Captain Kirk

Om ervoor te zorgen dat de implementatie van cryptografische algoritmen in Firefox vrij van problemen is zal Mozilla met de lancering van Firefox 57 met "geverifieerde cryptografie" komen. Volgens de browserontwikkelaar blijkt uit ervaring dat het lastig voor ontwikkelaars is om foutloze code te schrijven. In het geval van een bug of kwetsbaarheid wordt dit vervolgens met een update verholpen. Iets wat voor de meeste software werkt, aldus Benjamin Beurdouche van Mozilla. Als het echter gaat om fouten in cryptografische softwarebibliotheken kan dit de veiligheid van gebruikers in gevaar brengen. En dit soort kwetsbaarheden komen geregeld voor. Alleen het afgelopen jaar zijn er meerdere kwetsbaarheden in populaire cryptografische softwarebibliotheken gepatcht. Tegenwoordig is het echter mogelijk om de implementatie van cryptografische algoritmen automatisch te controleren. Op deze manier kan worden verzekerd dat de implementatie vrij is van allerlei fouten. Iets wat handmatiger veel lastiger te controleren is. Mozilla werkt nu samen met de Franse onderzoeksorganisatie INRIA en Project Everest, waar Microsoft Research, Carnegie Mellon University en INRIA aan meedoen, om onderdelen van hun gecontroleerde cryptografsiche softwarebibliotheek aan de security-engine van Firefox toe te voegen. Mozilla is naar eigen zeggen daarmee de eerste grote webbrowser die over formeel geverifieerde cryptografische primitieven beschikt. Naast de veiligheid zou dit ook de prestaties ten goede komen. De nieuwe cryptografische implementatie is namelijk 20 procent sneller dan de huidige implementatie binnen Firefox. Het plan is om de nieuwe code met Firefox 57 te lanceren, die voor november staat gepland. bron: security.nl

Onderzoekers hebben in een WordPress-plug-in met meer dan 200.000 installaties een backdoor ontdekt. Het gaat om de plug-in Display Widgets, waarmee content in de zijbalk van websites per pagina kan worden ingesteld. De plug-in werd in juni van dit jaar door de originele ontwikkelaar verkocht. De laatste drie versies van de plug-in bevatten kwaadaardige code die de nieuwe ontwikkelaars de mogelijkheid geeft om willekeurige content te plaatsen op WordPress-websites waar de plug-in is geïnstalleerd, zo waarschuwen securitybedrijven Wordfence en Plugin Vulnerabilities. Onlangs klaagden gebruikers dat de plug-in was gebruikt om spam op hun WordPress-sites te plaatsen. Sinds Display Widgets door de oorspronkelijke ontwikkelaar werd verkocht heeft WordPress de plug-in drie keer uit de database met aangeboden plug-ins verwijderd, om de uitbreiding vervolgens ook drie keer weer toe te staan. Een aantal dagen geleden werd de plug-in voor de vierde keer verwijderd. WordPress-gebruikers die Display Widgets hebben geïnstalleerd krijgen het advies die te verwijderen. WordPress heeft inmiddels excuses gemaakt dat de ontwikkelaars met de gebackdoorde plug-in zolang hun gang konden gaan. Daarnaast heeft het plug-inteam van WordPress een schone versie van Display Widgets ontwikkeld. bron: security.nl

Met de Fall Creators Update voor Windows 10 die volgende maand is het permissiemodel van het besturingssysteem verder uitgebreid, zo laat Microsoft vandaag in een blogposting weten. Op dit moment vragen apps alleen in het geval van locatiegegevens om toestemming van de gebruiker. Het permissiemodel gaat straks verder dan alleen locatiegegevens, maar zal ook hardware en andere onderdelen omvatten, zoals camera, microfoon, contacten en kalender. Zodoende kunnen gebruikers kiezen welke apps informatie van het systeem kunnen opvragen. Het permissiemodel geldt alleen voor apps die via de Microsoft Store zijn gedownload. Daarnaast zullen de nieuwe verzoeken om permissies alleen gelden voor apps die na de Fall Creators Update zijn geïnstalleerd. Verder heeft Microsoft aanpassingen doorgevoerd met betrekking tot het tonen van privacy-informatie tijdens de installatie. Het privacyscherm dat tijdens de installatie wordt getoond, en waar gebruikers opties met betrekking tot diagnostische data, locatiegegevens, advertenties en spraakherkenning kunnen instellen, bevat nu verwijzingen naar het specifieke onderdeel in de privacyverklaring. De Fall Creators Update wordt op 17 oktober gelanceerd. bron: security.nl

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft in totaal 1 miljoen dollar uitgeloofd voor zeroday-lekken in Tor Browser op Windows en Tails. Het gaat hierbij om kwetsbaarheden waarvoor nog geen update beschikbaar is en het systeem van Tor Browser-gebruikers volledig kan worden overgenomen. Zerodium verkoopt de verkregen zeroday-exploits weer door aan een "beperkt aantal" bedrijven en overheden. Doordat besturingssystemen over steeds meer beschermingsmaatregelen beschikken wordt het volgens Zerodium lastiger en lastiger om kwetsbaarheden in browsers uit te buiten. "Maar gemotiveerde onderzoekers slagen ondanks de complexiteit van het werk er altijd in om nieuwe browser-exploits te ontwikkelen, dankzij hun vaardigheden en het gebruik van scriptingtalen zoals JavaScript", aldus het bedrijf. In het geval van Tor Browser zoekt Zerodium naar zeroday-exploits die ook zonder JavaScript werken. Exploits die JavaScript vereisen mogen ook worden ingezonden, maar leveren minder op. Een zeroday-exploit zonder JavaScript waarmee het systeem van een Tor Browser-gebruiker op Windows 10 en het privacy-besturingssysteem Tails volledig kan worden overgenomen levert 250.000 dollar op. In het geval JavaScript is vereist wordt het bedrag gehalveerd. Als de exploit alleen tegen één van de twee platformen werkt wordt er 200.000 dollar uitgekeerd. Wederom levert een exploit met JavaScript de helft van dit bedrag op. Het Tor Browser-programma van Zerodium loopt tot 30 november, maar kan ook eerder zijn afgelopen als er voor 1 miljoen dollar aan beloningen is uitgekeerd. Onlangs kwam Zerodium ook al in het nieuws omdat het zich op populaire chat-apps zoals Signal, WhatsApp, WeChat, Telegram, Facebook Messenger en Viber richtte. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor Project, dat voor het Tor-netwerk en Tor Browser verantwoordelijk is, lanceerde eerder dit jaar een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden in het netwerk en de browser vinden en rapporteren, waarbij er tot 4.000 dollar per bugmelding wordt uitgekeerd. bron: security.nl

Bij een recente phishingaanval hebben criminelen van gehackte LinkedIn-accounts gebruik gemaakt om slachtoffers naar een zogenaamde inlogpagina van Google te lokken. Via de gehackte LinkedIn-accounts werden privéberichten naar contacten op het zakelijke sociale netwerk gestuurd. Daarin werd gesteld dat de afzender een document via GoogleDrive had gedeeld. De afgekorte link wees echter naar een phishingpagina waar de gebruiker om de inloggegevens van zijn Google-account werd gevraagd. Als gebruikers hun gegevens invoerden werd er een echt document op GoogleDrive getoond. De aanvallers maakten ook gebruik van premium LinkedIn-accounts. Deze accounts hebben de mogelijkheid om via de InMail-feature berichten te versturen naar mensen die geen direct contact zijn. Doordat er van een url-verkorter gebruik werd gemaakt kon onderzoeker Jerome Segura van anti-malwarebedrijf Malwarebytes het aantal clicks op de afgekorte link in het bericht achterhalen. Volgens de statistieken is de link 256 keer geopend. Dat zegt niets over het aantal slachtoffers, aangezien alleen het aantal clicks wordt bijgehouden, niet hoeveel mensen daadwerkelijk hun gegevens invulden. Segura stelt dat dit soort aanvallen via social media niet nieuw zijn, maar het wederom laat zien hoe lastig het is om kwaadaardige activiteit te blokkeren als het van vertrouwde gebruikersaccounts afkomstig is, laat staan de accounts van collega's of kennissen. Dit maakt dergelijke aanvallen ook veel geloofwaardiger voor potentiële slachtoffers en kan voor een sneeuwbaleffect zorgen als ook de accounts van slachtoffers worden gebruikt om phishinglinks te verspreiden, aldus de onderzoeker. bron: security.nl

Bijna 100.000 routers van netwerkfabrikant D-Link die via internet toegankelijk zijn bevatten ongepatchte kwetsbaarheden waardoor ze kunnen worden aangevallen. Vorige week besloot onderzoeker Pierre Kim verschillende beveiligingslekken in de D-Link 850L-router te openbaren, zonder dat D-Link was ingelicht. Het bedrijf had dan ook geen updates kunnen ontwikkelen. De onderzoeker besloot naar eigen zeggen tot full-disclosure over te gaan omdat D-Link slecht op een eerdere bugmelding van hem had gereageerd. Nu heeft securitybedrijf Embedi verschillende kwetsbaarheden in de DIR890L, DIR885L, DIR895L en andere DIR8xx D-Link-routers onthuld die ook nog niet zijn gepatcht. Embedi besloot D-Link wel eerst te informeren, maar dat bleek een lastig proces. De netwerkfabrikant werd eind april door Embedi over twee kwetsbaarheden gewaarschuwd. D-Link antwoordde dat de kwetsbaarheden al in een betaversie van de router-firmware waren gepatcht. De beta-firmware bleek echter één van de twee gerapporteerde kwetsbaarheden te verhelpen. Daarnaast werd er een ander lek in de firmware gevonden. In juni waren de twee openstaande problemen nog steeds niet gepatcht, waarop Embedi stelde dat het die openbaar zou maken. Nu ruim drie maanden later zijn de problemen nog steeds aanwezig en is ook Embedi tot full-disclosure overgegaan. Het eerste ongepatchte lek is een zogeheten 'stack overflow' waardoor een aanvaller door het versturen van een speciaal request superuser-toegang kan krijgen. Op deze manier is het mogelijk om het apparaat volledig over te nemen. De tweede kwetsbaarheid die nog steeds aanwezig is maakt het mogelijk om op afstand de firmware te updaten. Bij het herstarten van de router blijkt er een 'recovery webserver' te draaien. Deze server biedt de mogelijkheid voor ongeautoriseerde gebruikers om de firmware te updaten. Zodra een aanvaller toegang tot het apparaat heeft verkregen kan hij die herstarten en via de webserver zijn eigen firmware installeren. Het beveiligingslek dat D-Link wel heeft gepatcht maakte het mogelijk voor een aanvaller om via een http-request de inloggegevens van de router te stelen. De Nederlandse beveiligingsonderzoeker Victor Gevers laat weten dat het aantal kwetsbare D-Link-routers dat via internet toegankelijk is de 98.500 heeft gepasseerd. Het grootste deel van de kwetsbare routers bevindt zich in Zuid-Korea, Singapore en Canada. bron: security.nl

Microsoft heeft tijdens de patchcyclus van september updates voor 81 kwetsbaarheden in Internet Explorer, Edge, Windows, Office, Skype for Business, .NET Framework en Exchange Server uitgebracht. Het gaat onder andere om een zeroday-lek in .NET die de afgelopen periode actief werd aangevallen en de BlueBorne-kwetsbaarheid in de Bluetooth-implementatie van Windows. Via 39 van de kwetsbaarheden had een aanvaller op afstand willekeurige code op het systeem kunnen uitvoeren. 27 hiervan zijn er door Microsoft als "ernstig" bestempeld. Het gaat om kwetsbaarheden in IE, Edge, Microsoft PDF, Scripting Engine, Windows DHCP Server, Windows GDI+ en Win32k Graphics. Daarnaast zijn er drie lekken gepatcht die al voor het verschijnen van de update bekend waren, maar volgens Microsoft niet zijn aangevallen. Er is dan ook geen sprake van zeroday-lekken. Het gaat om een kwetsbaarheid waardoor de Device Guard beveiligingsmaatregel is te omzeilen, een beveiligingslek in de Broadcom-chipset van de HoloLens waardoor een aanvaller via een speciaal wifi-pakket het apparaat kan overnemen en een kwetsbaarheid in Microsoft Edge waardoor een beveiligingsmaatregel van de browser omzeild kan worden. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. Op systemen waar het automatisch installeren van updates niet staat ingeschakeld adviseert Microsoft dit alsnog in te schakelen. bron: security.nl

Adobe heeft net als vorige maand en de maanden daarvoor ernstige beveiligingslekken in Flash Player gedicht, maar het softwarebedrijf heeft het installeren van de beveiligingsupdates een lagere prioriteit gegeven. De nu uitgekomen Flash Player-update verhelpt twee ernstige kwetsbaarheden waardoor een aanvaller in het ergste geval kwetsbare systemen volledig had kunnen overnemen. De beveiligingslekken waren door onderzoekers van Google ontdekt en gerapporteerd. Wat deze maand opvalt aan het Security Bulletin is de prioriteit voor het installeren van de beveiligingsupdates. Normaliter kregen gebruikers met Flash Player op Windows en macOS en gebruikers van Google Chrome, dat over een embedded Flash Player beschikt, het advies om de update binnen 72 uur te installeren. Adobe hanteerde in dit geval een "prioriteit 1" beoordeling. Voor deze gebruikers heeft Adobe het advies nu veranderd in een "prioriteit 2" beoordeling. Nu adviseert Adobe om de update snel te installeren, waarbij als voorbeeld 30 dagen wordt genoemd. Een prioriteit 2 wordt gegeven aan updates voor producten die in het verleden een "verhoogd risico" liepen. Er zijn op dit moment geen exploits voor de gepatchte lekken beschikbaar en Adobe verwacht ook niet dat die op korte termijn zullen verschijnen. Alleen in het geval van Flash Player voor Internet Explorer 11 en Microsoft Edge hanteert Adobe nog wel een "prioriteit 1". Deze gebruikers lopen volgens het softwarebedrijf een groter risico om te worden aangevallen. De cijfers lijken voor de beslissing van Adobe te spreken. Dit jaar zijn er nog geen zeroday-aanvallen op de software waargenomen en het meest recente Flash Player-lek dat criminelen via exploitkits aanvallen is al meer dan een jaar geleden gepatcht. Updaten naar Flash Player 27.0.0.130 kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. bron: security.nl

Huidige webgebaseerde e-maildiensten zijn elektronische mijnenvelden die mensen verleiden om op linkjes te klikken, waardoor ze uiteindelijk slachtoffer van phishing en andere scams worden. De enige veilige e-mail is dan ook text-only e-mail, zo stelt Sergey Bratus, hoogleraar informatica aan Darthmouth College, een universiteit in de Verenigde Staten. Bratus houdt zich bezig met onderzoek naar malwaretechnieken. Tegenwoordig is er veel aandacht voor het onderwijzen van gebruikers om niet op de verkeerde dingen te klikken. Volgens Bratus ligt het werkelijke probleem bij de e-mailclients die mensen gebruiken. Het gaat zowel om webgebaseerde e-maildiensten als programma's voor de desktop, zoals Outlook, die berichten op dezelfde onveilige wijze weergeven. De meeste e-mailprogramma's ondersteunen standaard html en andere opmaak. Het is hierdoor eenvoudig om malafide links aan een bericht toe te voegen die onschuldig lijken. Bratus pleit dan ook voor een terugkeer naar text-only e-mail, waarbij een bericht alleen uit platte tekst zonder opmaak bestaat. Dat is namelijk de enige veilige e-mail, aldus de hoogleraar. "De terugkeer naar de oorsprong van e-mail in platte tekst lijkt misschien radicaal, maar het biedt radicaal betere veiligheid." Door het gebruik van platte tekst wordt het voor gebruikers veel duidelijker als er kwaadaardige scripts of malafide links aan een bericht zijn toegevoegd. "De enige manier om veilig te zijn in de huidige webmailomgeving is de vaardigheden van een professionele webontwikkelaar te leren. Alleen dan zullen de lagen van html, JavaScript en andere code duidelijk worden. Alleen dan zullen de gevolgen van een klik van tevoren duidelijk worden", stelt Bratus. Hij vindt dat dit niet van gebruikers verwacht mag worden. De hoogleraar ziet dan ook een rol weggelegd voor softwareontwikkelaars om browsers en webmailsystemen te fixen, zodat gebruikers weten waarheen hun klik leidt. "Als technologen hebben we al lang geaccepteerd dat sommige technologie gewoon een slecht idee is, zelfs als het er spannend uitziet. De maatschappij moet hetzelfde doen. Securitybewuste gebruikers moeten eisen dat hun e-mailprovider een optie voor platte tekst aanbiedt", gaat de hoogleraar verder. Hij stelt dat dit soort opties helaas erg schaars zijn, maar een belangrijke rol spelen om de onveiligheid van webmail op te lossen. Uiteindelijk zouden e-mailproviders die deze opties niet aanbieden door gebruikers vermeden moeten worden. bron: security.nl

Gebruikers van de D-Link 850L-router of andere D-Link-apparaten die van het mydlink-protocol gebruikmaken moeten die direct offline halen, zo waarschuwt onderzoeker Pierre Kim. Via verschillende kwetsbaarheden is het namelijk mogelijk om de apparaten aan te vallen en over te nemen. Een beveiligingsupdate van D-Link is echter nog niet beschikbaar. Kim heeft in het verleden eerder naar de apparatuur van D-Link gekeken. De onderzoeker was echter niet tevreden met de reactie van D-Link op zijn vorige onderzoek dat hij nu heeft besloten om verschillende kwetsbaarheden direct openbaar te maken, zonder de netwerkfabrikant in te lichten. In het geval van de D-Link 850L gaat het om beveiligingslekken waardoor een aanvaller gebackdoorde firmware kan installeren, authenticatiecookies kan stelen en andere aanvallen kan uitvoeren. Volgens de onderzoeker is de router slecht ontworpen en bevat die veel kwetsbaarheden. "In principe is alles gehackt, van het LAN tot het WAN." Daarnaast richtte de onderzoeker zich ook op het mydlink-protocol. Via de mydlink-clouddienst is het mogelijk om apparaten op het netwerk overal vandaan te bekijken, benaderen en bedienen. Het lukte Kim om via het protocol het beheerderswachtwoord van een router te achterhalen. Via het wachtwoord zou het vervolgens mogelijk zijn om gebackdoorde firmware te installeren. "Het is interessant om te zien dat D-Link alle wachtwoorden van apparaten die de mydlink-dienst gebruiken onversleuteld opslaat", aldus de onderzoeker. Kim stelt dat de kwetsbaarheden in het protocol verschillende routers, NAS-systemen en camera's van D-Link kunnen raken die van het protocol gebruikmaken, maar noemt verder geen concrete modellen of typenummers. Zoals eerder gezegd is D-Link niet over de kwetsbaarheden geïnformeerd en heeft dan ook nog geen updates kunnen ontwikkelen. Kim adviseert gebruikers om kwetsbare routers meteen van het internet los te koppelen. bron: security.nl

De hoeveelheid ransomware die Microsoft op Windowscomputers in het tweede kwartaal voorbij zag komen is gestegen ten opzichte van de twee kwartalen daarvoor. Alleen al in mei werden er 1,7 miljoen "ransomware encounters" gemeten. Het gaat hier om computers met de beveiligingssoftware van Microsoft die ransomware tegenkomen en dit aan Microsoft doorgeven. Tegengekomen ransomware wil echter nog niet zeggen dat de computer ook daadwerkelijk geïnfecteerd is geraakt. De stijging wordt onder andere veroorzaakt door ransomware-as-a-service (Raas). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Ook de Spora- en Cerber-ransomware zijn voor de groei verantwoordelijk. In de eerste helft van dit jaar ontdekte Microsoft 71 nieuwe ransomware-families. In dezelfde periode vorig jaar ging het nog om 64 nieuwe ransomware-families. Volgens Microsoft laat de ontwikkeling zien dat security-hygiëne nog altijd erg belangrijk is. De meeste ransomware maakt gebruik van e-mailbijlagen waarbij gebruikers uiteindelijk zelf hun eigen systeem infecteren. bron: security.nl

Mozilla maakt voortaan gebruik van een nieuw systeem om data van Firefox-gebruikers te verzamelen, wat het volgens de browserontwikkelaar eenvoudiger voor gebruikers moet maken om te bepalen of ze gegevens willen delen. Voorheen maakte Firefox gebruik van twee aparte dataverzamelingssystemen, namelijk Firefox Health Report en Telemetry. Firefox Health Report stond daarbij standaard ingeschakeld. Deze optie zorgde ervoor dat zaken als crashes en opstarttijd werden doorgestuurd naar Mozilla. De Telemetry-optie legde het gebruik, prestaties, hardwareconfiguratie en andere zaken vast. Ook werd het ip-adres van gebruikers verzameld als onderdeel van een standaard weblog. Voor deze optie werd toestemming gevraagd. Mozilla heeft nu besloten om beide systemen tot een nieuw systeem te combineren genaamd Unified Telemetry, dat standaard staat ingeschakeld. Gebruikers kunnen het echter wel uitschakelen. Volgens de browserontwikkelaar zat er niet veel verschil tussen de gegevens die via Firefox Health Report en Telemetry werden verzameld. Het gebruik van Unified Telemetry zorgt ervoor dat er geen gescheiden voorkeuren meer zijn, zoals eerst het geval was. Ook zijn de gegevens die nu standaard worden verzameld niet erg veranderd, aldus Mozilla. Er wordt echter wel rekening gehouden met Firefox-gebruikers die toestonden om gegevens via Firefox Health Report te verzamelen maar niet via Telemetry. Bij deze gebruikers zal Mozilla via Unified Telemetry dezelfde gegevens blijven verzamelen die eerder via Firefox Health Report werden verzameld. Privacyverklaring Verder zal met de lancering van Firefox 56 op 26 september de privacyverklaring op een nieuwe manier worden getoond. Als gebruikers Firefox nu willen downloaden staat er ook een link naar de privacyverklaring van Mozilla vermeld. Minder dan 1 procent van de gebruikers blijkt deze link te openen. Gebruikers worden daarnaast na de installatie van Firefox geïnformeerd over de gegevens die Firefox verzamelt. Dit gebeurt via een informatiebalk. De meeste gebruikers negeren deze balk, maar een aantal opende die en kwam zo bij de geavanceerde instellingen van Firefox terecht. Daar maakten sommige gebruikers onbedoelde aanpassingen die invloed op de prestaties van de browser hadden, aldus Mozilla. Daarom zal de nieuwe versie van Firefox na de installatie een aparte tab met de privacyverklaring tonen. bron: security.nl

De Apache Software Foundation heeft een belangrijke update voor het Struts-framework uitgebracht die een kwetsbaarheid verhelpt waardoor aanvallers in bepaalde gevallen servers konden overnemen. De kwetsbaarheid bevond zich in de Struts REST-plug-in. Een aanvaller kon via een kwaadaardige XML-payload willekeurige code met de rechten van de aangevallen applicatie uitvoeren, zo meldt het Nationaal Cyber Security Center (NCSC). Alle versies van de software sinds 2008 zijn kwetsbaar. "Ernstiger dan dit wordt het niet", zegt Oege de Moor van Semmle, het bedrijf achter lgtm dat de kwetsbaarheid ontdekte. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. Alle servers die een applicatie draaien die met het Struts-framework is gemaakt en van de REST-plug-in gebruikmaken lopen risico. Eerder dit jaar werd een ander Struts-lek nog gebruikt om duizenden servers over te nemen en onderdeel van een botnet te maken. Vanwege de aanvallen op het Struts-lek besloot de Canadese Belastingdienst enkele dagen offline te gaan, aangezien het van de software gebruikmaakt. Beheerders krijgen dan ook het verzoek om de nu uitgekomen update te installeren, aangezien het de verwachting is dat er binnenkort exploits zullen verschijnen om de kwetsbaarheid mee aan te vallen. Update Een exploit is inmiddels op internet beschikbaar. bron: security.nl

Het Tor Project dat zich inzet voor vrijheid, privacy en anonimiteit op internet gaat meer inzetten op anoniem browsen via de smartphone. De organisatie is verantwoordelijk voor de ontwikkeling van het Tor-netwerk en Tor Browser, de desktopbrowser om met het Tor-netwerk verbinding te maken. Veel mensen in gebieden met online surveillance en censuur maken echter gebruik van hun smartphone om websites te bezoeken. Voor smartphones bestaat sinds 2014 de browser genaamd Orfox, die gebruikers ook via het Tor-netwerk laat browsen. De browser wordt ontwikkeld door het Guardian Project. Orfox biedt echter niet dezelfde features en veiligheidsgaranties van Tor Browser. Daarom is het Tor Project samen met het Guardian Project een jaar geleden begonnen om dit recht te trekken. Eén van de eerste features uit Tor Browser die aan Orfox is toegevoegd is de 'security slider', waarmee gebruikers eenvoudig hun beveiligingsniveau kunnen inschakelen. Het beveiligingsniveau bepaalt bijvoorbeeld of er scripts op een pagina mogen worden uitgevoerd. Volgens Tor-projectmanager Isabela Bagueros is dit pas het begin en is 'mobile' een belangrijk onderdeel binnen het ontwikkelproces van Tor aan het worden. In het geval van nieuwe features voor Tor Browser zal er ook worden gekeken om die voor Orfox te laten werken. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin meerdere beveiligingslekken zijn verholpen en allerlei nieuwe features aan zijn toegevoegd. Chrome 61 verhelpt 22 kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Voor zeven van de beveiligingslekken keerde Google een beloning uit aan onderzoekers die het probleem rapporteerden. Het gaat om een bedrag van in totaal 23.500 dollar. Tevens werd er een beveiligingsmaatregel toegevoegd die ervoor zorgt dat websites automatisch de fullscreenmodus verlaten als er een JavaScript-venster wordt geopend. Verder ondersteunt Chrome nu WebUSB. Daardoor kunnen webapplicaties, na toestemming van de gebruiker, met aangesloten usb-apparaten communiceren. Hardwarefabrikanten moeten de firmware van hun usb-apparaten updaten om WebUSB-toegang tot hun apparatuur mogelijk te maken. Later zal er echter een "Public Device Registry" worden aangemaakt zodat hardwarefabrikanten WebUSB op bestaande apparaten kunnen ondersteunen. Updaten naar Chrome 61.0.3163.79 zal op de meeste systemen automatisch gebeuren. bron: security.nl

VirusTotal is een populaire en veelgebruikte dienst voor het online scannen van verdachte bestanden, maar de Windowstool van de dienst om bestanden te uploaden bevat twee privacylekken, zo ontdekte onderzoeker Eitan Caspi. Via VirusTotal kunnen gebruikers verdachte bestanden, url's, domeinen en ip-adressen door zo'n 60 verschillende anti-virusprogramma's en blacklistingdiensten laten controleren. Naast de website is er ook de VirusTotal Windows Uploader. Dit is een desktopapplicatie waarmee gebruikers via één muisklik bestanden naar de online scandienst kunnen uploaden. Caspi ontdekte dat het uploaden via het onbeveiligde http plaatsvindt. De VirusTotal-website maakt daarentegen wel gebruik van https. Verder wordt er bij het uploaden niet alleen de naam en extensie van het bestand geupload, maar ook het volledige pad van het bestand, dat gevoelige informatie kan bevatten. Bijvoorbeeld c:\users\dan\Downloads\file-name.exe. "Ik besef dat de app vrij oud is", aldus Caspi. "Maar ik had niet verwacht dat zowel VirusTotal als moederbedrijf Google, die beiden om informatiebeveiliging geven, zo'n zwak privacyontwerp jaren laten zitten, zonder gebruikers hierover te informeren." De onderzoeker waarschuwde VirusTotal. De online scandienst laat weten dat de VirusTotal Windows Uploader al enige tijd niet is bijgewerkt en dit soort problemen aanwezig zijn. In afwachting van een mogelijke update wordt gebruikers gewezen op de mogelijkheid om via de beschikbare programmeerinterface zelfs een uploadtool te maken. bron: security.nl

Er is een nieuwe versie van Tor Browser uitgebracht die een probleem verhelpt met HTTPS Everywhere, de browserplug-in die ervoor zorgt dat websites altijd als eerste via https worden benaderd. Tor Browser wordt dagelijks door ongeveer 2 miljoen mensen gebruikt om hun anonimiteit en privacy te beschermen. Het bestaat uit een onderdeel om verbinding met het Tor-netwerk te maken en een aangepaste versie van Firefox, aangevuld met verschillende browserplug-ins om gebruikers extra te beschermen. Naast HTTPS Everywhere, dat ook voor andere browsers beschikbaar is, gaat het ook om NoScript, een Firefoxplug-in die scripts op webpagina's blokkeert en allerlei extra beveiligingsmaatregelen aan de browser toevoegt. Een bug in Tor Browser zorgde ervoor dat HTTPS Everywhere niet werkte als NoScript globaal stond ingeschakeld. In het geval van Tor Browser kunnen gebruikers hun beveiliging via een slider instellen. In het geval van het hoogste beveiligingsniveau wordt NoScript globaal ingeschakeld, wat ervoor zorgde dat HTTPS Everywhere niet meer werkte. Op de lagere beveiligingsniveaus deed het probleem zich niet voor. De bug is nu in Tor Browser 7.0.5 gepatcht. Updaten kan via de browser zelf of TorProject.org. bron: security.nl

Het Computer Emergency Response Team van de Indiase overheid (CERT-In) heeft een waarschuwing afgegeven voor e-mails die de Locky-ransomware proberen te verspreiden. Bij een recente spamcampagne zouden miljoenen e-mails zijn verstuurd die als bijlage een zip-bestand hadden. Dit zip-bestand bevat een downloader die uiteindelijk de Locky-ransomware installeert. De e-mails hebben onderwerpen als "please print", "documents", "photo", "Images", "scans" en "pictures". Eenmaal actief zal Locky allerlei bestanden versleutelen. Om weer toegang te krijgen moeten slachtoffers 0,5 bitcoin betalen, wat 1860 euro is. De eerste versie van ransomware die begin vorig jaar werd ontdekt vroeg ook 0,5 bitcoin. De koers van de cryptocurrency stond toen echter veel lager, waardoor slachtoffers 190 euro voor het ontsleutelen kwijt waren. Verschillende ransomware-exemplaren hebben vanwege de koersstijging van de bitcoin het gevraagde bitcoinbedrag aangepast, maar dat geldt niet voor Locky. Naast e-mails met kwaadaardige bijlagen worden er ook e-mails verstuurd die zogenaamd van Dropbox afkomstig lijken. De link in de e-mail wijst naar een pagina die Chrome- en Firefox-gebruikers een kwaadaardige font-update probeert te lateren installeren. In werkelijkheid gaat het om een JavaScript-bestand dat de Locky-ransomware downloadt, zo meldt het Internet Storm Center. Onderzoekers van Google en verschillende universiteit lieten onlangs weten dat slachtoffers van de Locky-ransomware 7 miljoen dollar aan losgeld hebben betaald. Locky was de eerste ransomware die de betaal- en versleutelingsinfrastructuur gescheiden hield van de groepen die de malware verspreidden. Zodoende kon de malware meer systemen infecteren dan de concurrentie, aldus de onderzoekers. bron: security.nl

Google heeft meerdere Flash-lekken in YouTube gedicht waardoor een aanvaller in bepaalde gevallen het Google-account van gebruikers kon identificeren en in het ergste geval YouTube-, Google Drive- en Google Docs-accounts kon overnemen, zo laat de Franse onderzoeker Enguerran Gillier weten. Gillier ontdekte eerder al kwetsbaarheden in Facebook, WordPress, Uber en Paypal. Hoewel Google de ondersteuning van de Flash-technologie aan het uitfaseren is, wordt er nog wel gebruik van gemaakt. De programmeerinterfaces voor Flash waar YouTube mee werkt bevatten verschillende kwetsbaarheden, aldus Gillier. In het geval een gebruiker op zijn Google-account was ingelogd en een kwaadaardige website zou bezoeken, kon die via een kwaadaardig Flash-bestand de Google-gebruikersnaam van de bezoeker achterhalen. Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om YouTube-accounts over te nemen. Voorwaarde was wel dat de gebruiker op zijn account was ingelogd en een kwaadaardige website zou bezoeken. Vervolgens kon de aanvaller privégegevens en privévideo's van het account bekijken, reacties in naam van het slachtoffer plaatsen of alle video's van de gebruiker verwijderen. Een derde Flash-kwetsbaarheid die Gillier in de YouTube Flash-programmeerinterface aantrof maakte het mogelijk om YouTube-, Google Drive en Google Docs-accounts over te nemen. Om de aanval te laten slagen moest het doelwit van de aanvaller wel op YouTube of Google Drive zijn ingelogd en over Flash Player beschikken. Vervolgens moest er een kwaadaardige website worden bezocht. De onderzoeker stelt een schadelijke aanval voor waarbij alle bestanden van het Google Drive-account van een gebruiker worden gestolen en verwijderd en er via het YouTube-account van het slachtoffer vervolgens allerlei reacties worden geplaatst die naar de kwaadaardige website wijzen om zo nieuwe slachtoffers te maken. Na te zijn ingelicht heeft Google de kwetsbaarheden verholpen en Gillier een beloning toegekend. bron: security.nl

Graag gedaan. Dan zet ik bij deze het topic op slot. Mocht je het toch terug open willen hebben, laat het ons dan even weten.

Er is een nieuwe versie van de pdf-lezer Foxit Reader uitgekomen die verschillende ernstige beveiligingslekken verhelpt die ontwikkelaar Foxit Software eerst niet wilde patchen. Foxit Reader is een alternatief voor Adobe Reader en Acrobat voor het openen van pdf-documenten en zou zo'n 475 miljoen gebruikers hebben. Securitybedrijf TippingPoint maakte onlangs twee kwetsbaarheden bekend waardoor deze gebruikers konden worden aangevallen. De beveiligingslekken waren wel aan Foxit Software gerapporteerd, maar de ontwikkelaar verklaarde dat de beveiligingslekken niet zouden worden gepatcht, aangezien die via de 'Safe Reading Mode' van Foxit Reader al worden verholpen. Deze modus moet gebruikers tegen kwaadaardige pdf-bestanden beschermen door alle interactie met het document te voorkomen. TippingPoint vond dat dit geen echte oplossing was en schreef een blogposting over de situatie. Het verhaal werd door de media opgepikt wat voor een reactie van Foxit Software zorgde. De softwareontwikkelaar sprak over een miscommunicatie en liet weten dat de beveiligingslekken wel zouden worden gepatcht. Er is nu inderdaad een nieuwe versie van Foxit Reader verschenen waarin de twee kwetsbaarheden zijn verholpen, alsmede andere beveiligingsproblemen. Gebruikers krijgen dan ook het advies om te updaten naar Foxit Reader 8.3.1.21155. bron: security.nl

Organisaties die van Microsoft BitLocker gebruikmaken om systemen te versleutelen én gebruikers een wachtwoordresetfunctie aanbieden doen er verstandig aan om de encryptiesoftware zo in te stellen dat er tijdens het opstarten verplicht een pincode moet worden opgegeven. Dat stelt securitybedrijf Pen Test Partners. BitLocker is de encryptiesoftware van Microsoft die standaard in bepaalde versies van Windows zit, zoals de Pro- en Enterprise-edities. In bepaalde gevallen is de encryptie echter te omzeilen, aldus onderzoeker Alan Monie van Pen Test Partners. Dit komt omdat veel organisaties werknemers de mogelijkheid bieden om hun Windows-wachtwoord via het inlogscherm te resetten, aldus de onderzoeker. Deze maatregel, ook wel self-service password reset genoemd, moet de automatiseringsafdeling ontlasten, maar kan ook een aanvaller helpen om toegang tot bestanden te krijgen. Het probleem is namelijk dat het resetmechanisme waar werknemers gebruik van kunnen maken in dezelfde context als het inlogproces laat draaien. Als een gebruiker op de wachtwoordresetlink op het inlogscherm klikt wordt het ip-adres van de wachtwoordresetwebserver gezocht en de wachtwoordresetpagina opgevraagd. In het geval van een gestolen laptop kan een aanvaller deze verzoeken onderscheppen en een pagina teruggeven waarmee er toegang tot alle bestanden op de laptop kan worden verkregen. Ook is het zo mogelijk om een nieuwe beheerder aan te maken. "Als de gestolen laptop onderdeel van een domein is, kan het mogelijk zijn om gecachte inloggegevens te achterhalen en zelfs verbinding met het bedrijfsnetwerk te maken", aldus Monie. De onderzoeker adviseert organisaties dan ook als ze van BitLocker gebruik maken om een pincode tijdens het opstarten in te stellen. In dit geval wordt het besturingssysteem pas gestart als de juiste code is ingevoerd. BitLocker ondersteunt verschillende authenticatiemethodes die voor extra bescherming moeten zorgen. bron: security.nl

HP heeft een waarschuwing afgegeven voor een ernstig beveiligingslek in een tool waarmee HP-servers op afstand worden beheerd. Via de kwetsbaarheid in Integrated Lights-out 4 (iLO 4) kan een aanvaller op afstand toegang tot servers krijgen en daarop willekeurige code uitvoeren. Vanwege de impact van de kwetsbaarheid adviseert HP om zo snel als mogelijk in actie te komen. Integrated Lights-out is een technologie om HP-servers op afstand mee te beheren. De iLO-kaart heeft een aparte netwerkverbinding en een eigen ip-adres, waarmee via https verbinding kan worden gemaakt. Vervolgens is het onder andere mogelijk om de server te resetten, in te schakelen en de remote system console of command-line interface te benaderen. HP stelt dat een aanvaller via de kwetsbaarheid de authenticatie kan omzeilen en willekeurige code kan uitvoeren. Op een schaal van 10 heeft het beveiligingslek een 9,8 en een 10 gekregen. Organisaties krijgen dan ook het advies om HPE Integrated Lights-out 4 (iLO 4) firmware versie 2.53 of nieuwer zo snel als mogelijk te installeren, aangezien het probleem daarin is verholpen. bron: security.nl

Securitybedrijf Fox-IT wil in bepaalde gevallen onbekende softwarelekken die het vindt en waar nog geen updates van de leverancier voor beschikbaar zijn delen met de inlichtingendiensten en politie. Dat liet directeur Ronald Prins gisteren tijdens een presentatie in het hoofdkantoor in Delft weten, zo meldt RTL Z. Werknemers van het securitybedrijf kunnen tijdens hun werk onbekende kwetsbaarheden tegenkomen, bijvoorbeeld als ze worden ingeschakeld voor het uitvoeren van een audit. Prins wil deze beveiligingslekken in bepaalde gevallen met de opsporingsdiensten delen en gedurende die tijd niet bij de leverancier melden. Bijvoorbeeld als er een terreuraanslag dreigt. De leverancier kan zodoende geen update ontwikkelen en uitbrengen, waardoor gebruikers kwetsbaar voor aanvallen zijn. De meeste softwarelekken worden echter wel bij de leverancier in kwestie gemeld, aldus Prins. Daarnaast stelt de directeur dat hij opsporingsdiensten ook zou willen helpen bij het inbreken op smartphones als daar aanleiding toe is. "Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten." Fox-IT kwam eind 2015 in Britse handen. Dat zorgde binnen de Nederlandse politiek voor zorgen over de beveiliging van staatsgeheimen, maar die zorgen zijn volgens Prins ongegrond: "De Britten komen hier niet zomaar binnen", zo merkt hij op. Update Fox-IT heeft op de eigen website het standpunt over zerodays gepubliceerd. Daarin laat het securitybedrijf weten dat onbekende kwetsbaarheden die tijdens eigen onderzoek of in het kader van een opdracht van een klant worden gevonden, alleen met de betreffende leverancier en de eventueel betrokken klant worden gedeeld. "In geen geval houdt Fox-IT informatie over onbekende kwetsbaarheden geheim, of deelt ze die met derden. Ook niet met opsporingsdiensten of inlichtingendiensten." Verder verklaart het securitybedrijf dat het nog nooit in opdracht van een opsporings- of inlichtingendienst naar onbekende kwetsbaarheden heeft gezocht. "Maar we sluiten dit in een toekomstige situatie niet uit. Indien er acuut en direct aanwijsbaar gevaar dreigt voor de samenleving en de inlichtingen- en opsporingsdiensten roepen de hulp in van Fox-IT dan zal de ethische commissie van Fox-IT hierover advies geven op basis van een risicoanalyse." bron: security.nl

Op verschillende populaire torrentsites en mediahostingsites zijn besmette advertenties verschenen die bezoekers met malware proberen te infecteren. De advertenties maken gebruik van een legitieme advertentiedienst en lijken naar websites van bestaande wandelclubs en wandelvakanties te wijzen. De aanvallers hebben daarbij de domeinnamen van de wandelclubs in kwestie geregistreerd, alleen dan eindigend met de .club-extensie. De advertenties sturen bezoekers in werkelijkheid ongemerkt door naar de Neptune-exploitkit. Deze exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer. In het geval van Flash Player gaat het om beveiligingslekken die al sinds 2015 zijn gepatcht. Voor de drie aangevallen IE-kwetsbaarheden verschenen in 2014, 2015 en 2016 updates. Mochten gebruikers sinds mei 2016 geen updates meer hebben geïnstalleerd, dan kan er via de advertenties een Monero-miner op het systeem worden geïnstalleerd. Deze malware gebruikt de computer vervolgens om de cryptocurrency Monero te delven. Securitybedrijf FireEye heeft verschillende domeinen genoemd waar de besmette advertenties gebruik van maken, maar laat niet weten op welke torrentsites en mediahostingsites de advertenties zijn verschenen. We hebben dan ook om opheldering gevraagd. Gebruikers van wie de software up-to-date is lopen geen risico. FireEye laat in een reactie aan Security.NL weten dat het de namen van de websites niet wil noemen. bron: security.nl