Captain Kirk

Windows Defender dat standaard met Windows 10 wordt meegeleverd is een veelgebruikte virusscanner, maar de anti-virussoftware heeft in vergelijking met andere beveiligingssoftware een grote impact op systemen, zo claimt het Oostenrijkse testlab AV-Comparatives aan de hand van een eigen test (pdf). Voor de test werd de systeembelasting gemeten van 21 virusscanners en internet security suites voor eindgebruikers. De test werd uitgevoerd op een Lenovo G50-computer met een Intel Core i3-4005U processor, 4GB geheugen en een traditionele harde schijf. Als besturingssysteem werd Windows 10 64-bit gebruikt. Volgens AV-Comparatives zijn dergelijke prestatietests belangrijk omdat een trage computer na de installatie van een virusscanner de grootste ergernis van gebruikers is als het om beveiligingssoftware gaat. Reden voor sommige gebruikers om de virusscanner al dan niet tijdelijk uit te schakelen, wat weer risico's met zich meebrengt. AV-Comparatives vergelijkt daarom niet alleen hoe goed anti-viruspakketten malware kunnen vinden en verwijderen, maar ook wat de impact op het systeem is. De test bestond uit twee onderdelen. Tijdens het eerste onderdeel werd de impact van de beveiligingssoftware getest tijdens het kopiëren van bestanden, archiveren en uitpakken van bestanden, installeren en verwijderen van programma's, downloaden van bestanden, het starten van applicaties en het laden van websites. Hierbij kon een maximale score van 90 punten worden gehaald. Als laatste werd ook nog het benchmarkprogramma PC Mark 8 gedraaid. Als basis werd een computer zonder virusscanner genomen die 100 punten bij PC Mark 8 scoort. Bij het eerste onderdeel zetten Bitdefender, Bullguard, ESET, F-Secure en Vipre de hoogste score neer. Van de 90 haalbare punten behaalden deze pakketten 88 punten. Microsoft Windows Defender en Adaware eindigen met respectievelijk 63 en 55 punten onderaan. Windows Defender blijkt het systeem vooral zwaar te belasten bij het kopiëren van bestanden. De test met PC Mark 8 wordt gewonnen door Secrite (99,5), gevolgd door ESET (99,2) en F-Secure (99,0). Hekkensluiters zijn Windows Defender (94,66), Tencent (93,0) en Adaware (92,8). Aan de hand van de twee tests berekende AV-Comparatives een uiteindelijke impactscore. ESET eindigt met een impactscore van 2,8 bovenaan, gevolgd door F-Secure met 3,0 punten. De systeembelasting is het grootst bij Microsoft Windows Defender (30,4) en Adaware (39,1). Bij dezelfde test in mei eindigde Microsoft onderaan en was Adaware een-na-laatste. Ook die test werd door ESET gewonnen. Computerkennis Hoewel gebruikers vaak de virusscanner de schuld van een trage computer geven is dat niet altijd het geval, aldus AV-Comparatives. Oude hardware is vaak ook een reden. Gebruikers krijgen dan ook het advies om meer geheugen te installeren, alle software up-to-date te houden, 20 procent vrije ruimte op de harde schijf te houden, ongebruikte software te verwijderen en programma's uit de Start-up map in Windows te verwijderen. Ook wordt het advies gegeven om regelmatig de harde schijf te defragmenteren. Hiervoor is het wel nodig om 15 procent vrije ruimte te hebben. Het defragmenteren is niet nodig bij een ssd-schijf. Als de computer vol staat met ongebruikte bestanden en registervermeldingen van allerlei geïnstalleerde en verwijdere software is het verstandig om een volledige herinstallatie te doen. Verder krijgen gebruikers het advies om regelmatig een volledige systeemscan uit te voeren. Door een technologie genaamd fingerprinting worden al gescande bestanden enige tijd niet meer door de virusscanner gescand, wat de snelheid kan verbeteren. Als laatste kan ook een beetje geduld geen kwaad merkt het testlab op. "Een vertraging van een paar seconden vanwege beveiligingssoftware is niet per definitie een groot probleem." bron: security.nl

Het komt geregeld voor dat onderzoekers van Google Project Zero kwetsbaarheden in de producten van onder andere Microsoft vinden, maar onderzoekers van Microsoft hebben op hun beurt een kwetsbaarheid in Google Chrome gevonden. Om gebruikers te beschermen richt Google Chrome zich op het hebben van een sterke sandbox, wat de impact van kwetsbaarheden beperkt. Een aanvaller moet naast een kwetsbaarheid in Chrome ook uit de sandbox zien te breken. Microsoft wilde kijken hoe Chrome presteert in het geval van een enkele kwetsbaarheid waardoor een aanvaller op afstand code kan uitvoeren en of het hebben van een sterke sandbox voldoende is om een browser veilig te maken. Het onderzoek van Microsoft volgt op onderzoek van Google-engineer Justin Schuh begin dit jaar. Schuh besloot de veiligheid van Edge en Chrome met elkaar te vergelijken. De engineer kwam tot de conclusie dat Microsoft veel investeert in het voorkomen dat aanvallers aan de 'voorkant' willekeurige code kunnen uitvoeren. Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken. Ook Microsoft komt tot een dergelijke conclusie. Doordat Chrome relatief weinig bescherming biedt tegen zogeheten remote code execution (RCE)-kwetsbaarheden is er weinig werk vereist om aan de hand van een geheugenbug een exploit te ontwikkelen. Doordat de Chrome-sandbox verschillende veiligheidscontroles uitvoert kan een RCE-exploit onder andere de Same Origin Policy (SOP) omzeilen, waardoor een aanvaller toegang tot de online diensten van de gebruiker krijgt, zoals e-mail, documenten en banksessies, alsmede opgeslagen inloggegevens. Microsoft stelt dat het vanwege dit soort kwetsbaarheden de producten op alle fronten beveiligt. "Met Microsoft Edge verbeteren we zowel de technologie om te isoleren en maken remote code execution lastiger", aldus Jordan Rabet van het Microsoft Offensive Security Research team. Rabet merkt ook op dat Google werkt aan een isoleringsfeature die Chrome beter bestand tegen bepaalde RCE-aanvallen moet maken. Google werd op 14 september door Microsoft over de kwetsbaarheid ingelicht en had vier dagen later een update klaarstaan. Wel waarschuwt Microsoft dat de manier waarop Google Chrome patches verwerkt een risico voor gebruikers is. De broncode van de update werd namelijk beschikbaar gemaakt via GitHub, terwijl de update nog niet onder gebruikers was uitgerold. Microsoft ontving voor de kwetsbaarheid 7500 dollar. Voor een aantal andere bugs ontving de softwaregigant ook nog eens ruim 7500 dollar. Het geld wordt door Microsoft aan een goed doel gedoneerd. "Onze strategieën verschillen misschien, maar we geloven in samenwerken met de hele security-industrie om klanten te beschermen", besluit Rabet. bron: security.nl

De Nederlandse beveiligingsonderzoeker Niels van Dijkhuizen heeft vandaag tijdens een securityconferentie in Luxemburg een nieuwe USB HID-aanval gepresenteerd waarmee het mogelijk is om vergrendelde systemen aan te vallen en bestaande beveiligingsmaatregelen te omzeilen. In het verleden zijn er meerdere aanvallen gedemonstreerd waarbij een aanvaller een usb-apparaatje aansluit om allerlei informatie te stelen. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board dat Google-onderzoeker Elie Bursztein vorig jaar demonstreerde. Deze usb-apparaten maken gebruik van HID (Human Interface Device) spoofing. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan bijvoorbeeld allerlei commando's uitvoeren waarmee de computer van het slachtoffer wordt gehackt of toetsaanslagen opslaan. Volgens Van Dijkhuizen zijn veel van dergelijke apparaten of de manier waarop ze werken te opzichtig en vallen zodoende op. Gebruikers zullen in dit geval doorhebben dat er iets mis is. Aanvallen met dergelijke apparatuur werken hierdoor alleen als de computer ontgrendeld is, aldus de onderzoeker tijdens de Hack.lu-conferentie. Vanwege het risico van USB HID-aanvallen werden verschillende oplossingen ontwikkeld, zoals de USBProxy, USG en Beamgun. De Nederlandse onderzoeker wilde een HID-aanval ontwikkelen die tegen een vergrendelde computer werkt en in staat is om bekende beveiligingsmaatregelen te omzeilen Het usb-apparaat moest daarnaast goedkoop, klein en onopgemerkt zijn. Tevens moest het apparaat over-the-air (ota) kunnen communiceren. Op deze manier is remote sniffing en beheer mogelijk. De oplossing die Van Dijkhuizen ontwikkelde kreeg de naam Keynterceptor, wat de onderzoeker als een 'proof of concept keyboard implant' omschrijft. Voor zijn ontwerp maakte Van Dijkhuizen onder andere gebruik van een Teensy 2.0 Arduino-board, een soort van micro-computer, en een 433MHz draadloze UART-module. In totaal kostte het usb-apparaatje bij elkaar 30 euro. Om beveiligingsmaatregelen te omzeilen besloot de onderzoeker de usb-omschrijving van toetsenborden te klonen. De Keynterceptor kan zich op deze manier als een vertrouwd toetsenbord voordoen. Ook paste hij nog verschillende andere trucs toe, zoals Keynterceptor met menselijke snelheid laten typen. Eenmaal aangesloten is het mogelijk om op afstand het toetsenbord te bedienen, automatisch in te loggen met gestolen inloggegevens, maar ook de invoer van de gebruiker te blokkeren via een radiofrequentie kill-switch. Tevens ontwikkelde de onderzoeker een uitbreiding die op een power adapter lijkt en over een 4G-dongle en een 433MHz-ontvanger beschikt. Het communiceren op deze frequentie valt minder op dan het gebruik van wifi. Een mogelijke oplossing tegen deze aanval is een extra verificatiestap bij het inloggen/ontgrendelen. Het gaat dan bijvoorbeeld om een captcha of twee/multifactor-authenticatie. "Als ethisch hacker wil ik graag aandacht voor de hoge mate van vertrouwen in onze usb-apparatuur", zo laat Van Dijkhuizen tegenover Security.NL weten. Ook onderzoekers Karsten Nohl en Jakob Lell waarschuwen hiervoor naar aanleiding van hun BadUSB-aanval in 2014. Van Dijkhuizen hoopt dan ook dat de industrie met een oplossing komt, omdat usb-apparaten op dit moment niet te vertrouwen zijn, zo liet hij afsluitend weten. bron: security.nl

Oracle heeft tijdens de vaste patchronde van oktober 252 nieuwe beveiligingslekken in een groot aantal producten gepatcht waardoor het totaal voor 2017 op 1129 uitkomt. De meeste kwetsbaarheden, 40 in totaal, werden in Oracle Fusion Middleware gepatcht. Ook in Hospitality Applications (37), E-Business Suite (26) en Oracle MySQL (25) werden meerdere ernstige kwetsbaarheden verholpen waardoor een aanvaller systemen op afstand had kunnen overnemen. In het geval van Java, dat ook een product van Oracle is, gaat het in totaal om 22 beveiligingslekken. Twintig van deze kwetsbaarheden zijn op afstand en zonder authenticatie aan te vallen. Op een schaal van 1 tot en met 10 zijn twee van de kwetsbaarheden met een 9,6 beoordeeld. Java staat nog altijd op miljoenen computers geinstalleerd, zowel bij eindgebruikers als bedrijven. De beveiligingslekken bevinden zich in Java 6u161, 7u151, 8u144 en 9, alsmede Java SE Embedded 8u144. De nieuwste Java-versie is te downloaden via Java.com. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. De volgende patchronde van Oracle staat gepland voor 16 januari 2018. In tegenstelling tot bijvoorbeeld Microsoft en Adobe, die elke maand met updates komen, brengt Oracle elk kwartaal updates uit. De updates verschijnen in januari, april, juli en oktober. bron: security.nl

Apache HTTP Server, de meestgebruikte webserversoftware ter wereld, gaat een protocol ondersteunen dat het eenvoudiger voor websites maakt om tls-certificaten te installeren en te beheren. Hierdoor zal naar verwachting het aantal websites dat via een beveiligde https-verbinding bereikbaar is sterk stijgen. Het gaat om het ACME-protocol, dat door de certificaatautoriteit Let's Encrypt wordt gebruikt voor de installatie van tls-certificaten. Let's Encrypt geeft gratis tls-certificaten uit en heeft een volledig versleuteld web als doel. Gebruikers van Let's Encrypt die een gratis tls-certificaat willen zullen in de meeste gevallen de ACME-client moeten downloaden en verschillende commando's moeten uitvoeren. Volgens Let's Encrypt zou het voor webmasters en serverbeheerders eenvoudiger zijn als hun webserversoftware standaard over een ingebouwde ACME-client beschikt. Zodoende is het niet meer nodig om aanvullende software binnen te halen. "Hoe minder werk mensen hebben om https uit te rollen des te beter", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG). Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Volgens Aas is ACME-ondersteuning in één van de populairste webservers ter wereld fantastisch, omdat zo het uitrollen van https voor miljoenen websites een stuk eenvoudiger wordt. De Apache httpd ACME-module heet mod_md. De module bevindt zich op dit moment in de ontwikkelversie van Apache. Er wordt daarnaast aan een plan gewerkt om de ACME-module ook voor Apache 2.4.x stable release beschikbaar te maken. De mod_md-code is beschikbaar op GitHub. bron: security.nl

Microsoft heeft vorige week een update uitgebracht voor één van de beveiligingslekken in het WPA- en WPA2-protocol die gisteren werden onthuld. Via de "KRACK-attack" kan een aanvaller met WPA- of WPA2-beveiligd verkeer ontsleutelen en in het ergste geval ook manipuleren. Het gaat in totaal om tien kwetsbaarheden die gisteren door Mathy Vanhoef van de KU Leuven werden geopenbaard. Vanhoef had verschillende organisaties en leveranciers al in juli gewaarschuwd, zodat die beveiligingsupdates konden ontwikkelen. In het geval van Microsoft is de update tijdens de patchdinsdag van oktober uitgerold. Het gaat om update KB4041676 die volgens de omschrijving "beveiligingsupdates voor Windows Wireless Networking" bevat. Verdere details werden echter niet gegeven. Inmiddels heeft Microsoft wel meer informatie online gezet. Windows bleek één van de tien ontdekte kwetsbaarheden te bevatten. Het gaat om CVE-2017-13080. Microsoft spreekt van een 'spoofinglek' waardoor een aanvaller broadcast en/of multicast-verkeer naar wifi-gebruikers kan replayen. Om de kwetsbaarheid te exploiteren moet een aanvaller in de buurt van het doelwit zijn en een man-in-the-middle-aanval uitvoeren om het verkeer tussen het doelwit en het access point te onderscheppen. Volgens Microsoft is er nog geen misbruik van de kwetsbaarheid in 'het wild' waargenomen. Ook stelt de softwaregigant dat misbruik 'minder waarschijnlijk' is. De update van Microsoft is voor Windows 7 en nieuwer uitgekomen en zal op de meeste systemen automatisch zijn geïnstalleerd. bron: security.nl

Google heeft de Windows-versie van Chrome van nieuwe features voorzien die gebruikers extra tegen ongewenste software beschermen. Volgens Google hebben miljoenen internetgebruikers dagelijks met de gevolgen van ongewenste software te maken. Het gaat dan bijvoorbeeld om software of extensies die zoekresultaten aanpassen, de startpagina veranderen of advertenties injecteren. Chrome beschikte al over verschillende maatregelen om dergelijke software tegen te gaan, zoals de Safe Browsing-technologie van Google en de optie om de instellingen van Chrome te resetten. Nu zijn deze maatregelen verder uitgebreid, zo heeft de internetgigant aangekondigd. Chrome is nu in staat om te detecteren of de instellingen zonder toestemming van de gebruiker zijn aangepast en zal vervolgens aanbieden om die te herstellen. Daarnaast is de Chrome Cleanup-optie aangepast. Deze feature zal gebruikers nu waarschuwen als het ongewenste software detecteert en maakt het mogelijk om Chrome eenvoudig naar de standaardinstellingen terug te zetten. Als laatste beschikt de browser over een krachtigere 'cleanup engine'. Google werkt hierbij samen met anti-virusbedrijf ESET. De detectietechnologie van ESET wordt gecombineerd met de sandbox-technologie van Chrome om ongewenste software effectiever te detecteren. Het gaat hier niet om een virusscanner, maar een tool die alleen software verwijdert die niet aan het 'ongewenste softwarebeleid' van Google voldoet. bron: security.nl

Adobe heeft vandaag een noodpatch uitgebracht voor een zeroday-lek in Flash Player dat actief is gebruikt om Windows-gebruikers aan te vallen. Via de kwetsbaarheid kan een aanvaller systemen in het ergste geval volledig overnemen. Adobe stelt dat het beveiligingslek bij "beperkte en gerichte" aanvallen tegen Windows-gebruikers is ingezet. De kwetsbaarheid werd door een onderzoeker van anti-virusbedrijf Kaspersky Lab ontdekt. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 27.0.0.170 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Microsoft Edge blokkeert meer malware- en phishingsites dan Google Chrome en Mozilla Firefox, zo stelt onderzoeksbureau NSS Labs aan de hand van een test. Gedurende 23 dagen tijdens augustus en september werden 1136 unieke phishingsites getest. Edge blokkeerde gemiddeld 92,3 procent van de url's, tegenover Chrome met gemiddeld 74,5 procent. Firefox eindigde met 61,1 procent op de derde plek. Ook is Edge sneller in het identificeren van nieuwe phishingsites, zo blijkt uit het onderzoek dat NSS Labs met MSPoweruser deelde. Daarnaast werd er ook getest met 'socially engineered malware'. Het gaat in dit geval om malware die gebruikers zelf downloaden en niet via bijvoorbeeld een drive-by download wordt geïnstalleerd. Hierbij wist Edge gemiddeld 99,5 procent van de kwaadaardige websites die malware aanboden te blokkeren, gevolgd door Chrome met 87,5 procent. Firefox eindigt wederom op de derde plek, dit keer met een percentage van 70,1 procent. Volgens NSS Labs kan de test helpen bij organisaties die met twee browsers werken. Vanwege veiligheidsredenen kiezen sommige organisaties ervoor om legacy browsers alleen voor interne of oudere applicaties te gebruiken en voor overige zaken een moderne browser in te zetten. Het volledige testrapport is tegen betaling (295 dollar) verkrijgbaar. bron: security.nl

Een bug in de populaire Firefox-extensie NoScript zorgt ervoor dat het icoon om de extensie te bedienen niet meer in de browser wordt weergegeven. NoScript is een uitbreiding voor Firefox die scripts op webpagina's blokkeert en allerlei extra beveiliging aan de browser toevoegt. De extensie wordt door mening beveiligingsexpert aangeraden. Met meer dan 1,7 miljoen gebruikers is het ook één van de populairste uitbreidingen voor Firefox. Afgelopen vrijdag verscheen er een update met versienummer 5.1.2 die ervoor zorgt dat het NoScript-icoon niet meer zichtbaar is. Scripts worden nog wel geblokkeerd, maar het is niet meer mogelijk om de extensie te bedienen. Op het forum van NoScript maakten tal van gebruikers melding van het probleem. Het probleem is onder andere op te lossen door Firefox in veilige modus te herstarten, te sluiten en vervolgens weer normaal te herstarten. bron: security.nl

Wifi-netwerken wereldwijd zijn kwetsbaar door meerdere beveiligingslekken in de WPA2-beveiliging. De Belgische onderzoekers Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet ontdekten tien kwetsbaarheden waardoor het onder andere mogelijk is om versleuteld wifi-verkeer te ontsleutelen, tcp-verbindingen te kapen, http-content te injecteren en packets te relayen. De KRACK-aanval die de onderzoekers ontwikkelden, wat staat voor Key Reinstallation Attacks, valt de handshake volgorde aan die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen de client en het access point. Tijdens de derde van de vier stappen kan de sleutel meerdere keren opnieuw worden gestuurd. Wanneer dit op bepaalde manieren wordt gedaan kan de cryptografische nonce, een willekeurig getal dat maar een keer mag worden gebruikt, op zo'n manier worden herbruikt dat de encryptie volledig wordt ondermijnd. Daardoor is het mogelijk om met WPA2-beveiligd verkeer af te luisteren en bijvoorbeeld van kwaadaardige code te voorzien. De onderzoekers zullen later vandaag de details van hun onderzoek vrijgeven. Details zijn echter al onder embargo met organisaties en andere onderzoekers gedeeld. Volgens Ars Technica heeft het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid al een waarschuwing naar zo'n honderd organisaties gestuurd. De onderzoekers hebben op Github al een pagina met de naam krackattacks aangemaakt, alsmede de domeinnaam krackattacks.com geregistreerd. Op 1 november tijdens de ACM Conferentie over Computer en Communications Security (CCS) zullen Vanhoef en Piessens hun onderzoek presenteren, zo meldt The Register. Afgelopen augustus publiceerden de onderzoekers al onderzoek (pdf) naar logische kwetsbaarheden in wifi-protocollen. Update De onderzoekers hebben hun onderzoek gepubliceerd (pdf) en op de website krackattacks.com meer informatie gegeven. Ze stellen dat de aanval zich richt op 'clients', zoals smartphones en laptops, in plaats van access points. Via de aanval kan alle informatie die een doelwit verstuurt worden ontsleuteld, mits dit via http gebeurt. Https biedt volgens de onderzoekers een extra beveiligingslaag, maar ook deze laag kan worden omzeild, zo waarschuwen ze. Afhankelijk van de gebruikte apparatuur kan ook de data naar het slachtoffer toe worden ontsleuteld. De aanval werkt zowel tegen WPA als WPA2. Hierbij moet worden opgemerkt dat een aanvaller het wachtwoord van het wifi-netwerk via de nu gepresenteerde aanval niet kan achterhalen. Het aanpassen van het wifi-wachtwoord kan de aanval dan ook niet voorkomen. De onderzoekers adviseren wifi-gebruikers om updates voor hun apparaten te installeren wanneer die beschikbaar komen. Update 2 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft de eigen advisory over de kwetsbaarheid gepubliceerd. De kwetsbaarheden worden op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Verder noemt het CERT/CC verschillende leveranciers die kwetsbaar zijn, waaronder Cisco, Intel, Juniper, Samsung, Toshiba en ZyXel. Als oplossing wordt het installeren van updates genoemd, als die beschikbaar zijn. Update 3 Ook het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie heeft een waarschuwing afgegeven. "Om de kwetsbaarheden volledig te mitigeren is het noodzakelijk om zowel de client als de access points van updates te voorzien", zo laat het NCSC weten. Verder stelt de overheidsinstantie dat om vertrouwelijkheid en integriteit van gegevens te waarborgen overwogen kan worden om gebruik te maken van versleutelde verbindingen, zoals tls-, https- en vpn-verbindingen. Beveiligingsexpert Robert Graham heeft een korte uitleg over de aanval online gezet. Daarin laat hij weten dat een aanvaller niet op het wifi-netwerk van het doelwit hoeft te zijn ingelogd. Verder biedt ssl/tls/vpn bescherming tegen de aanval en zijn zowel WPA als WPA2 kwetsbaar. Aangezien veel producten, zoals de Amazon Echo, tls gebruiken beperkt dit de impact van de aanval. Verder stelt de expert dat organisaties en bedrijven de aanval tegen zichzelf moeten uitvoeren, om te controleren dat alle apparaten beschermd zijn. Uiteindelijk moet het zo zijn dat alleen gepatchte toestellen met het wifi-netwerk binnen de organisatie verbinding mogen maken. bron: security.nl

Google heeft deze week meerdere nepversies van de populaire adblocker Adblock Plus uit de Chrome Web Store en van de computers van Chrome-gebruikers verwijderd. Eerder deze week waarschuwde de beveiligingsonderzoeker met het alias 'SwiftOnSecurity' voor een nepversie van Adblock Plus. Deze nepversie was 37.000 keer gedownload en toonde allerlei advertenties bij gebruikers. Na te zijn ingelicht verwijderde Google de extensie. In een reactie op 10 oktober erkende Google dat een aantal Chrome-apps de detectiesystemen had omzeild, maar dat er werd gewerkt aan een oplossing. Een dag later op 11 oktober waarschuwde SwiftOnSecurity opnieuw. Dit keer voor twee nieuwe nepversies van Adblock Plus, waarbij één op slimme wijze een vals aantal downloads liet zien. Bij de ondertitel stond "10.000.000+ users - Adblock Plus". Daardoor zouden gebruikers kunnen denken dat het om de echte versie ging, aangezien die meer dan 10 miljoen gebruikers heeft. Om de filters van Google te omzeilen hadden deze extensies gebruik gemaakt van Cyrillische unicode-karakters. Inmiddels zijn ook deze nep-apps verwijderd en de accounts van de ontwikkelaars geschorst. bron: security.nl

Dit gebeurd automatisch. Je kunt wel iemand blokkeren wanneer deze in je vriendenlijst staat.

Gezien geen reactie ga ik er vanuit dat het opgelost is. Daarom zet ik het topic op slot. Wil je het toch weer open hebben, laat het ons dan even weten.

Beste Jantjesl, Hoe staat het met het probleem. Indien het is opgelost, laat het dan even weten. Dan kan dit topic op slot.

Aanvallers maken gebruik van kwaadaardige Word-documenten om internetgebruikers met malware te infecteren. In tegenstelling tot veel andere aanvallen waarbij Word-documenten worden ingezet bevatten deze documenten geen macro's of embedded OLE-objecten. De aanvallers maken gebruik van het Dynamic Data Exchange (DDE) protocol om via het document kwaadaardige code op de computer uit te voeren. Via dit protocol is het mogelijk om naar een bestand te linken dat het document vervolgens probeert te openen. Het is bedoeld om data van het ene document in een ander document te injecteren. Hierbij wordt de gebruiker nog wel om toestemming gevraagd. In augustus werd er al voor een soortgelijke aanval gewaarschuwd. Onlangs publiceerde securitybedrijf SensePost een blogposting over het uitvoeren van kwaadaardige code in Word-documenten via het DDE-protocol. Het securitybedrijf had Microsoft in augustus gewaarschuwd, maar volgens de softwaregigant ging het om een feature en zou er voorlopig geen actie worden ondernomen. Nu meldt Cisco dat het aanvallen heeft waargenomen waarbij kwaadaardige Word-documenten van het DDE-protocol gebruikmaken. De documenten worden verspreid via e-mails die van de Amerikaanse beurswaakhond SEC afkomstig lijken. Zodra het document wordt geopend krijgen gebruikers de vraag of ze het document willen bijwerken met data van de bestanden waarnaar wordt gelinkt. In dit geval wordt er kwaadaardige code gedownload die de uiteindelijke malware installeert. Volgens Cisco werd de kwaadaardige code op een gehackte server van de Amerikaanse staat Louisiana gehost. De malware die uiteindelijk wordt geïnstalleerd verzamelt informatie over het systeem, waaronder het serienummer van het bios, en geeft aanvallers volledige controle over de computer. bron: security.nl

Aanvallers zijn er enige tijd in geslaagd om via een website van kredietbureau Equifax adware te verspreiden, zo ontdekte beveiligingsonderzoeker Randy Abrams. Abrams wilde zijn eigen kredietrapport bij Equifax opvragen toen hij plotseling naar een website werd doorgestuurd. Deze website wilde Abrams een zogenaamde Flash Player-update laten downloaden. In werkelijkheid ging het om adware genaamd Eorezo die allerlei advertenties laat zien. De adware wordt door drie virusscanners op VirusTotal herkend. Inmiddels wordt de adware niet meer via de website verspreid. Abrams informeerde Equifax via Twitter. Aanvallers wisten eerder dit jaar bij Equifax de gegevens van 145,5 miljoen Amerikanen te stelen. Deze week liet het bedrijf weten dat ook de data van ruim 690.000 Britten is buitgemaakt. bron: security.nl

Het zeroday-lek in alle ondersteunde versies van Microsoft Office waarvoor dinsdagavond een beveiligingsupdate verscheen is sinds september aangevallen. Dat meldt securitybedrijf Qihoo 360, dat het zeroday-lek en de aanvallen ontdekte. Via de kwetsbaarheid kan een aanvaller volledige controle over een computer krijgen als er een kwaadaardig document wordt geopend. In het geval de aanval succesvol was werd er een Trojaans paard geïnstalleerd dat ontwikkeld was om gevoelige gegevens te stelen. Door de Command & Control-server te analyseren waarmee de malware communiceerde stelt Qihoo 360 dat de aanval in augustus werd voorbereid en in september gelanceerd. Tegen wie de aanval was gericht laat het securitybedrijf niet weten, maar het zou om een "beperkt aantal klanten" gaan. bron: security.nl

Een beveiligingslek dat Microsoft gisterenavond patchte maakte het mogelijk om computers door het versturen van een kwaadaardige dns-response volledig over te nemen. Het beveiligingslek bevond zich in de Windows DNSAPI en speelde bij Windows 8 en Server 2012 en nieuwere Windows-versies. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Computers versturen tijdens het browsen of streamen van muziek en video's allerlei dns-requests, waarop een response volgt. Ook als de computer niet door de gebruiker wordt gebruikt zal die dns-requests sturen, bijvoorbeeld als er naar Windows-updates wordt gezocht. In de meeste gevallen komt de dns-response niet direct bij de applicatie terecht die de request verstuurde, maar gaat die eerst via de dns-cachingservice. Deze service bewaart de response voor hergebruik, wat het aantal dns-requests beperkt dat het systeem moet versturen. De Windows dns-client blijkt dns-responses echter niet voldoende te controleren. Een geprepareerde dns-response kan het geheugen van de dns-client corrumperen, waardoor een aanvaller willekeurige code op het systeem kan uitvoeren. De kwetsbaarheid werd ontdekt door Nick Freeman van securitybedrijf Bishop Fox. Volgens Freeman zou een aanvaller van het beveiligingslek gebruik kunnen maken als hij controle over de dns-server van de gebruiker heeft, bijvoorbeeld via een man-in-the-middle-aanval. Een aanvaller zou hiervoor zijn eigen kwaadaardige hotspot kunnen opzetten of gebruikers van een gedeeld wifi-netwerk kunnen aanvallen. Via de aanval is het mogelijk om met verschillende rechten code uit te voeren. Als de dns-cachingservice crasht zal de volgende dns-response direct naar de applicatie gaan die het verzoek deed. Dit houdt in dat de aanvaller de dns-cachingservice kan laten crashen en wachten tot een applicatie met hoge rechten, zoals Windows Update, een request verstuurt. Daarbij kan een aanvaller het lek een onbeperkt aantal keer aanvallen. De gebruiker merkt het namelijk niet als de dns-cachingservice crasht. De service zal zich daarnaast zelf weer herstarten. De update die het probleem verhelpt wordt op de meeste systemen automatisch geïnstalleerd. bron: security.nl

Securitybedrijf Symantec geeft overheden geen toegang meer tot de broncode van de beveiligingssoftware die het aanbiedt, omdat dit de veiligheid van de producten in gevaar kan brengen. Dat laat ceo Greg Clark in een interview met persbureau Reuters weten. Verschillende softwarebedrijven, zoals Microsoft, geven overheden toegang tot broncode om zo zorgen over backdoors en andere risico's weg te nemen. Ook Symantec deed dit, maar volgens Clark is het beveiligingsrisico te groot geworden. Het verlies van vertrouwen door de broncode niet meer te laten controleren zou niet opwegen tegen de 'business' die het bedrijf kan winnen, aldus de Symantec-ceo. Clark vertelde geen hard bewijs te hebben dat inzage in de broncode tot aanvallen heeft geleid, maar noemde het proces een onacceptabel risico voor klanten. bron: security.nl

Een beveiligingslek in Microsoft Outlook 2016 heeft ervoor gezorgd dat met S/MIME versleutelde e-mails in bepaalde gevallen onversleuteld werden verstuurd. Het probleem zou tenminste al zes maanden in de software aanwezig zijn, zo stelt securitybedrijf SEC Consult, dat het probleem ontdekte. S/MIME is een standaard voor end-to-end-encryptie en het signeren van e-mails. Het wordt onder andere door Microsoft Outlook, Mozilla Thunderbird en Apple Mail ondersteund. De kwetsbaarheid deed zich alleen voor bij het opstellen van e-mails in platte tekst die vervolgens via S/MIME werden versleuteld. Outlook stuurde in deze gevallen het bericht in zowel versleutelde als onversleutelde vorm (in één enkel bericht) naar de mailserver van de afzender en ontvanger. Daardoor was het mogelijk om zonder de privésleutel van de ontvanger de inhoud van het bericht te lezen. Iets wat S/MIME juist moet voorkomen. De afzender had niets door, aangezien het bericht in zijn verzonden map als versleuteld werd weergegeven. Het probleem speelde verder alleen bij het gebruik van Outlook als afzender. In het geval van inkomende met S/MIME versleutelde berichten, waar Outlook de ontvanger was, deed het probleem zich niet voor. Versleutelde berichten met html-opmaak werden wel juist versleuteld verstuurd. Volgens SEC Consult zou een aanvaller op verschillende manieren misbruik van de kwetsbaarheid kunnen maken, afhankelijk van of er met een Exchange-server of smtp-server werd gewerkt. In het geval van Exchange zou de aanval mogelijk zijn als de aanvaller toegang tot het netwerkverkeer heeft tussen Outlook en de Exchange-server en er geen versleutelde tls-verbinding wordt gebruikt of als een aanvaller toegang tot de Exchange-server van de afzender heeft. Bij het gebruik van een smtp-server is de aanval mogelijk als de aanvaller toegang tot het netwerkverkeer, mail transfer agent of de mailbox van de afzender of ontvanger heeft. Het beveiligingslek werd gisterenavond door Microsoft gepatcht. bron: security.nl

Microsoft is gestopt met de support van Office 2007, Office 2011 voor Mac en Windows 10 versie 1511, ook bekend als de November Update. De software ontvangt vanaf nu geen beveiligingsupdates meer. Ook Project 2007 en Project Server 2007, Visio 2007 en SharePoint Server 2007 worden niet meer ondersteund. Volgens Microsoft kan het blijven gebruiken van de software voor compliance- en veiligheidsproblemen zorgen. Office 2007, dat op 30 januari 2007 verscheen, kreeg de afgelopen jaren regelmatig met zeroday-aanvallen te maken. In april van dit jaar werd er nog gewaarschuwd voor aanvallen op een zeroday-lek in de kantoorsoftware. Ook gisteren patchte Microsoft nog een zeroday-lek in Office 2007 dat actief voor het verschijnen van de update werd aangevallen. De softwaregigant adviseert gebruikers om naar Office 365 te migreren. Daarnaast is de ondersteuning gestopt van Windows 10 versie 1511. Dit is de eerste grote update voor het besturingssysteem die in november 2015 verscheen. Eerder werd al de ondersteuning van de originele Windows 10-versie gestaakt. Microsoft beschouwt Windows 10 als 'Windows as a Service' en alle grote updates voor het besturingssysteem worden een bepaalde tijd ondersteund. Zo zal de support van de Windows 10 Anniversary Update (versie 1607) volgend jaar maart aflopen. Windows 10-gebruikers die met deze versie werken moeten dan updaten als ze nog updates willen ontvangen. bron: security.nl

De populaire wachtwoordmanager 1Password is nu ook beschikbaar voor Microsoft Edge, zo heeft ontwikkelaar AgileBits aangekondigd. Om de gratis browser-extensie te gebruiken moeten gebruikers wel 1Password voor Windows 6.7 of nieuwer op hun systeem hebben geïnstalleerd. Dit is de abonnementsversie van de wachtwoordmanager die 36 dollar per jaar voor één gebruiker kost of 60 dollar voor vijf gebruikers. Via 1Password kunnen gebruikers allerlei wachtwoorden voor websites en applicaties genereren en in kluizen opslaan en beheren. De abonnementsversie laat gebruikers hun wachtwoordkluizen in de cloud bewaren en over meerdere apparaten synchroniseren. Door het verschijnen van 1Password voor Edge in de Microsoft Store is het totaal aantal extensies voor Edge, sinds het vorig jaar augustus dit begon te ondersteunen, op 66 uitgekomen. bron: security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 62 kwetsbaarheden in Windows, Internet Explorer, Microsoft Edge, Office, Skype voor Business en Lync en Chakra Core gepatcht, waaronder een zerodaylek in Office dat actief werd aangevallen voordat de update beschikbaar was. Via het zerodaylek, dat in Office 2007, 2010, 2013 en 2016 aanwezig was, kon een aanvaller in het ergste geval systemen volledig overnemen als er een kwaadaardig document werd geopend. Twee andere kwetsbaarheden in Microsoft Office SharePoint en Windows Subsystem voor Linux waren voor het verschijnen van de update al bekend, maar zijn volgens Microsoft niet aangevallen. In totaal zijn 28 van de 62 kwetsbaarheden als ernstig aangemerkt. De meeste beveiligingslekken bevinden zich in de Microsoft Scripting engine, die verantwoordelijk is voor het uitvoeren van JavaScript en VBscript in websites. Verder is er een kwetsbaarheid in het Windows SMB-protocol gepatcht. Het gaat om een soortgelijk beveiligingslek waar de WannaCry-ransomware gebruik van maakte, zo laat securitybedrijf Trustwave weten. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Volgende maand lanceert Mozilla een nieuwe versie van Firefox die alleen nog extensies ondersteunt die op het WebExtensions-model zijn gebaseerd. Onlangs bleek al dat ruim 20.000 Firefox-extensies niet met de nieuwe Firefox-versie zullen werken. Gebruikers van deze zogeheten legacy-extensies kunnen echter op Firefox ESR overstappen, aangezien deze Firefox-versie de extensies tot 26 juni 2018 zal ondersteunen. Firefox Extended Support Release (ESR) ontvangt alleen maar beveiligingsupdates en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Op dit moment is Firefox ESR 52 de meest recente ESR-versie die met legacy-extensies werkt. Deze versie zal tot 26 juni beveiligingsupdates blijven uitvangen. Daarna verschijnt Firefox ESR 59.2, die geen legacy-extensies ondersteunt. Via de website addons.mozilla.org kunnen Firefox-gebruikers extensies voor de browser downloaden. Mozilla zal legacy-extensies op deze website blijven tonen totdat de ondersteuning van Firefox ESR 52 voorbij is. Wel zal de website zich voornamelijk op WebExtension-extensies gaan richten, aldus Mozilla's Jorge Villalobos. Verder laat Villalobos weten dat addons.mozilla.org grote veranderingen zal ondergaan, waaronder een nieuw ontwerp. bron: security.nl