Captain Kirk

Mozilla heeft een beveiligingsupdate uitgebracht die meerdere kwetsbaarheden in de e-mailclient Thunderbird verhelpt, waaronder een lek dat het mogelijk maakt om de afzender te spoofen. In Thunderbird 52.5.2 zijn in totaal vijf kwetsbaarheden gepatcht, waarvan er één als ernstig is aangemerkt. Dit probleem bij het verwerken van WebGL-content treft alleen Thunderbird-gebruikers op Windows en zou het mogelijk maken voor een aanvaller om willekeurige code op het systeem uit te voeren. Daarnaast zijn er ook drie kwetsbaarheden verholpen met betrekking tot RSS-feeds. Een aanvaller zou via kwaadaardige RSS-feeds JavaScript of CSS binnen de mailbox kunnen uitvoeren en bijvoorbeeld informatie achterhalen, zoals een gebruikersnaam. De vijfde kwetsbaarheid betreft een spoofinglek waardoor het voor een aanvaller mogelijk is om het e-mailadres van de afzender te spoofen en elk willekeurig e-mailadres op te geven. Door het gebruik van zogeheten "null characters" werd het echte e-mailadres van de afzender niet binnen Thunderbird weergegeven. Het spoofinglek, met de naam Mailsploit, werd eerder deze maand geopenbaard en bevindt zich in meerdere e-mailclients. Updaten naar de nieuwste Thunderbird-versie kan via de automatische updater en Mozilla.org. bron: security.nl

Advertentiebedrijf Criteo heeft een belangrijke beveiligingsmaatregel genaamd HSTS misbruikt om Safari-gebruikers op het internet te volgen. HSTS staat voor HTTP Strict Transport Security en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Criteo gebruikte HSTS om data in de browsercache van de gebruiker te krijgen waarmee een unieke identifier werd geproduceerd. Via deze identifier is het mogelijk om Safari-gebruikers te herkennen en ze vervolgens te profileren. De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen, aldus de Amerikaanse burgerrechtenbeweging EFF. De gebruiker moet namelijk de gehele cache legen om de identifier te verwijderen. Begin deze maand heeft Apple echter een update voor iOS en Safari uitgebracht die het misbruik van HSTS op deze manier voorkomt. Het is niet de eerste keer dat Apple dit jaar de dubieuze praktijken van Criteo dwarsboomt. Safari blokkeert standaard cookies van derde partijen. Alleen de website die de gebruiker bezoekt mag een cookie plaatsen. Advertentiebedrijven zoals Criteo kunnen alleen zogeheten third-party cookies plaatsen, omdat de gebruiker niet direct hun domein bezoekt. Bij Safari kunnen advertentiebedrijven daardoor geen cookies plaatsen. Criteo vond echter een manier waarbij het Safari-gebruikers onzichtbaar naar Criteo.com leidde en vervolgens zo alsnog een cookie kon plaatsen. Deze zomer kwam Apple echter met een update voor Safari die de browser van Intelligent Tracking Prevention (ITP) voorziet. ITP zorgt ervoor dat onzichtbare redirects, zoals Criteo gebruikte, niet meer voldoende zijn voor het plaatsen van een cookie. Daarop kwam het advertentiebedrijf met de HSTS-methode, die inmiddels ook niet meer werkt. De EFF maakt zich echter zorgen dat Criteo onderdeel van het Acceptable Ads initiatief is. Dit initiatief is bedacht door het bedrijf achter AdBlock Plus, de populairste adblocker op internet. Advertentiebedrijven betalen Adblock Plus zodat hun advertenties standaard niet worden geblokkeerd. Ook advertenties van Criteo worden zodoende toegestaan. Gebruikers kunnen deze advertenties wel blokkeren, maar moeten hiervoor de instellingen aanpassen. Slechts 5 tot 10 procent van de gebruikers verandert echter de standaardinstellingen van de software die ze gebruiken. "Het feit dat het Acceptable Ads initiatief het volgen van gebruikers via de HSTS-beveiligingsmaatregel door Criteo goedkeurde is indicatief voor de privacyproblemen die zich in de kern van het Acceptable Ads-programma bevinden", aldus de EFF. De organisatie roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen. bron: security.nl

Gebruikers van Facebook Messenger zijn gewaarschuwd voor een cryptominer die zich via het chatprogramma verspreidt. De aanval begint met een zip-bestand dat naar gebruikers wordt gestuurd en van al besmette vrienden afkomstig is. Het zip-bestand lijkt een video te bevatten, maar het gaat in werkelijkheid om een exe-bestand met een dubbele extensie, zo laat anti-virusbedrijf Trend Micro weten. Zodra gebruikers dit bestand openen wordt er een kwaadaardige Chrome-extensie geïnstalleerd. Deze extensie laadt een website met een video, om gebruikers zo niets te laten vermoeden. Daarnaast gebruikt de extensie het Facebook Messenger-account van de gebruiker om de malware verder te verspreiden, door het zip-bestand naar andere contacten door te sturen. Verder downloadt de malware een cryptominer die de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. bron: security.nl

Een zeroday-lek in de Huawei HG532-router is actief door een variant van de Mirai-malware aangevallen voordat er een oplossing van de fabrikant beschikbaar was, zo laten securitybedrijf Check Point en Huawei weten. Sinds 23 november zag Check Point naar eigen zeggen honderdduizenden pogingen om HG532-routers te compromitteren, voornamelijk in de Verenigde Staten, Italië, Duitsland en Egypte. Verder onderzoek wees uit dat de aanvallen van een onbekende kwetsbaarheid gebruikmaakten. De Huawei-routers ondersteunen het TR-064-configuratieprotocol, waarmee bijvoorbeeld providers firmware-upgrades kunnen uitrollen. De implementatie van Huawei bevatte echter een fout waardoor aanvallers op afstand willekeurige code konden uitvoeren. Het ging in dit geval om een variant van de beruchte Mirai-malware genaamd Okiru/Satori. Na te zijn ingelicht heeft Huawei een update voor de kwetsbaarheid ontwikkeld, aldus Check Point. In het eigen beveiligingsbulletin geeft de netwerkfabrikant daarnaast verschillende oplossingen, zoals het aanpassen van het standaardwachtwoord en het configureren van de ingebouwde firewall. bron: security.nl

De ontwikkelaars van Opera hebben een nieuwe beveiligingsmaatregel ontwikkeld die gebruikers tegen cryptominers in de browser moet beschermen. Cryptominers draaien in de browser en maken gebruik van de rekenkracht van de computer om digitale cyptocurrency zoals Monero te minen. Vaak gebeurt dit zonder dat gebruikers toestemming hebben gegeven. Aan een testversie van Opera 50 is nu een nieuwe optie toegevoegd genaamd NoCoin. Als gebruikers deze optie inschakelen worden cryptominers geblokkeerd. De optie maakt gebruik van de in Opera ingebouwde adblocker en zal cryptominers op dezelfde manier blokkeren als advertenties worden geblokkeerd. NoCoin is nu al te testen in Opera 50 beta RC en zal later onder gebruikers van de normale Opera-versie worden uitgerold. bron: security.nl

Het Tor Project heeft de zoekmachine verbeterd waarmee gebruikers informatie over Tor-servers kunnen zoeken. Via Relay Search kan er worden gezocht op fingerprint, nickname, land, instellingen en contactgegevens, waarna er informatie over bandbreedte, uptime, exit-beleid en andere zaken van de server worden weergegeven. Een nieuwe optie maakt het nu mogelijk om geaggregeerde zoekopdrachten te geven. Vervolgens kan er aan de hand van bepaalde zoekcriteria verfijnder worden gezocht. Daarnaast zijn er verschillende andere verbeteringen doorgevoerd. Zo kunnen nu via een enkele zoekopdracht tot 2000 Tor-servers worden weergegeven en geeft het overzicht van de beste Tor-servers geen 10 servers weer, maar 250. Verder zijn er nu per individuele server meer gegevens te bekijken. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. bron: security.nl

Facebook heeft een nieuwe beveiligingsfeature geïntroduceerd die gebruikers tegen phishingmails moet beschermen. Gebruikers die een e-mail ontvangen die van Facebook afkomstig lijkt kunnen nu via het instellingenmenu een overzicht van recente e-mails van Facebook bekijken. Op deze manier kunnen gebruikers controleren of het ook om een legitiem bericht gaat. De sociale netwerksite meldt dat het via Facebookmail.com meldingen verstuurd over pogingen om op Facebook-accounts in te loggen of wachtwoorden te wijzigen. Aanvallers maken echter misbruik door soortgelijke e-mails te versturen die gebruikers naar phishingsites lokken. Door de nieuwe feature zouden deze e-mails eenvoudiger te herkennen moeten zijn. In het geval gebruikers een phishingmail ontvangen vraagt Facebook om die naar phish@facebook.com te versturen. bron: security.nl

Het is deze week 20 jaar geleden dat de eerste versie van de encryptiesoftware GnuPG verscheen en tegelijkertijd met de verjaardag is er ook een nieuwe versie verschenen. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Sinds de lancering in 1997 wordt de software door Werner Koch onderhouden. Ondanks de aandacht voor encryptie en het gebruik van GnuPG had Koch in het verleden moeite om geld in te zamelen. In 2015 waarschuwde de ontwikkelaar zelfs dat hij failliet zou gaan. Na deze noodkreet ontving hij 130.000 euro aan donaties. Met dat geld werd het huidige ontwikkelteam van zes personen gefinancierd. Om niet alleen van eenmalige grote donaties afhankelijk te zijn wil het ontwikkelteam meer geld via maandelijkse terugkerende donaties ophalen. Zo werd er eerder dit jaar nog een inzamelingsactie gestart, waarbij werd geprobeerd om 15.000 euro aan maandelijkse donaties op te halen. In september eindigde de actie, met een maandelijks bedrag van 5428 euro en een eenmalig bedrag van bijna 36.000 euro. De nieuwste versie van GnuPG is versie 2.2.4 en bevat alleen bugfixes, geen beveiligingsupdates. bron: security.nl

De bruteforce-aanvallen op WordPress-sites waar eerder deze week voor werd gewaarschuwd zijn afkomstig van een botnet dat als doel heeft om op gehackte WordPress-servers een cryptominer te installeren. Dat laat securitybedrijf Wordfence weten. Het botnet probeert via allerlei combinaties van gebruikersnamen en wachtwoorden toegang tot WordPress-sites te krijgen. Wanneer de aanval succesvol is wordt er malware geïnstalleerd die de server bruteforce-aanvallen op andere WordPress-sites laat uitvoeren, alsmede de rekenkracht van de machine gebruikt voor het minen van de cryptocurrency Monero. Twee wallets die de aanvallers gebruiken hebben inmiddels 217 Monero verzameld, wat op dit moment 103.000 euro is. Waarschijnlijk maken de aanvallers gebruik van meer wallets, waardoor het werkelijke bedrag hoger ligt, aldus onderzoeker Brad Haas. bron: security.nl

Microsoft en Facebook hebben vorige week verschillende maatregelen genomen om gebruikers tegen malware van de Lazarus-groep te beschermen, een groep aanvallers die verantwoordelijk wordt gehouden voor de uitbraak van de WannaCry-ransomware. De acties van Facebook en Microsoft werden gisteren tijdens eens persconferentie van het Witte Huis genoemd, maar details ontbraken. In een verklaring stelt Microsoft dat het heeft geholpen bij het verstoren van de malware waar de Lazarus-groep gebruik van maakt, besmette systemen van klanten heeft opgeschoond en accounts heeft uitgeschakeld waarmee cyberaanvallen werden uitgevoerd. Ook zou de beveiliging van Windows zijn versterkt om nieuwe infecties te voorkomen. Specifieke details worden niet door Microsoft gegeven, maar de softwaregigant zegt dat het de komende maanden meer informatie zal vrijgeven. Een van de genomen maatregelen is mogelijk het uitschakelen van de DDE-feature in Word. De feature werd bij gerichte aanvallen ingezet om doelwitten met malware te infecteren. Microsoft-topman Brad Smith laat verder weten dat Microsoft blij is dat de Verenigde Staten, Groot-Brittannië, Australië, Canada, Nieuw-Zeeland en Japan gisteren Noord-Korea als verantwoordelijke voor de WannaCry-ransomware hebben genoemd. "Om het groeiende aantal aanvallen van naties op burgers te stoppen moeten overheden bereid zijn om de landen te noemen die ze uitvoeren. De aankondiging van vandaag is een belangrijke stap van overheid en private sector om het internet veiliger te maken." bron: security.nl

Google Chrome zal vanaf 15 februari volgend jaar bepaalde advertenties gaan blokkeren, zo heeft de internetgigant aangekondigd. Het gaat dan om advertenties die niet aan de standaarden van de Coalitie voor Betere Advertenties (CBA) voldoen. De coalitie bestaat uit uitgevers en advertentie- en techbedrijven. Ook Google is lid van de coalitie. Volgens de internetgigant zorgen opdringerige en vervelende reclames ervoor dat steeds meer mensen een adblocker installeren, wat weer gevolgen voor websites heeft, aangezien die in veel gevallen afhankelijk van advertentie-inkomsten zijn. Door het opstellen van nieuwe standaarden wil de CBA voor betere advertenties zorgen. Zo zijn pop-upadvertenties, video-advertenties met geluid die automatisch worden afgespeeld, advertenties die voor het openen van de website verschijnen en over een aftelklok beschikken en grote advertenties niet meer toegestaan voor desktopomgevingen. Voor mobiele apparaten is de lijst met afgekeurde advertenties nog iets langer. Nergens gaat de CBA echter in op de veiligheids- en privacyrisico's van advertenties, bijvoorbeeld in het geval van malvertising en advertentietrackers. Het "Better Ads Experience" programma van de coalitie gaat volgende maand van start. Een maand later zal Google in Chrome advertenties gaan blokkeren die niet aan de CBA-standaarden voldoen. bron: security.nl

Gebruikers van Windows 10 die het wachtwoord van hun lokale account vergeten zijn kunnen die straks via het beantwoorden van een aantal beveiligingsvragen resetten. Microsoft heeft de optie aan een testversie van het besturingssysteem toegevoegd en zal die later onder gebruikers uitrollen. Met de lancering van de Fall Creators Update het al mogelijk voor gebruikers die met hun Microsoft-account op Windows inloggen om vanaf het inlogscherm het wachtwoord te resetten. Nu zal de optie ook voor lokale accounts beschikbaar worden. Hiervoor moeten gebruikers eerst een aantal beveiligingsvragen en antwoorden instellen. In het geval gebruikers hun wachtwoorden vergeten zijn kunnen ze vervolgens door het beantwoorden van de eerder ingestelde beveiligingsvragen het wachtwoord resetten. De nieuwe feature is nu al te te testen in Windows 10 Insider Preview Build 17063. bron: security.nl

Meer dan 300.000 WordPress-sites zijn getroffen door een backdoor die in een populaire plug-in aanwezig was. Het gaat om de plug-in met de naam Captcha. De plug-in, die invoervelden op WordPress-sites van een captcha voorziet, werd oorspronkelijk door softwarebedrijf BestWebSoft beheerd. Op 5 september kreeg Captcha echter een nieuwe eigenaar. Deze nieuwe eigenaar heeft in het verleden vaker WordPress-plug-ins overgenomen om voor dubieuze zaken te gebruiken en van backdoors te voorzien. In dit geval zorgde een aanpassing van Captcha ervoor dat de plug-in een zip-bestand downloadde waarmee de ontwikkelaar van de plug-in beheerderstoegang tot ruim 300.000 WordPress-sites kreeg. De installatiecode van de backdoor is echter ongeauthenticeerd, wat inhoudt dat iedereen die kan aanroepen, zo waarschuwt securitybedrijf Wordfence. Het bedrijf zal over 30 dagen de technische details openbaar maken van hoe de backdoor precies werkt. De backdoor zat verborgen in versie 4.3.6 tot en met versie 4.4.4. Het WordPress.org plug-inteam heeft inmiddels een update uitgebracht die de backdoor verhelpt. Toch krijgen WordPress-beheerders het advies van Wordfence om de plug-in te verwijderen. bron: security.nl

De WannaCry-ransomware is nog altijd zeer actief en heeft sinds de uitbraak op 12 mei miljoenen systemen geprobeerd te infecteren, zo meldt securitybedrijf Kryptos Logic. Een beveiligingsonderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde. Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. In een nieuwe analyse stelt het securitybedrijf dat de killswitch 900 miljoen cumulatieve aanvallen verspreid over miljoenen ip-adressen heeft voorkomen. Hoewel WannaCry gebruik maakt van een Windows-kwetsbaarheid die sinds maart door Microsoft is gepatcht, zijn er nog steeds systemen bij bedrijven die besmet raken. Hiervoor zijn verschillende redenen te geven. Zo werken bedrijven met Windows-images die zijn gemaakt voordat de update voor het beveiligingslek werd uitgerold. Systemen die met deze images worden geïnstalleerd raken besmet voordat ze de update kunnen downloaden. Daarnaast worden oude Windows-images voor cloudsystemen gebruikt. Dit is met name een probleem in China, aldus Kryptos Logic. Ook zijn er nog veel organisaties en bedrijven die besmette systemen moeten opschonen en de updates binnen hun netwerken moeten uitrollen. Verder zorgen infrastructuur- en firewall-aanpassingen voor nieuwe besmettingen en dragen mkb-bedrijven bij aan nieuwe infecties. Gisteren maakte het Witte Huis bekend dat het Noord-Korea verantwoordelijk voor WannaCry houdt. bron: security.nl

Sinds gisteren is er een grootschalige bruteforce-aanval op WordPress-sites gaande waarbij aanvallers via duizenden ip-adressen op WordPress-sites proberen in te loggen. Dat laat securitybedrijf Wordfence weten. Het gaat volgens het bedrijf om meer dan 10.000 ip-adressen die 14,1 miljoen aanvallen per uur uitvoeren. Daarbij zijn tot 190.000 WordPress-sites per uur het doelwit. Bij een bruteforce-aanval proberen aanvallers via combinaties van gebruikersnamen en wachtwoorden in te loggen. "Historisch gezien zijn bruteforce-aanvallen op WordPress-sites niet succesvol", zegt Mark Maunder van Wordfence. Op 5 december verscheen er echter een grote database met gestolen inloggegevens online. Veertien procent van deze inloggegevens is niet eerder gezien. Daarnaast is de database eenvoudig te gebruiken en te doorzoeken. Volgens Maunder kunnen deze "verse inloggegevens" wanneer ze worden gecombineerd met een WordPress-gebruikersnaam voor een hoger succespercentage zorgen, wat de bruteforce-aanval zou kunnen verklaren. bron: security.nl

Ruim 1100 Lexmark-printers zijn toegankelijk via internet omdat gebruikers geen wachtwoord hebben ingesteld. Daarvoor waarschuwen onderzoekers van securitybedrijf NewSky Security. Doordat er geen wachtwoord is ingesteld kan een aanvaller dit doen en zo controle over de printer krijgen. De printers werden via de zoekmachine Shodan gevonden. Het ging in totaal om 1475 Lexmark-printers, waarvan er 1123 geen wachtwoord vereisten. 352 printers wezen naar een inlogpagina. De meeste printers werden in de Verenigde Staten gevonden, gevolgd door Duitsland en Brazilië. Een van de printers was van een Amerikaanse stad. Ruim 200 printers werden bij universiteiten aangetroffen. In het geval de printers een beveiligingslek bevatten zou een aanvaller op deze manier andere systemen in het netwerk kunnen aanvallen, zo waarschuwen de onderzoekers. Onlangs werd er nog een kwetsbaarheid in printers van fabrikant Brother gevonden, waardoor een denial of service kan worden veroorzaakt. De onderzoekers die dit probleem vonden ontdekten dat er ruim 16.000 kwetsbare Brother-printers via internet toegankelijk waren. bron: security.nl

Mozilla heeft aan een vroege testversie van Firefox 59 een optie toegevoegd om alle http-sites als onveilig te bestempelen, zo meldt webontwikkelaar Soeren Hentzschel. Firefox waarschuwt nu al bij http-websites die zonder een beveiligde verbinding inlog- en creditcardgegevens verwerken. Begin dit jaar maakte Mozilla al bekend dat het op den duur alle http-sites als onveilig in de browser gaat aanmerken. Al eerder waren de ontwikkelaars van de browser hiermee bezig. "De uitrol van https krijgt momentum en is de 50 procent gepasseerd. We moeten voorbereidingen treffen om http-sites als onveilig aan te merken, in plaats van https-sites als veilig aan te merken. Een eerste stap is een negatieve indicator voor alle http-sites, afgeschermd door een instelling die standaard uitgeschakeld staat", aldus Mozilla's Richard Barnes in het ticket waarin de maatregel wordt aangekondigd. Via de instelling "security.insecure_connection_icon.enabled" kunnen gebruikers van de testversie van Firefox 59 nu instellen dat de browser bij http-sites een icoon met een rode streep laat zien. Als gebruikers op het icoon klikken verschijnt er een pop-up die uitlegt dat de verbinding naar de website niet beveiligd is. De definitieve versie van Firefox 59 staat gepland voor 13 maart 2018. Onlangs liet Let's Encrypt weten dat van alle websites die Firefox-gebruikers dit jaar opvroegen 67 procent via een beveiligde https-verbinding werd aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden. bron: security.nl

Facebook heeft tools gepubliceerd waarmee ontwikkelaars en domeinhouders voor onterecht uitgegeven tls-certificaten worden gewaarschuwd, wat moet helpen bij het detecteren van man-in-the-middle-aanvallen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en hun bezoekers. Op dit moment zijn er honderden certificaatautoriteiten die voor nagenoeg elke website op het internet een geldig tls-certificaat kunnen uitgeven. Een hack van een dergelijke certificaatautoriteit, zoals DigiNotar, of in het geval van een malafide certificaatautoriteit, kan ervoor zorgen dat er tls-certificaten worden uitgegeven waarmee een aanvaller man-in-the-middle-aanvallen kan uitvoeren. Doordat het tls-certificaat van een vertrouwde certificaatautoriteit afkomstig wordt het namelijk door de browser vertrouwd, die zodoende geen waarschuwing aan de gebruiker laat zien. Om onterecht uitgegeven certificaten te detecteren bedacht Google een systeem genaamd Certificate Transparency. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van uitgegeven certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn. Tools van Facebook Vorig jaar december lanceerde Facebook al een monitoringtool voor Certificate Transparency-logs, waarmee ontwikkelaars en domeinhouders naar certificaten kunnen zoeken en een waarschuwing ontvangen wanneer er nieuwe certificaten voor hun domeinen zijn uitgegeven. Nu komt het sociale netwerk met verschillende nieuwe tools die bij de detectie van onterecht uitgegeven certificaten moeten helpen. Via de Webhooks-programmeerinterface kunnen ontwikkelaars een domein opgeven dat moet worden gemonitord. Elke keer dat Facebook een nieuw certificaat voor dit domein detecteert, wordt er een request met informatie over het certificaat naar de server van de ontwikkelaar gestuurd. Daarnaast is er ook een progammeerinterface (api) voor het analyseren van certificaten vrijgegeven en ondersteunt Facebook nu ook push-notificaties. In plaats van waarschuwingen per e-mail kunnen ontwikkelaars ook via Facebook voor onterecht uitgegeven certificaten worden gewaarschuwd. bron: security.nl

Een securitybedrijf heeft informatie over twee ongepatchte beveiligingslekken in de populaire forumsoftware vBulletin openbaar gemaakt waardoor een aanvaller op afstand code kan uitvoeren of willekeurige bestanden kan verwijderen. De kwetsbaarheden zijn aanwezig in vBulletin 5. Allerlei populaire websites maken gebruik van de forumsoftware, waarbij moet worden opgemerkt dat vBulletin 4 nog altijd het grootste marktaandeel van de verschillende vBulletin-versies heeft. De kwetsbaarheden werden door onderzoekers aan securitybedrijf Beyond Security gemeld, dat onderzoekers voor bugmeldingen betaalt. Beyond Security claimt dat het vBulletin op 21 november voor het eerst heeft gewaarschuwd, maar ondanks herhaaldelijke pogingen ontving het securitybedrijf geen reactie. 22 dagen later besloot Beyond Security om de details openbaar te maken. VBulletin laat op de eigen website weten dat het helemaal niet door het securitybedrijf is benaderd. De eerste keer dat vBulletin over de kwetsbaarheden werd ingelicht was via de posting van Beyond Security, aldus supportmedewerker Wayne Luke. Volgens de softwareontwikkelaar is het risico dat de kwetsbaarheden worden aangevallen klein en is er een update in ontwikkeling. Deze update zal "binnenkort" beschikbaar komen. bron: security.nl

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers via verschillende exploits cryptominers op systemen en netwerken installeren Het gaat om een exploit die gebruik maakt van een beveiligingslek in Apache Struts dat in maart van dit jaar werd gepatcht, zo meldt netwerkfabrikant F5 Networks. Het is dezelfde kwetsbaarheid waardoor ook de Amerikaanse kredietbeoordelaar Equifax werd gehackt. Verder maken de aanvallers ook gebruik van een exploit voor een beveiligingslek in het DotNetNuke (DNN) contentmanagementsysteem. Voor deze kwetsbaarheid is sinds juli een update beschikbaar. De aanvallen zijn zowel tegen Linux- als Windows-systemen gericht. Afhankelijk van de aangevallen omgeving wordt er na een succesvolle infectie een andere "payload" gebruikt. Wat verder aan de campagne opvalt is dat bij een succesvolle infectie van de Struts- of DNN-server de EternalBlue- en EternalSynergy-exploits worden gebruikt. Het gaat om twee exploits die bij de Amerikaanse geheime dienst NSA werden gestolen en begin dit jaar op internet verschenen. Op deze manier kunnen ongepatchte Windows-systemen in het netwerk met de "mule" malware worden geïnfecteerd. Deze malware is een cryptominer die besmette systemen naar de cryptocurrency Monero laat minen. Hoeveel systemen er inmiddels zijn besmet is onbekend. Een van de Monero-wallets die de aanvallers gebruiken zou inmiddels voor 8500 dollar aan Monero bevatten. bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in Keeper ontdekt, een met Windows 10 gebundelde wachtwoordmanager. Via de kwetsbaarheid zou een kwaadaardige of gehackte website alle in Keeper opgeslagen wachtwoorden kunnen stelen. Alleen het bezoeken van een dergelijke website met een kwetsbare versie van Keeper zou voldoende zijn. Ruim een jaar geleden had Ormandy het nagenoeg zelfde beveiligingslek in Keeper aangetroffen, dat destijds door de ontwikkelaar werd gepatcht. Onlangs ontdekte Ormandy in een schone Windows 10-installatie dat ook de Keeper-wachtwoordmanager was geïnstalleerd. Windows 10-gebruikers op Reddit maakten eerder dit jaar al melding van de aanwezigheid van Keeper, die standaard lijkt te worden mee-geïnstalleerd. Het duurde niet lang voordat Ormandy een ernstig lek in de wachtwoordmanager had gevonden. De kwetsbaarheid die de onderzoeker vorig jaar ontdekte bleek ook in de Windows 10-versie aanwezig te zijn. Een kleine aanpassing aan zijn exploit van vorig jaar was genoeg om in Keeper opgeslagen wachtwoorden te stelen. Na te zijn ingelicht kwam de ontwikkelaar binnen 24 uur met een update die onder gebruikers werd uitgerold. Op deze website geeft Ormandy een demonstratie van de kwetsbaarheid. Het is niet voor het eerst dat de onderzoeker ernstige kwetsbaarheden in wachtwoordmanagers vindt. Eerder was dit al het geval bij de programma's Dashlane en Lastpass. Op Twitter haalt Ormandy dan ook uit naar dergelijke software. "Ik wil niet horen dat zelfs een wachtwoordmanager met een eenvoudige remote root die al je wachtwoorden met elke website deelt beter is dan niets. Er zijn mensen die dit echt tegen me zeggen", merkt de onderzoeker op. "Iedereen wil dat er eenvoudige antwoorden zijn als het om security gaat, maar soms zijn die er niet." bron: security.nl

Meer dan duizend WordPress-sites zijn met malware besmet geraakt omdat ze een beveiligingsupdate voor een oude kwetsbaarheid in twee themes niet geïnstalleerd hebben. Het gaat om de themes Newspaper en Newsmag. Het lek waar de aanvallers gebruik van maken werd in april 2016 gepatcht. Toch zijn er nog altijd websites die de update niet hebben uitgerold. Via de kwetsbaarheid kan een aanvaller kwaadaardige JavaScript in de website injecteren. Oorspronkelijk werd de geïnjecteerde JavaScript-code gebruikt voor het weergeven van pop-ups op gehackte website of het doorsturen van bezoekers naar andere websites. Een nieuwe variant van de aanval stuurt aanvallers nog steeds door naar andere websites, maar maakt ook een nieuwe WordPress-beheerder aan genaamd "simple001". Daarmee hebben de aanvallers volledige controle over de website. Zelfs wanneer een WordPress-gebruiker de infectie verwijdert en de kwetsbaarheid patcht, blijft de aanvaller via het aangemaakte beheerdersaccount toegang houden. Volgens securitybedrijf Sucuri zijn meer dan duizend WordPress-sites door de nieuwe variant van de aanval getroffen. bron: security.nl

Als het gaat om de detectie van malware ontlopen de meeste virusscanners elkaar niet zoveel, maar een gratis anti-viruspakket zet de beste score neer, zo blijkt uit een test van het Oostenrijkse testlab AV-Comparatives met echte besmette links en drive-by downloads op internet. Om de effectiviteit van anti-virussoftware buiten een testomgeving om te testen voert AV-Comparatives elke maand een "real-world protection test" uit. In plaats van een laboratoriumomgeving met duizenden exemplaren wordt er met echte links en bestanden getest. De testresultaten van juli tot en met november zijn nu bij elkaar genomen. In deze periode werden er 1769 kwaadaardige links en websites met een Windows 10-systeem bezocht. Alleen de gratis anti-virussoftware van Panda wist alle malware-exemplaren zonder tussenkomst van de gebruiker te detecteren. Vijftien van de 21 geteste anti-viruspakketten behalen een detectiescore van 99 procent of meer. Adaware eindigt met 95,4 procent onderaan. Microsoft Windows Defender weet 99,5 procent van de malware te detecteren. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. Alleen de oplossing van CrowdStrike slaat geen enkele keer onterecht alarm. Gemiddeld gaan de anti-viruspakketten 19 keer de fout in. F-Secure zet de slechtste score neer. 132 keer worden ten onrechte bestanden en websites geblokkeerd. Ook Seqrite, Symantec, Fortinet, BullGuard en Microsoft presteren slechter dan het gemiddelde. Vanwege het grote aantal false postives krijgen deze pakketten een lagere uiteindelijke beoordeling. Uiteindelijk worden Panda, Bitdefender, Tencent, Trend Micro, Kaspersky Lab, AVIRA, Avast, AVG, VIPRE, Emsisoft, ESET en McAfee als 'Advanced+' beoordeeld, de hoogste beoordeling. bron: security.nl

Touchpadfabrikant Synaptics gaat in alle keyboarddrivers die het ontwikkelt de debugger uitschakelen, nadat een beveiligingsonderzoeker vorige week waarschuwde dat het eigenlijk een keylogger is die toetsaanslagen kan opslaan. De onderzoeker waarschuwde dat de keylogger in de Synaptics Touchpad-driver op honderden HP-laptops is geïnstalleerd. De keylogger stond standaard uitgeschakeld, maar zou eenvoudig door malware kunnen worden ingeschakeld. HP stelde dat het om een achtergebleven debugger ging en kwam vervolgens met een beveiligingsupdate om het probleem te verhelpen. Synaptics liet destijds niets van zich horen, maar heeft nu toch via de eigen website een reactie gegeven. Volgens de touchpadfabrikant is de debugtool ten onrechte als keylogger aangemerkt. Alle Synaptics-drivers worden van een debugtool voorzien waarmee de fabrikant eventuele problemen kan achterhalen. Het betreft dus niet alleen HP-laptops, maar ook de computers van andere fabrikanten die de TouchPads van Synaptics gebruiken. De debugtool in de driver wordt standaard uitgeschakeld, maar de fabrikant kan ervoor kiezen om die in te schakelen. Wanneer de debugtool is ingeschakeld verzamelt die volgens Synaptics data in een binair formaat. Deze data wordt bij elk "power event" overschreven of verwijderd. Volgens Synaptics is er tegenwoordig sprake van een "verhoogde gevoeligheid voor security en privacy" en heeft het daarom uit voorzorg besloten om de debugtool in alle productiedrivers te verwijderen, zodat die niet voor kwade doeleinden is te gebruiken. Er wordt nu met fabrikanten samengewerkt zodat die updates onder hun gebruikers en klanten kunnen uitrollen om de debugtool uit te schakelen. bron: security.nl

Er is een nieuwe versie van de populaire Windows-firewall GlassWire verschenen die over allerlei nieuwe features beschikt, waaronder integratie met VirusTotal om verdachte bestanden te scannen en detectie van zogeheten Evil Twins. Het gaat in dit geval om wifi-netwerken die zich voordoen als het huidige wifi-netwerk van de gebruiker. GlassWire herkent het mac-adres van de wifi-router en waarschuwt als dit verandert. Door de integratie met de VirusTotal-dienst van Google kunnen gebruikers ervoor kiezen om netwerk-gerelateerde bestanden automatisch of handmatig door tientallen virusscanner-engines te laten scannen. Een andere nieuwe optie in GlassWire 2.0 is de mogelijkheid om firewall-profielen in te stellen en worden monitoren met hoge resoluties en setups met meerdere monitoren beter ondersteund. Verder is het eenvoudiger voor gebruikers om te zien hoeveel data hun computer verbruikt. GlassWire kent zowel gratis als betaalde versies. De firewall werd onlangs nog aangeraden in de door experts opgestelde Security Planner van het Canadese Citizen Lab. bron: security.nl