die met één muisklik test of Windows-computers kwetsbaar voor de Spectre- en Meltdown-aanvallen zijn. De tool maakt gebruik van een door Microsoft ontwikkelde controle die handmatig kan worden uitgevoerd. Dit vereist echter de nodige handelingen. Via de "Spectre Meltdown CPU Checker" kan de controle via één muisklik worden uitgevoerd. Het programma controleert op beide aanvalsvectoren en biedt vervolgens verdere informatie over hoe gebruikers hun computer kunnen beschermen. Ashampoo is de ontwikkelaar van tientallen applicaties, waaronder AntiSpy for Windows 10, waarmee allerlei privacy-opties voor het besturingssysteem eenvoudig kunnen worden in- of uitgeschakeld. bron: security.nl

Computers met Windows 7 kwamen in de laatste helft van vorig jaar vaker in aanraking met ransomware dan computers die Windows 10 draaien, terwijl Windows 10 op meer machines geïnstalleerd staat, zo laat Microsoft weten. Van juni tot en met november kwamen Windows 7-pc's 3,4 keer vaker in aanraking met ransomware dan Windows 10-computers. "De data laat zien dat aanvallers zich op Windows 7 richten. Gegeven de moderne dreigingen van vandaag de dag, zijn oudere platformen eenvoudiger binnen te dringen omdat ze niet over de geavanceerde ingebouwde verdediging beschikken die op Windows 10 beschikbaar is", zegt Microsofts Tanmay Ganacharya. Als voorbeeld wijst hij naar de uitbraak van de WannaCry-ransomware. Windows 10 was niet vatbaar voor de ransomware en de manier waarop het zich verspreidde. Ook noemt Tanmay Ganacharya "Controlled folder access", de nieuwe feature die met de Windows 10 Fall Creators Update werd gelanceerd om ransomware te stoppen. Via de feature kunnen gebruikers mappen opgegeven die alleen voor geselecteerde programma's toegankelijk zijn. In het geval ransomware op het systeem de bestanden in deze mappen wil versleutelen wordt dit geblokkeerd en verschijnt er een waarschuwing voor de gebruiker. Hoewel Microsoft stelt dat Windows 10 een groter aantal installaties dan Windows 7 heeft laten cijfers van StatCounter zien dat het aandeel van beide besturingssystemen op de desktop nagenoeg identiek is, terwijl bij Net Applications Windows 7 nog altijd het dominante desktopbesturingssysteem is. bron: security.nl

Nvidia heeft vanwege de Spectre-aanval voor verschillende videokaarten driverupdates uitgebracht, zo heeft het bedrijf bekendgemaakt. Het gaat om de GeForce-, Quadro-, NVS-, Tesla- en GRID-series op verschillende platformen. Voor verschillende van deze videokaarten zijn nieuwe Linux- en Windows-drivers uitgekomen. Afhankelijk van het platform en gebruikte driver zullen voor de Tesla- en GRID-series de nieuwe drivers eind januari beschikbaar zijn. De afgelopen dagen hebben verschillende partijen, waaronder Intel en Microsoft, zich al uitgelaten over de gevolgen van de beveiligingsupdates op de systeemprestaties. Microsoft liet gisteren weten dat met name gebruikers van Windows 7 en Windows 8 de gevolgen zullen merken. Of de nieuwe Nvidia-drivers ook gevolgen voor de prestaties van de videokaarten hebben heeft de fabrikant niet bekendgemaakt. Update Nvidia laat in een update weten dat de videokaarten niet kwetsbaar zijn. De drivers zijn geüpdatet omdat die met mogelijk kwetsbare processors samenwerken. Het artikel is hierop aangepast. bron: security.nl

Er zijn updates voor Ubuntu, Tails en Linux Mint verschenen die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen. Versie 3.4 van het privacybesturingssysteem Tails bevat een volledige oplossing voor de Meltdown-aanval, terwijl de Spectre-aanval gedeeltelijk wordt verholpen. Daarnaast verhelpt deze versie verschillende andere problemen, zoals het traag opstarten vanaf dvd. Ook voor gebruikers van Ubuntu en Linux Mint zijn er updates verschenen, waaronder nieuwe drivers van Nvidia. Ubuntu 17.04 ontvangt echter geen updates voor Meltdown en Spectre, zo laat Ubuntu weten. Deze versie, die 9 maanden geleden verscheen, bereikt op 13 januari de status "end of life" en zal daarna geen updates meer ontvangen. bron: security.nl

Tijdens de eerste geplande patchdag van 2018 heeft Adobe een beveiligingsupdate uitgebracht die één kwetsbaarheid in Flash Player verhelpt. Via de kwetsbaarheid kan een aanvaller bepaalde informatie van het systeem stelen. Om wat voor informatie het precies kan gaan laat Adobe niet weten. Het beveiligingslek werd door een anonieme onderzoeker aan het Zero Day Initiative van Trend Micro verkocht. Het bedrijf waarschuwde vervolgens Adobe. De kwetsbaarheid is aanwezig in Flash Player versie 28.0.0.126 en eerder. Gebruikers krijgen het advies om te updaten naar Flash Player-versie 28.0.0.137. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Adobe adviseert gebruikers om de update binnen 30 dagen te installeren. Door het uitblijven van aanvallen op bekende, al gepatchte Flash Player-kwetsbaarheden heeft Adobe de prioriteit voor het installeren van geplande Flash-updates verlaagd. Voorheen kregen gebruikers altijd het advies om de update binnen 72 uur uit te rollen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. bron: security.nl

Microsoft heeft besloten om de updates die Windows-gebruikers tegen de Spectre-aanval moeten beschermen tijdelijk niet meer aan bepaalde AMD-systemen aan te bieden. Dit vanwege problemen waardoor gebruikers met vastlopers en niet meer werkende computers te maken kregen. Op het forum van Microsoft klaagden tal van gebruikers met voornamelijk AMD Athlon-processors dat de computer na de installatie van de Spectre-updates tijdens het opstarten vastliep. In een verklaring laat de softwaregigant weten dat sommige AMD-chipsets zich niet houden aan de documentatie die eerder aan Microsoft was gegeven om bescherming tegen Spectre en Meltdown te ontwikkelen. Meltdown raakt alleen Intel-processors, Spectre is een probleem dat bij nagenoeg alle moderne processors speelt, waaronder die van AMD. Om te voorkomen dat AMD-klanten hun computer niet meer kunnen starten heeft Microsoft daarom besloten om de uitrol van verschillende updates tijdelijk te staken. Het gaat om KB4056897, KB4056894, KB4056888, KB4056892, KB4056891, KB4056890, KB4056898, KB4056893 en KB4056895. Microsoft zegt dat het met AMD samenwerkt om de problemen zo snel als mogelijk te verhelpen om de updates opnieuw te kunnen uitrollen. In dit achtergrondartikel: Wat is dat nieuwe lek in computers?, wordt meer informatie over de Meltdown- en Spectre-aanvallen gegeven. bron: security.nl

Spamhaus wil dat cloudproviders meer gaan doen aan de bestrijding van botnets, zo heeft de anti-spamorganisatie in het jaaroverzicht van providers met de meeste botnetcontrollers bekendgemaakt. Botnetcontrollers worden gebruikt voor het aansturen van computers die onderdeel van een botnet zijn. Een botnetcontroller kan een gehackte server of website zijn, maar in steeds meer gevallen huren cybercriminelen met vervalste gegevens servers bij een hostingprovider. In 2017 werden meer dan 9500 botnetservers door Spamhaus geregistreerd, een stijging van 32 procent ten opzichte van het jaar daarvoor. Het aantal IoT-botnetcontrollers steeg zelfs van 393 in 2016 naar 943 in 2017. De meerderheid van de botnetcontrollers (68 procent) werd aangetroffen op servers die door cybercriminelen alleen voor dit doel waren gehuurd. De Top 10 van providers met de meeste botnetcontrollers wordt aangevoerd door de Franse hostingprovider OVH. Het Nederlandse WorldStream staat op een negende plek in het overzicht. Volgens Spamhaus laat de groei van het aantal botnetcontrollers zien dat providers nog steeds moeite hebben om frauduleuze aanmeldingen tegen te gaan. Daarbij maakt de anti-spamorganisatie zich vooral zorgen over cloudproviders die de ip-adressen van botnetcontrollers roteren. Iets dat als een dreiging voor Spamhaus-gebruikers wordt genoemd. "We hopen daarom dat cloudhostingproviders niet alleen sneller op abuseproblemen reageren, maar ook preventieve maatregelen nemen om frauduleuze aanmeldingen tegen te gaan", aldus Spamhaus, dat tevens hoopt dat hostingproviders hun abusepersoneel voorlichten om op op een professionelere manier met abuseproblemen om te gaan. Als voorbeeld wordt het misbruik van gehackte websites gegeven. Sommige providers verwijderen na een melding alleen de kwaadaardige bestanden, maar laten de oorzaak van de hack ongemoeid, waardoor de website op een later moment weer wordt gehackt en gebruikt voor malafide doeleinden. Verder geeft Spamhaus vanwege het groeiend aantal botnetcontrollers het advies aan netwerkeigenaren om verkeer van anonimiseringsdiensten zoals Tor standaard te blokkeren. Gebruikers zouden dan alleen via een "opt-in" toegang kunnen krijgen. Daarnaast worden Registries en Registrars opgeroepen om maatregelen te nemen die frauduleuze domeinregistraties moeten tegengaan. bron: security.nl

Eind januari zijn er voor alle recente Intel-processors beveiligingsupdates beschikbaar die gebruikers tegen de Spectre- en Meltdown-aanvallen moeten beschermen, zo heeft Intel-ceo Brian Krzanich tijdens zijn keynote op de Consumer Electronics Show (CES) in Las Vegas laten weten. De processors van Intel zijn kwetsbaar voor zowel Spectre als voor Meltdown. Volgens Krzanich zijn er nog geen berichten binnengekomen dat de twee aanvallen zijn gebruikt om gegevens van gebruikers te stelen. Intel werkt inmiddels aan updates en stelt dat die voor meer dan 90 procent van de recente processors binnen eek week beschikbaar zullen zijn. Voor de overige processors zal dit eind januari worden. Het gaat hierbij om processors die in de afgelopen vijf jaar zijn uitgekomen. Wat betreft de impact van de updates op de prestaties van de computer is dit afhankelijk van waar ze voor worden gebruikt, merkte Krzanich op. Bij sommige "workloads" zijn de gevolgen groter dan bij andere. De Intel-ceo gaf echter aan dat er wordt gewerkt om de impact te beperken. Verder adviseerde hij het publiek om updates van systeemleveranciers en beveiligingsupdates voor het besturingssysteem zo snel als mogelijk te installeren. bron: security.nl

De Wi-Fi Alliance, een non-profitorganisatie die wifi-technologie promoot en wifi-producten certificeert, heeft in Las Vegas het WPA3-protocol aangekondigd, dat meer security en privacy dan WPA2 moet bieden. Vorig jaar onthulde de Belgische onderzoeker Mathy Vanhoef de KRACK-attack, waarmee een aanvaller met WPA- en WPA2-beveiligd wifi-verkeer kan ontsleutelen en manipuleren. Ondanks de aanval stelt de Wi-Fi Alliance dat WPA2 betrouwbare beveiliging voor miljarden apparaten biedt en in de nabije toekomst nog door allerlei wifi-apparaten zal worden gebruikt. De alliantie laat verder weten dat het WPA2 zal blijven verbeteren om ervoor te zorgen dat het een sterke beveiliging kan blijven bieden. Er wordt echter ook gewerkt aan de opvolger, WPA3. Deze nieuwe versie van het wifi-protocol die dit jaar zal verschijnen beschikt over vier nieuwe features voor wifi-netwerken. Twee van de features moeten voor bescherming zorgen zelfs wanneer gebruikers zwakke wachtwoorden kiezen, en zullen het proces vereenvoudigen voor het instellen van de beveiliging bij apparaten die over een beperkte of over helemaal geen gebruikersinterface beschikken. Een andere feature moet de privacy van gebruikers in open wifi-netwerken versterken door gebruik te maken van geïndividualiseerde versleuteling. Als laatste feature zal er een 192-bit security suite komen om wifi-netwerken te beschermen. Wanneer de eerste apparaten met WPA3 precies verschijnen is nog niet bekendgemaakt. bron: security.nl

Opera heeft een nieuwe optie aan een testversie van de browser toegevoegd waardoor het eenvoudiger voor gebruikers wordt om Flash Player in te schakelen. Mede vanwege het grote aantal aangevallen kwetsbaarheden besloten browserontwikkelaars om de ondersteuning van Flash Player langzaam af te bouwen en ook Adobe heeft het einde van de browserplug-in aangekondigd. In het geval van Opera zijn websites die nog met Flash werken verplicht om toestemming aan de gebruiker te vragen voordat de browserplug-in kan worden aangeroepen. Opera 51.0.2830.0, die gericht is op ontwikkelaars, introduceert echter een optie waarbij Flash Player vanuit de instellingen voor alle websites kan worden ingeschakeld. Websites zullen dan geen toestemming meer vragen. In het verleden kregen Flash Player-gebruikers geregeld met zeroday-aanvallen te maken of verschenen er kort na het uitkomen van beveiligingsupdates exploits voor de net gepatchte kwetsbaarheden. Het afgelopen jaar werd er één zeroday-lek in Flash Player gemeld en was er één geval waarbij net gepatchte kwetsbaarheden kort na het uitkomen van de beveiligingsupdate werden aangevallen. Doordat Flash Player met minder aanvallen te maken heeft, heeft Adobe zelfs het installeren van beveiligingsupdates een lagere prioriteit gegeven. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. Wanneer Opera de Flash-optie aan de standaardversie zal toevoegen is nog niet bekend. bron: security.nl

Windows-gebruikers die een bepaalde registersleutel missen zullen de beveiligingsupdates van januari en daarna niet ontvangen, zo heeft Microsoft aangekondigd. De softwaregigant heeft een probleem met een klein aantal anti-virusproducten ontdekt dat voor een blue screen of death kan (BSOD) zorgen. Om deze problemen door incompatibele anti-virusproducten te stoppen worden de Microsoft-beveiligingsupdates van 3 januari alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan. In het geval de virusscanner deze registersleutel niet invoert zullen gebruikers de updates van januari en daarna niet ontvangen en zodoende kwetsbaar zijn voor aanvallen. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren om de updates van januari te ontvangen. De softwaregigant waarschuwt dat het gebruik van de Registry Editor voor het invoeren van de registersleutel op eigen risico is. Verkeerd gebruik kan er zelfs voor zorgen dat Windows opnieuw geïnstalleerd moet worden, aldus de waarschuwing. De Britse beveiligingsonderzoeker Kevin Beaumont heeft een overzicht gemaakt van anti-virusproducten en of ze de registersleutel wel of niet installeren. Hij is bang dat door de nieuwe vereiste veel Windows-systemen geen updates meer zullen ontvangen. Een probleem dat volgens de onderzoeker zich ook bij organisaties kan voordoen. bron: security.nl

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers op kwetsbare Oracle WebLogic-servers een Monero-cryptominer installeren. De aanvallers maken gebruik van een ernstige kwetsbaarheid in de Oracle WebLogic-serversoftware die vorig jaar oktober door Oracle werd gepatcht. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code met de rechten van de Oracle WebLogic-servergebruiker installeren. Volgens Renato Marinho, handler bij het Internet Storm Center (ISC), is de exploit die van de kwetsbaarheid misbruik maakt zeer eenvoudig uit te voeren en wordt die geleverd met een script om naar potentieel kwetsbare slachtoffers te zoeken. Het dropper-script dat de aanvallers voor de installatie van de cryptominer gebruiken blijkt echter onbedoeld de WebLogic-service uit te schakelen, wat mogelijk verschillende slachtoffers heeft gealarmeerd. Oracle-beheerders krijgen het advies om te kijken of hun omgeving niet gecompromitteerd is en als ze de update nog niet hebben geinstalleerd dit zo snel als mogelijk te doen. Oracle laat geregeld weten dat het meldingen van succesvolle aanvallen ontvangt die mogelijk waren omdat gebruikers beschikbare updates niet hadden uitgerold. bron: security.nl

De online virusscandienst VirusTotal heeft een tool ontwikkeld die verbanden tussen malware, ip-adressen, domeinen en url's visualiseert. Via VirusTotal, dat eigendom van Google is, kunnen gebruikers verdachte bestanden, url's, domeinen en ip-adressen door zo'n 60 verschillende anti-virusprogramma's en blacklistingdiensten laten controleren. Daarnaast wordt er allerlei informatie over het bestand, ip-adres of domein verstrekt. Zodoende kan VirusTotal als 'second opinion' ten opzichte van de al aanwezige virusscanner fungeren. Volgens Google ontvangt VirusTotal elke dag een groot aantal bestanden en url's die door virusscanners, sandboxes en andere tools worden geanalyseerd. De informatie die dit oplevert is erg belangrijk, aangezien het tussen verschillende entiteiten verbanden legt. Om bij het onderzoek naar malware een volledig beeld te krijgen wordt er vaak van meerdere datapunten gebruikgemaakt, zoals bestanden, url's, domeinen en ip-adressen. "We weten dat dit complex kan zijn als je meerdere open tabs hebt. Daarom hebben we VirusTotal Graph ontwikkeld", aldus Juan Infantes van VirusTotal. Het is een visualisatietool die van de VirusTotal-dataset gebruikmaakt om de relatie tussen bestanden, url's, domeinen en ip-adressen duidelijk te maken en biedt een eenvoudige interface om hierin te navigeren. Ook is het mogelijk om de graphs op te slaan en met andere gebruikers te delen. "We denken dat de gemeenschap van deze inlichtingen zal profiteren", laat Infantes verder weten. Hij merkt op dat er scenario's zijn waarbij het delen van graphs om meer privacy vraagt. Voor deze gevallen is een oplossing in de maak die binnenkort zal worden aangekondigd. VirusTotal Graph is nog vrij nieuw en VirusTotal is dan ook benieuwd naar feedback. bron: security.nl

Een ernstig beveiligingslek in phpMyAdmin dat eind december werd gepatcht maakte het mogelijk voor een aanvaller om databasetabellen te verwijderen wanneer de beheerder een kwaadaardige link opende, zo laat onderzoeker Ashutosh Barot weten. PhpMyAdmin is een populaire tool voor het beheren van MySQL- en MariaDB-databases. De kwetsbaarheid werd op 20 december gepatcht, maar Barot heeft afgelopen vrijdag de details gepubliceerd. PhpMyAdmin was kwetsbaar voor cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Wanneer gebruikers op phpMyAdmin waren ingelogd en op een kwaadaardige link klikten was het mogelijk om verschillende database-opdrachten uit te voeren, zoals het "drop table" statement, waarbij tabellen en hun inhoud worden verwijderd. De aanval werkte ook als de gebruiker op cPanel was ingelogd en phpMyAdmin na het gebruik was gesloten. Gebruikers krijgen dan ook het advies om te updaten naar phpMyAdmin 4.7.7. bron: security.nl

Alle moderne browsers beschikken over een ingebouwde wachtwoordmanager waarmee gebruikers hun wachtwoorden kunnen opslaan, maar de functionaliteit wordt door webtrackers misbruikt om internetgebruikers op het web te volgen, zo waarschuwen onderzoekers. Als gebruikers op een website voor de eerste keer inloggen vraagt de wachtwoordmanager of de inloggegevens moeten worden opgeslagen. De volgende keer dat de gebruiker de website bezoekt zal de wachtwoordmanager de inloggegevens automatisch in het inlogveld invullen. Onderzoekers hebben op meer dan duizend websites webtrackers ontdekt die van deze functionaliteit misbruik maken. De webtracker injecteert op de website een onzichtbaar inlogveld. Als de wachtwoordmanager voor deze website inloggegevens heeft opgeslagen worden die automatisch in het onzichtbare inlogveld ingevuld. Het script van de webtracker leest het e-mailadres uit en stuurt hiervan een hash naar de server van de derde partij die voor het script verantwoordelijk is. E-mailadressen zijn uniek en worden vaak over een langere periode gebruikt. Het volgen van gebruikers via hun e-mailadres biedt dan ook allerlei voordelen. Zo kan de gebruiker over meerdere apparaten worden gevolgd en heeft het verwijderen van cookies of het gebruik van private browsing geen effect op het volgen. Het probleem is al jaren bekend en wordt veroorzaakt door de manier waarop browsers met het huidige beveiligingsmodel van het web omgaan. Dit model, de same origin policy, zorgt ervoor dat een browser scripts op een eerste webpagina toegang geeft tot data in een tweede webpagina, maar alleen als beide webpagina's dezelfde herkomst hebben. Als een uitgever het trackingscript van een derde partij op de website embed, in plaats van het isoleren hiervan in een iframe, wordt het script gezien alsof het van de website van de uitgever afkomstig is. Het is tegenwoordig standaard om third-party scripts direct te embedden in plaats van een iframe te gebruiken. Daardoor verliezen gebruikers de bescherming van de same origin policy. "Dit model is slecht geschikt voor de praktijk. Uitgever hebben geen volledig vertrouwen of wantrouwen in derde partijen en dus passen de twee opties (iframe sandboxing en direct embedden) niet. De één beperkt de functionaliteit en de ander is een privacynachtmerrie", aldus de onderzoekers. Ze merken op dat derde partijen vaak vaag zijn over het gedrag van hun scripts en de meeste uitgevers niet de tijd of technische kennis hebben om ze te beoordelen. Van de 1 miljoen populairste websites werden scripts die de wachtwoordmanager misbruiken op 1110 websites aangetroffen. De onderzoekers stellen dat uitgevers, gebruikers en browserontwikkelaars stappen kunnen nemen om het automatisch invullen van wachtwoorden op onzichtbare inlogvelden tegen te gaan. Zo kunnen websites aparte subdomeinen voor het inloggen gebruiken, waardoor het automatisch invullen niet werkt op andere pagina's. Gebruikers kunnen zich beschermen door adblockers of extensies tegen webtrackers te installeren. bron: security.nl

Het afgelopen jaar is er een recordaantal kwetsbaarheden in software ontdekt, waarbij Android het product is waar de meeste beveiligingslekken in werden gevonden. Dat blijkt uit cijfers van CVE-Details. CVE staat voor Common Vulnerabilities en Exposures. Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. In 2017 werden in totaal 14.709 CVE-nummers uitgegeven. In zowel 2015 als 2016 ging het in beide jaren om zo'n 6400 CVE-nummers. Wordt er naar de Top 50 van producten met de meeste kwetsbaarheden gekeken, dan staat Android met 841 beveiligingslekken bovenaan de lijst, gevolgd door de Linux-kernel (435) en iPhone OS (387). Opmerkelijk aan de Top 10 producten met de meeste kwetsbaarheden is dat het om negen besturingssystemen gaat en een applicatie, namelijk Imagemagick. Imagemagick, een softwarebibliotheek voor het verwerken van afbeeldingen, had het afgelopen jaar met 357 beveiligingslekken te maken. Meer dan de 266 die in Windows 10 werden gevonden. Browsers Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, maar die positie is in 2017 door Microsoft Edge overgenomen. In Microsofts browser werden 202 beveiligingslekken gemeld. Safari volgt op een tweede plek met 178 beveiligingslekken, gevolgd door Chrome (153) en Internet Explorer (79). Mozilla Firefox is niet in de Top 50 van CVE Details te vinden, maar dit lijkt een bug van de website te zijn. Dit jaar patchte Mozilla namelijk bijna 180 kwetsbaarheden in Firefox. bron: security.nl

Firefox heeft negen maanden lang zonder toestemming van gebruikers crashrapporten naar Mozilla gestuurd, zo heeft de browserontwikkelaar laten weten. In het geval Firefox crasht kan de browser informatie over het probleem naar Mozilla sturen, zodat eventuele bugs kunnen worden verholpen. Standaard zal Firefox gebruikers toestemming vragen om de crashrapporten te versturen. Crashrapporten kunnen namelijk gevoelige en persoonlijke informatie bevatten. Het gaat dan bijvoorbeeld om geopende tabs en de geheugeninhoud van Firefox. Met de lancering van Firefox 52 op 7 maart van dit jaar werd er een bug in de browser geïntroduceerd die ervoor zorgde dat crashrapporten zonder toestemming van de gebruiker werden verstuurd. De bug is deze week via Firefox 57.0.3 verholpen. Mozilla laat weten dat het niet kan zien welke gebruikers toestemming hebben gegeven voor het versturen van crashrapporten en welke niet. "Hoewel we het crashrapportagesysteem hebben ontwikkeld zodat het lastig naar individuen te herleiden is, moeten we er bewust van zijn dat crashdumps de inhoud van de crashende tab kunnen bevatten. In geringe aantallen kan het om privé of identificerende informatie gaan", zegt Mozilla's Chris Lonnen. Mozilla heeft daarom besloten alle toegestuurde data te verwijderen. Updaten naar Firefox 57.0.3 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Een extensie voor Google Chrome met 105.000 gebruikers is stilletjes voorzien van een cryptominer die de browsers van gebruikers laat minen naar de cryptocurrency Monero, zo meldt beveiligingsonderzoeker Troy Mursch op Twitter. Het gaat om de Chrome-extensie "Archive Poster" die bedoeld is om artikelen van andere blogs te gebruiken of te beoordelen. Op 7 december maken gebruikers in de recensies van de extensie al melding van een update die een cryptominer aan de extensie toevoegt en de processor van de computer zwaar belast. Een van de getroffen gebruikers plaatste vervolgens deze week een vraag op het officiële Chrome-helpforum over de cryptominer in de extensie, maar wordt door een "community specialist" verwezen naar de extensie-ontwikkelaar. Community specialists zijn mensen die door Google worden betaald voor het beantwoorden van forumvragen. Ondanks meerdere meldingen dat er een cryptominer in de extensie aanwezig is, wordt die op het moment van schrijven nog steeds via de Chrome Web Store aangeboden. bron: security.nl

Onderzoekers hebben in drie WordPress-plug-ins die op zo'n 90.000 websites actief zijn een backdoor ontdekt die als doel heeft om spamberichten te injecteren, zo laat securitybedrijf Wordfence weten. Het gaat om de plug-ins Duplicate Page and Post, No Follow All External Links en WP No External Links. De drie plug-ins werden eerder dit jaar door de oorspronkelijke ontwikkelaars aan een andere partij verkocht. Deze partij voegde de backdoor toe waardoor spamberichten konden worden geplaatst op de websites die van de plug-ins gebruikmaken. Het gaat om zogeheten search engine optimization (SEO) spam waarmee wordt geprobeerd om websites hoger in de zoekresultaten van Google te laten komen. Aan de hand van de gebruikte backdoorcode, ip-adressen en naam van de koper stelt Wordfence dat dezelfde criminele partij verantwoordelijk is voor de backdoor in de drie plug-ins, met als doel het injecteren van SEO-spam op duizenden websites. De partij die voor de plug-ins betaalde is een Brits marketingbedrijf en Wordfence vermoedt dat dit bedrijf de SEO-spam gebruikte om de zoekmachineresultaten van haar klanten te verbeteren. WordPress heeft de drie plug-ins inmiddels van WordPress.org verwijderd waar ze eerst werden aangeboden. Dit heeft echter geen effect op al geïnstalleerde plug-ins en webmasters op wie het betrekking heeft krijgen dan ook het advies de plug-ins te verwijderen. bron: security.nl

123456 en password zijn nog altijd de meestgebruikte wachtwoorden, zo blijkt uit het jaarlijkse onderzoek van SplashData, aanbieder van een wachtwoordmanager. Voor het onderzoek (pdf) werden 5 miljoen wachtwoorden van met name Amerikaanse en Europese internetgebruikers geanalyseerd. Het gaat om wachtwoorden die via verschillenden datalekken openbaar zijn geworden, hoewel SplashData niet laat weten om welke datalekken het precies gaat. Dit leverde uiteindelijk een Top 100 van de "ergste wachtwoorden van 2017" op. Naast allerlei andere veelgebruikte wachtwoorden zoals qwerty, letmein en iloveyou, is voor het eerst starwars in het overzicht terug te vinden. Hieronder de tien meest aangetroffen wachtwoorden. Sommige websites, zoals Twitter, verbieden gebruikers om dergelijke zwakke wachtwoorden te kiezen en maken hierbij gebruik van dergelijke overzichten. 123456 password 12345678 qwerty 12345 123456789 letmein 1234567 football iloveyou bron: security.nl

Oplichters die zich voordoen als medewerkers van Microsoft maken gebruik van hardnekkige browserlockers om de browser van internetgebruikers te vergrendelen, in de hoop dat die vervolgens het opgegeven telefoonnummer bellen, zo waarschuwt anti-malware-bedrijf Malwarebytes. Het gebruik van browserlockers vindt al geruime tijd plaats. De browserlocker laat een waarschuwing zien dat de computer met malware is geïnfecteerd en gebruikt allerlei technieken om het sluiten van de pagina te voorkomen. Het slachtoffer wordt aangeraden het opgegeven telefoonnummer te bellen dat van de Microsoft-helpdesk zou zijn. In werkelijkheid gaat het om oplichters die slachtoffers software laten installeren waarmee ze de computer op afstand kunnen overnemen. De oplichters laten vervolgens allerlei logbestanden en commando's zien die erop zouden duiden dat de computer is besmet. Voor het verwijderen van de zogenaamde infectie moeten slachtoffers honderden euro's betalen. Malwarebytes ontdekte onlangs een nieuwe browserlocker die zeer hardnekkig is en alleen via Taakbeheer gesloten kan worden. De aanval bestaat uit drie lagen: een achtergrondvenster in volledige schermmodus, een ander venster dat wordt geactiveerd als de gebruiker op Escape klikt en een pop-under die actief wordt bij een muisklik op het scherm. De browser laat wel een dialoogvenster zien met de vraag of de gebruiker de pagina wil verlaten of hier wil blijven. Dit venster is echter zo gecropt dat gebruikers alleen de optie "blijven" te zien krijgen. Daarnaast wordt er continu in de achtergrond een geluidsbestand (mp3) afgespeeld. Vanuit een technisch standpunt en vergeleken met ransomware is deze scam laagdrempelig. Door het gebruik van kwaadaardige advertenties kunnen oplichters de malafide pop-ups en waarschuwingen aan miljoenen mensen laten zien, die vaak niet weten dat ze via Taakbeheer de browser kunnen sluiten, zo stelt onderzoeker Jerome Segura. Hij merkt dan ook op dat zowel bewustwording bij gebruikers als technische maatregelen van browser om dergelijke scams te blokkeren een belangrijke rol spelen om slachtoffers te voorkomen. bron: security.nl

Harde schijven zijn kwetsbaar voor akoestische denial of service (dos) aanvallen waardoor een aanvaller de harde schijf kan laten stoppen met werken en zo het gehele systeem kan uitschakelen, aldus onderzoekers van Princeton University en Purdue University. De onderzoekers maken voor hun dos-aanval gebruik van akoestische resonantie om de schrijf- en leesoperatie van de harde schijf te beïnvloeden. Akoestische resonantie is een fenomeen waarbij een akoestisch signaal op bepaalde frequenties voor vibraties in een voorwerp zorgt, dat in het ergste geval tot de vernietiging van het voorwerp kan leiden. Een doorsnee harde schijf bestaat uit verschillende platters, platte ronde schijven met een dun laagje van ferromagnetisch materiaal, en de lees- en schrijfkoppen, die zich dicht op de platters bevinden. De data wordt op de platters opgeslagen en de koppen zijn verantwoordelijk voor het lezen en schrijven van data. Doordat harde schijven steeds meer data bevatten moeten de lees- en schrijfkoppen zeer nauwkeurig opereren. Een kleine afwijking van de koppen kan voor een storing zorgen en zelfs de platters beschadigen, waardoor er permanente schade ontstaat. De akoestische dos-aanval van de onderzoekers bestaat uit een akoestisch signaal dat voor ongewenste akoestische resonantie binnen de kernonderdelen van de harde schijf zorgt. Deze resonantie zorgt ervoor dat de koppen niet meer nauwkeurig op de platterlocatie kunnen worden geplaatst waar de data wordt gelezen of geschreven. Aanval Om de aanval uit te voeren moet een aanvaller in staat zijn om een akoestisch signaal in de buurt van de harde schijf af te spelen. Een aanvaller zou dit kunnen doen door een externe speaker te gebruiken of een speaker in de buurt van het doelwit. Als voorbeeld schetsen de onderzoekers verschillende scenario's, zoals een aanvaller die op afstand toegang heeft tot een mediaspeler in een voertuig of op een persoonlijk ander apparaat en zo het signaal kan afspelen. Een andere mogelijkheid is om de gebruiker een kwaadaardig geluidsbestand via e-mail toe te sturen of op een website te laten openen. Zelfs het gebruik van een televisieadvertentie waarin het akoestische signaal verborgen zit wordt door de onderzoekers als voorbeeld gegeven. Om het effect van de akoestische dos-aanval te bewijzen hebben de onderzoekers de aanval tegen twee echte systemen uitgevoerd, namelijk een desktop en een camerabewakingssysteem. Uit de demonstraties blijkt dat de aanval de normale werking van het besturingssysteem tijdelijk kan stoppen en zelfs het systeem volledig kan laten vastlopen waardoor een reboot nodig is. Ook laten de onderzoekers zien hoe een camerabewakingssysteem is uit te schakelen door de digitale videorecorder aan te vallen. Volgens de onderzoekers is er dan ook sprake van een nieuwe aanvalsvector tegen systemen. Het onderzoeksrapport (pdf) noemt geen oplossingen voor het probleem, maar een ssd-harde schijf, die geen bewegende onderdelen bevat, zou niet kwetsbaar moeten zijn. bron: security.nl