Captain Kirk

Mozilla gaat een beveiligingsmaatregel aan Firefox 57 toevoegen die gebruikers tegen data-url's moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden. Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url. Mozilla heeft een beveiligingsmaatregel binnen Firefox 57 doorgevoerd die ervoor zorgt dat data-url's als een unieke locatie worden gezien. Zodoende hebben data-url's die zich in een iframe bevinden niet meer dezelfde herkomst als het oorspronkelijke document waar ze zich in bevinden. Content die vanaf een andere locatie wordt benaderd zal door de browser worden geblokkeerd. Niet alleen beschermt dit gebruikers, het zorgt ervoor dat Firefox ook compliant met de html-standaard en het gedrag van andere browsers is. Firefox 57 komt volgende maand uit. bron: security.nl

Aanvallers hebben een onbekend aantal WordPress-websites gehackt via zeroday-lekken in drie verschillende plug-ins. Het gaat om de plug-ins Appointments, Flickr Gallery en RegistrationMagic-Custom Registration Forms. De drie plug-ins hebben bij elkaar 21.000 actieve installaties. Via de beveiligingslekken kunnen aanvallers op kwetsbare websites een php-backdoor installeren. De backdoor geeft aanvallers vervolgens volledige controle over de website, zo meldt securitybedrijf Wordfence. De ontwikkelaars van de drie plug-ins hebben na ontdekking van de aangevallen zeroday-lekken inmiddels updates uitgebracht en WordPress-beheerders die het betreft krijgen het advies die zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers van Google hebben meerdere kwetsbaarheden in de dns-software Dnsmasq ontdekt waardoor een aanvaller in het ergste geval op afstand willekeurige code kan uitvoeren of een denial of service veroorzaken. Dnsmasq is een lichtgewicht dns-forwarder en dhcp-server en kan op Linux, BSD, Android en macOS draaien en is aan de meeste Linux-distributies toegevoegd. Het wordt door allerlei systemen gebruikt, van Linux-desktops zoals Ubuntu tot thuisrouters, Internet of Things-apparaten en smartphones. In totaal ontdekten de Google-onderzoekers zeven beveiligingslekken die inmiddels door de beheerder van Dnsmasq zijn gepatcht. Daarnaast is de patch onder leveranciers verspreid, zodat die de update onder hun gebruikers kunnen uitrollen. Google laat weten dat Android-partners de update ook hebben ontvangen en dat die aan de Android-updates van oktober zal worden toegevoegd. bron: security.nl

Google zal volgende maand een nieuwe dienst lanceren die de Gmail-accounts van onder andere politici en topmanagers tegen gerichte aanvallen moet beschermen. Dat meldt persbureau Bloomberg op basis van bronnen. Het Advanced Protection Program, zoals de dienst gaat heten, moet voorkomen dat onbevoegden toegang Gmail-accounts en Google Drive krijgen. Op dit moment kunnen Gmail-gebruikers al een extra beveiligingsmaatregel voor hun account instellen, zoals het bevestigen van een inlogpoging via een telefoonprompt, het invoeren van sms-code, het invoeren van een code die via de Google Authenticator is gegenereerd of het gebruik van een fysieke usb-sleutel. Deze Security Key fungeert als een tweede beveiligingsfactor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het USB-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is. Om in te loggen op accounts die via het Advanced Protection Program zijn beschermd zal er naast een fysieke usb-sleutel ook een tweede fysieke sleutel nodig zijn. Om wat voor sleutel het precies gaat is nog niet duidelijk. De nieuwe dienst zorgt er ook voor dat third-party programma's geen toegang tot de e-mails of bestanden van de gebruiker krijgen. Bloomberg laat verder weten dat het programma continu van nieuwe features zal worden voorzien om de gegevens van gebruikers te beschermen. bron: security.nl

Het Centrum voor Cybersecurity (CCB) van de Belgische overheid heeft alle internetgebruikers opgeroepen om phishingmails door te sturen en vervolgens te verwijderen, zo laat persbureau Belga weten. De doorgestuurde e-mails zullen automatisch door het CCB worden onderzocht. In het geval de phishingmails verdachte links bevatten worden die met browserontwikkelaars gedeeld, zodat die hun gebruikers kunnen beschermen. Zijn er ook bijlagen met de phishingmail meegestuurd, dan worden die met anti-virusbedrijven gedeeld. Phishingmails kunnen naar het adres verdacht@safeonweb.be worden doorgestuurd. Een maand lang vindt er in België een campagne plaats die gebruikers voor phishing waarschuwt. In juni van dit jaar meldde Febelfin, de overkoepelende organisatie van Belgische banken, dat er een sterke stijging van het aantal slachtoffers van fraude met internetbankieren is. In de eerste drie maanden ging het om 852 slachtoffers, meer dan alle slachtoffers van 2015 en 2016 bij elkaar opgeteld. Volgens Febelfin werden alle slachtoffers via phishingaanvallen gemaakt. Het gaat dan om aanvallen waarbij ontvangers wordt gevraagd hun bankkaart op te sturen of hun pincode op een phishingsite in te voeren. Ook komt het voor dat oplichters mensen thuis bellen en zich als een bankmedewerker voordoen. bron: security.nl

Het Internet Bug Bounty (IBB), een initiatief dat zich inzet voor het veiliger maken van de kerninfrastructuur van het internet, heeft een geldbeloning uitgeloofd voor onderzoekers die ernstige kwetsbaarheden in ImageMagick, TCPdump en andere belangrijke dataverwerkingsbibliotheken rapporteren. Kwetsbaarheden in deze softwarebibliotheken kunnen vergaande gevolgen hebben voor de internetgemeenschap. Zo werd vorig jaar nog een kwetsbaarheid in ImageMagick gebruikt om websites mee aan te vallen. ImageMagick is een softwarebibliotheek voor het verwerken van afbeeldingen en wordt door een groot aantal websites en progamma's gebruikt. Naast ImageMagick en TCPdump vallen curl, libpcap, libpng en GraphicsMagick onder het nu aangekondigde beloningsprogramma. Onderzoekers die deelnemen moeten naast het vinden van de kwetsbaarheid ook een exploit ontwikkelen waarmee wordt aangetoond dat het eenvoudig is om de kwetsbaarheid op afstand aan te vallen. Er is geen maximum gesteld aan de geldbeloning die wordt uitgekeerd. Het Internet Bug Bounty wordt gesponsord door Facebook, GitHub, Ford Foundation, Microsoft en HackerOne. bron: security.nl

Netgear heeft in september 52 beveiligingsbulletins uitgebracht voor kwetsbaarheden in routers, modems, switches en NAS-apparaten. Eén van de belangrijkste updates is voor de WNR2000v5-router verschenen. De update verhelpt een lek waardoor een aanvaller op afstand code kon uitvoeren. Een ander ernstig probleem dat vorige maand werd gepatcht betrof command injection in ReadyNAS Surveillance-apparaten, R7800- en R9000-routers, verschillende draadloze access points, ReadyNAS OS 6-apparaten en een groot aantal routers en modemrouters. Hierdoor had een aanvaller kwaadaardige commando's op de apparaten kunnen uitvoeren. Een beveiligingslek in de R6700v2-, R6800- en D7000-routers maakte het voor een aanvaller mogelijk om het wachtwoord van de beheerder te achterhalen. In het geval van de R6400v2-, R7000P/R6900P-, R7900-, R8300-, R8500- en D8500-routers zorgde een kwetsbaarheid ervoor dat een aanvaller willekeurige bestanden op de router hadden kunnen uitlezen. Een ander ernstig probleem bij 17 routermodellen maakte het mogelijk om de authenticatie te omzeilen. De andere problemen zijn minder ernstig van aard en betreffen kwetsbaarheden zoals denial of service, misconfiguraties en cross-site scripting. Eigenaren van Netgear-apparaten kunnen via de security-pagina het overzicht van uitgekomen beveiligingsbulletins bekijken en op hun model zoeken. bron: security.nl

Een beveiligingslek in Internet Explorer 11 zorgt ervoor dat websites de inhoud van de adresbalk, zoals zoekopdrachten die de gebruiker invoert, kunnen achterhalen. Het probleem doet zich voor als er een script binnen een object-html-tag wordt uitgevoerd en de pagina de compatibility meta-tag bevat. Dit zorgt ervoor dat de inhoud van wat de gebruiker in de adresbalk invoert wordt teruggegeven. "In andere woorden, als we de location.href van het object achterhalen terwijl de gebruiker de hoofdpagina verlaat, weten we wat hij in de adresbalk heeft getypt, of, als hij op een link klikte, weten we het adres van de link waar de browser naar toe gaat", aldus onderzoeker Manuel Caballero die het probleem ontdekte. Caballero heeft Microsoft niet over de kwetsbaarheid ingelicht. Via deze pagina wordt het beveiligingslek gedemonstreerd.

Anti-virusbedrijf Bitdefender heeft vandaag een gratis tool gelanceerd die helpt bij het identificeren van ransomware op computers en de beschikbaarheid van een decryptietool. De Ransomware Recognition Tool analyseert zowel een versleuteld bestand als de ransomware-melding met de instructies voor het slachtoffer. Vervolgens kijkt de tool of er een decryptietool beschikbaar is om de versleutelde bestanden kosteloos te ontsleutelen. De inhoud van de ransomware-melding wordt naar Bitdefender gestuurd. Dat geldt niet voor de inhoud van het versleutelde bestand. De tool kijkt alleen naar de bestandsnaam en extensie. In het geval er geen decryptietool beschikbaar is laat het programma dit ook weten. Verschillende websites bieden een soortgelijke dienst. Zo is er het No More Ransom-project dat de Nederlandse politie, Europol en anti-virusbedrijven Kaspersky Lab en McAfee vorig jaar juli lanceerden en de website ID Ransomware waar slachtoffers kunnen kijken door welke ransomware ze zijn getroffen. bron: security.nl

Netwerkfabrikant D-Link heeft meerdere beveiligingslekken in de 850L-router gepatcht waardoor een aanvaller in het ergste geval kwetsbare apparaten kon overnemen. De kwetsbaarheden waren door onderzoeker Pierre Kim openbaar gemaakt, zonder dat D-Link hierover was geïnformeerd. De onderzoeker was niet tevreden met de reactie van D-Link op eerder onderzoek dat hij publiceerde, waarop hij tot 'full-disclosure' overging. Nog geen twee weken na het openbaar maken van de kwetsbaarheden in de 850L-router heeft D-Link de beveiligingslekken nu gepatcht. "Ik ben blij verrast met de resultaten van het openbaren van zero-days zonder gecoördineerde disclosure als het om D-Link-producten gaat", aldus Kim. Hij hoopt echter dat D-Link in de toekomst net zo snel op gecoördineerde bugmeldingen zal reageren. Daarnaast waarschuwt de onderzoeker dat hij over een ernstig beveiligingslek in de 850L-router beschikt dat hij nog niet openbaar heeft gemaakt.

Opera heeft op de eigen website een nieuwe downloadsectie met 'essentiele software' gelanceerd. Aanleiding voor het maken van de downloadsectie is dat mensen steeds meer moeite hebben om betrouwbare software voor hun computers te vinden, zegt Blazej Kazmierczak van Opera. Veel downloadsites bevatten misleidende downloadknoppen voor ongewenste programma's en tonen vervelende advertenties die adware of malware proberen te verspreiden, aldus Kazmierczak. Gebaseerd op de voorkeuren van Opera-medewerkers, de populariteit en kwaliteit van software, is er een verzameling met 'essentiele software' samengesteld. De 'Opera Apps Hub' bevat geen advertenties of andere downloads en de software wordt direct bij de softwareontwikkelaar in kwestie gedownload. "De Opera Apps Hub biedt je een selectie van essentiële applicaties voor je pc. Zodoende kun je eenvoudig kwaliteitssoftware direct bij de ontwikkelaar downloaden", zegt Kazmierczak. De applicaties zijn in verschillende categorieën onderverdeeld, zoals tools, security, office, add-ons, graphics, internet, communicatie, multimedia, drivers en file sharing. Opera heeft besloten om het aantal applicaties per categorie te beperken, zodat gebruikers direct aan de slag kunnen. bron: security.nl

Een nieuwe ransomware-variant vraagt geen bitcoin om slachtoffers toegang tot hun computer te geven, maar eist naaktfoto's. Onderzoekers van MalwareHunterTeam plaatsten op Twitter een screenshot van de ransomware die zichzelf 'nRansom' noemt. Volgens de tekst die de ransomware laat zien is de computer vergrendeld en kan die alleen via een speciale code worden ontgrendeld. Om deze code te verkrijgen moet er eerst een e-mailaccount bij ProtonMail worden aangemaakt. Vervolgens moeten naar een ander ProtonMail-adres tien naaktfoto's worden gestuurd. "Hierna moeten we verifiëren dat de naaktfoto's ook echt van jou zijn", laten de instructies verder weten. Tevens speelt de ransomware in de achtergrond een mp3-bestand. Hoe de ransomware wordt verspreid is onbekend. 32 van de 64 virusscanners op VirusTotal weten de malware inmiddels te detecteren. Het lijkt hier niet om ransomware te gaan die bestanden versleutelt, maar alleen de computer vergrendelt, ook wel een screenlocker genaamd. bron: security.nl

Google heeft een opensource-beveiligingstool ontwikkeld waarmee het 31 beveiligingslekken in Chrome, Edge, Firefox, Internet Explorer en Safari heeft gevonden. De tool, Domato genaamd, richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd. De DOM-engines in browsers zijn volgens Ivan Fratric van Google een voorname bron van beveiligingslekken. Veel van deze kwetsbaarheden zijn eenvoudig te vinden via een fuzzer, aldus Fratric. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Fratric ontwikkelde Domato om de DOM-engines van Chrome, Edge, Firefox, Internet Explorer en Safari te testen. Dit leverde in totaal 31 unieke kwetsbaarheden op, waarvan 17 in Safari. Via de kwetsbaarheden zou een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren, bijvoorbeeld als er een kwaadaardige of gehackte website zou worden bezocht. Volgens Fratric is het aantal kwetsbaarheden in Safari, in vergelijking met de andere browsers, zorgwekkend. Zeker gezien de interesse van aanvallers in het platform, zoals blijkt uit de beloningen voor zeroday-exploits en recente gerichte aanvallen op iOS. De kwetsbaarheden die via Domato zijn gevonden zijn inmiddels allemaal gepatcht. Daarnaast heeft Google de fuzzer via GitHub open source gemaakt, zodat browserontwikkelaars en onderzoekers ermee aan de slag kunnen gaan. bron: security.nl

Een zeroday-lek in .NET dat Microsoft vorige week patchte en eerst werd gebruikt om de FinFisher-spyware te verspreiden wordt nu voor de verspreiding van andere malware gebruikt. Daarvoor waarschuwt Brad Duncan, handler bij het Internet Storm Center. Het gaat om een beveiligingslek in .NET dat met de code CVE-2017-8759 wordt aangeduid. De kwetsbaarheid werd al voor het uitkomen van een update aangevallen. Precies een week na het uitkomen van de update is er een aanval waargenomen waarbij het beveiligingslek opnieuw wordt aangevallen. Het gaat om een .doc-bestand dat als e-mailbijlage wordt verstuurd en van de Argentijnse overheid afkomstig lijkt. In het geval het document op een kwetsbare Windowscomputer wordt geopend zal de Betabot-malware worden geïnstalleerd, waarmee een aanvaller volledige controle over de computer krijgt. Hoewel de update nu iets meer dan een week beschikbaar is zijn volgens Duncan veel organisaties traag met het uitrollen van updates. Organisaties moeten er dan ook rekening mee houden dat het hier om een actief aangevallen beveiligingslek gaat, aldus Duncan. Hij verwacht dat de exploit uiteindelijk op grote schaal via kwaadaardige spamberichten zal worden verspreid. bron: security.nl

De ontwikkelaar van Adblock Plus heeft een filter ontwikkeld om crypto-miners te blokkeren die de browser naar cryptocurrencies laten minen. De crypto-miner bestaat uit JavaScript-code die door de browser wordt uitgevoerd en de rekenkracht van de computer inzet voor het minen van bijvoorbeeld de digitale valuta Monero. The Pirate Bay kondigde onlangs aan dat het een experiment met crypto-miners is gestart om advertenties te vervangen. "Misschien vind je dat prima, maar waarschijnlijk niet", zegt Ben Williams van eyeo, de ontwikkelaar van Adblock Plus. Op het blog van de adblocker is nu een uitleg geplaatst hoe gebruikers crypto-miners via een filter kunnen blokkeren. Dit filter moet handmatig worden aangemaakt, aangezien het nog niet aanwezig is in één van de lijsten waar Adblock Plus-gebruikers zich op kunnen abonneren. Onlangs verscheen er ook al een Chrome-extensie om crypto-miners te blokkeren, terwijl Google een extensie van de Chrome Web Store verwijderde waarin een crypto-miner zat verborgen. Naast The Pirate Bay zijn er op andere websites kwaadaardige advertenties met crypto-miners gesignaleerd die alle beschikbare rekenkracht in beslag nemen. bron: security.nl

Honderden bedrijven zijn kwetsbaar voor een hack waarbij een aanvaller door het aanmaken van een support-ticket toegang tot allerlei gevoelige systemen kan krijgen. Dat ontdekte de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Via een paar muisklikken is het mogelijk om toegang tot intranetten, socialmedia-accounts en Yammer- en Slack-teams te krijgen, aldus de onderzoeker die zijn aanval "Ticket Trick" noemt. Populaire zakelijke communicatietools zoals Slack, Yammer en Facebook Workplace verplichten dat werknemers zich registreren via hun zakelijke e-mailadres. De werknemer ontvangt na de registratie op zijn zakelijke e-mailadres een e-mail met een verificatielink. Zodra de link wordt geopend kan hij toegang tot de communicatietool en interne communicatie krijgen. Er zijn echter verschillende methoden om deze authenticatie te omzeilen. Als voorbeeld noemt De Ceukelaire het Slack-team van GitLab, waar alleen medewerkers met een @gitlab.com e-mailadres zich voor kunnen registreren. Iets waar de onderzoeker geen beschikking over heeft. GitLab biedt gebruikers via de supportpagina echter de mogelijkheid om problemen te rapporteren en daarvoor een apart @gitlab.com e-mailadres aan te maken. Met dit e-mailadres kon de onderzoeker zich vervolgens voor het Slack-team van GitLab registreren. Een andere mogelijkheid zijn de support-portals die bedrijven gebruiken. Gebruikers kunnen hier support-tickets voor problemen aanmaken. Het e-mailadres dat de gebruiker opgeeft om zich voor de support-portal te registreren wordt in veel gevallen niet geverifieerd. Een gebruiker hoeft alleen een e-mailadres op te geven en een wachtwoord en het account wordt aangemaakt. Zodoende kan iemand zich aanmelden met elk willekeurig e-mailadres en elk support-ticket dat door het e-mailadres is aangemaakt lezen. De Ceukelaire gebruikte deze methode om toegang tot het Slack-team van videosite Vimeo te krijgen. Hiervoor maakte hij op de support-pagina van Vimeo een account aan met het hetzelfde e-mailadres dat Slack gebruikt om de verificatielink te sturen, namelijk feedback@slack.com. Vervolgens registreerde hij zich bij het Slack-team van Vimeo met het adres support@vimeo.com. Achter de schermen stuurt feedback@slack.com naar support@vimeo.com een e-mail met de verificatielink. Support@vimeo.com ontvangt de e-mail en beschouwt dit als een support-ticket dat door feedback@slack.com is aangemaakt, het e-mailadres waarmee De Ceukelaire zich bij de support-pagina heeft aangemeld. Door op de support-pagina in te loggen kan hij vervolgens het 'ticket' zien en zo toegang tot de verificatielink krijgen. Volgens de onderzoeker lopen bedrijven risico waar het mogelijk is om via e-mail support-tickets aan te maken en als support-tickets toegankelijk zijn voor gebruikers met niet geverifieerde e-mailadressen. Het probleem doet zich ook voor bij openbare 'issue-trackers' die een uniek @company.com e-mailadres bieden om informatie in een ticket, forumpost, privébericht of gebruikersaccount te zetten. De Ceukelaire stelt dat honderden bedrijven kwetsbaar zijn. Hij heeft besloten de details van de aanval te openbaren, aangezien het onmogelijk is om alle organisaties zelf te informeren. bron: security.nl

Acht populaire WordPress-plug-ins met honderdduizenden installaties zijn over een periode van 4,5 jaar gebruikt voor het injecteren van spam op allerlei websites. De plug-ins werden door de ontwikkelaars aan de spammer verkocht of ze gingen met hem een partnerschap aan. Zo kreeg de spammer toegang tot de plug-ins en kon hij zijn code toevoegen of leverde hij die aan. De code injecteerde spam op WordPress-websites die de plug-ins hadden geïnstalleerd. Zo werd er onder andere reclame voor escortbureaus en leningen gemaakt. Bij sommige plug-ins moesten webmasters eerst met vage overeenkomsten akkoord gaan dat hun website voor spam zou worden gebruikt. Bij andere plug-ins gebeurde dit zonder toestemming van de webmaster. Securitybedrijf Wordfence ontdekte dat de spammer al sinds 2013 op deze manier actief is. Eén van de getroffen plug-ins is Display Widgets, die onlangs al in het nieuws kwam. Daarnaast gaat het om 404 to 301, WP Slimstat, WP Maintenance Mode, Menu Image, NewStatPress, Weptile Image en No Comment. De laatste twee zijn inmiddels uit de database met WordPress-plug-ins verwijderd. De overige plug-ins bevatten inmiddels geen spamcode meer. Volgens Wordfence is het belangrijk dat eigenaren van een WordPress-site de gebruikersovereenkomst van de plug-in die ze willen installeren helemaal lezen, en dan met name het einde. In het geval van de spammer had die de vermelding voor het plaatsen van spam op websites helemaal aan het einde van de overeenkomst geplaatst. Daarnaast kunnen webmasters bijhouden of plug-ins die ze voor hun WordPress-website hebben geïnstalleerd uit de WordPress-repository zijn verwijderd. bron: security.nl

Er is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen. De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen. De tweede kwetsbaarheid is minder ernstig en kon een aanvaller toegang tot de introtekst van gearchiveerde artikelen geven. De beveiligingslekken zijn gepatcht in Joomla 3.8. Het cms wordt volgens cijfers van W3Techs door 3,3 procent van alle websites gebruikt. Vanwege de kwetsbaarheid krijgen beheerders het advies om de update zo snel als mogelijk te installeren. bron: security.nl

De backdoor die in de populaire tool CCleaner werd verborgen is toch gebruikt om systemen met aanvullende malware te infecteren, zo laat Cisco in een nieuwe analyse weten. Aanvallers wisten in juli Piriform te hacken, de ontwikkelaar van CCleaner, en konden zo de backdoor toevoegen. Een maand lang werd deze besmette versie via de officiele downloadservers aangeboden voordat de backdoor werd ontdekt. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. Na de ontdekking stelden Piriform en Avast, het anti-virusbedrijf dat CCleaner in juli overnam, dat de server van de aanvallers geen code naar de backdoor had gestuurd. Er zou dan ook geen aanvullende malware op systemen zijn geïnstalleerd en slachtoffers hoefden volgens beide bedrijven hun systeem niet opnieuw te installeren, zoals sommige securitybedrijven en experts adviseerden. Op de server waar de backdoor mee communiceerde zijn echter bestanden gevonden waaruit blijkt dat dit niet het geval is. De server heeft naar zeker twintig slachtoffers aanvullende malware gestuurd. Het gaat om een andere backdoor die toegang tot het systeem geeft. De aanvallers hadden het vooral voorzien op techbedrijven, zoals HTC, Samsung, Sony, VMWare, Intel, Microsoft, Linksys, MSI, Epson, D-Link, Akamai, Google en Cisco zelf, zo blijkt uit een lijst met domeinen waar de aanvallers naar zochten. Volgens Cisco suggereert dit dat de aanvallers het op intellectueel eigendom hadden voorzien. Welke bedrijven of organisaties door de aanvullende malware zijn getroffen laat Cisco niet weten. Wel wijst het bedrijf naar een opmerking van anti-virusbedrijf Kaspersky Lab dat de gebruikte backdoorcode overlap heeft met een groep aanvallers die Group 72, Aurora of Axiom wordt genoemd. De aanvallers hebben het vooral op organisaties in de VS, Japan, Taiwan en Zuid-Korea voorzien. Cisco herhaalt dan ook het advies dat alle getroffen gebruikers van CCleaner hun systeem opnieuw moeten installeren of naar een staat van voor 15 augustus moeten herstellen. bron: security.nl

Wachtwoorden, encryptiesleutels en andere gevoelige bedrijfsgegevens van mediagigant Viacom waren door een datalek voor iedereen op internet toegankelijk, zo laat securitybedrijf UpGuard weten. Onderzoeker Chris Vickery van UpGuard ontdekte op 30 augustus een Amazon Web Services S3-bucket die voor iedereen toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. In het geval van deze specifieke S3-bucket lijkt het om back-ups te gaan van Viacoms it-infrastructuur. Er werden 72 tgz-bestanden aangetroffen. In deze bestanden vond Vickery wachtwoorden en manifesten van Viacom-servers, alsmede gegevens om de it-infrastructuur van de multinational te beheren. Ook werd de toegangssleutel en geheime sleutel voor het zakelijke AWS-account van Viacom aangetroffen. Daarmee had een aanvaller servers, opslag en databases onder het AWS-account kunnen compromitteren. Sommige van de scripts die werden gevonden suggereren dat Viacom voor reguliere back-ups gebruikmaakt van GPG-encryptie. In de bestanden werden echter ook GPG-decryptiesleutels ontdekt. Tevens werden allerlei configuratiebestanden en scripts aangetroffen waar een aanvaller misbruik van had kunnen maken. Viacom werd op 31 augustus ingelicht en wist het probleem binnen aantal uur te verhelpen. Hoe het lek mogelijk was laat UpGuard niet weten, maar de afgelopen maanden werden bij meer organisaties onbeveiligde S3-buckets aangetroffen. In die gevallen waren de standaardinstellingen van de S3-bucket aangepast zodat de informatie voor iedereen op internet toegankelijk was. Alleen het kennen van de url was voldoende. bron: security.nl

Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben een nieuwe manier ontwikkeld om met besmette systemen te communiceren die niet op internet zijn aangesloten, namelijk het gebruik van beveiligingscamera's met infrarood. De onderzoekers ontwikkelden een malware-prototype genaamd aIR-Jumper (pdf) die via een infraroodcamera zowel data kan versturen als nieuwe opdrachten kan krijgen. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten, ook wel een air-gap genaamd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. AIR-Jumper introduceert een nieuw communicatiekanaal, namelijk beveiligingscamera's met infrarood. Een aanvaller moet eerst een computer binnen organisatie zien te infecteren. Vervolgens moeten beveiligingscamera's in de organisatie worden overgenomen. Hierna kan de malware wachtwoorden, encryptiesleutels en andere gevoelige data moduleren, encoderen en via de infraroodled's versturen. Een aanvaller die zicht op de beveiligingscamera's heeft kan deze signalen opvangen en decoderen. Een andere mogelijkheid is om de malware via de beveiligingscamera's te bedienen. De aanvaller stuurt in dit geval opdrachten via infraroodsignalen naar de camera's. De signalen in de videostream die de camera's hebben opgenomen worden door de malware op het netwerk onderschept en gedecodeerd. Het exfiltreren en infiltreren kan worden gecombineerd om een 'air-gapped' communicatiekanaal tussen het gehackte netwerk en de aanvaller op te zetten, zo laten de onderzoekers weten. bron: security.nl

Er is een belangrijke beveiligingsupdate voor WordPress-websites uitgekomen die beheerders en webmasters zo snel als mogelijk moeten installeren, aldus het advies van het WordPress-ontwikkelteam. WordPress 4.8.2 verhelpt meerdere kwetsbaarheden, waaronder cross-site scripting, path traversal en een open redirect. Daarnaast is er bescherming tegen SQL injection toegevoegd. Via SQL injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. Een bepaalde WordPress-functie zou SQL injection bij plug-ins en themes kunnen veroorzaken. WordPress "core" was zelf niet kwetsbaar, maar om mogelijke beveiligingsproblemen met plug-ins en themes te voorkomen is er nu extra beveiliging aan WordPress toegevoegd. Alleen deze maatregel is reden genoeg om meteen naar WordPress 4.8.2 te updaten, zo stelt securitybedrijf Wordfence. Beheerders van WordPress-websites kunnen de update handmatig of via de automatische updatefunctie installeren. bron: security.nl

Google Chrome is veiliger dan Microsoft Edge en Internet Explorer, zo stellen onderzoekers van het Duitse securitybedrijf X-41 in een door Google gesponsord onderzoek van bijna 200 pagina's (pdf). Voor het onderzoek werd er onder andere gekeken naar het aanvalsoppervlak van de browsers, ontwerpkeuzes, beveiligingsmaatregelen, ondersteunde protocollen en de sandbox-beveiliging. Het securitybedrijf zegt dat het de sponsoring van Google alleen heeft geaccepteerd op de voorwaarde dat Google zich niet mocht bemoeien met de testmethodologie of inhoud van het onderzoeksrapport. De onderzoekers stellen verder dat ze door transparantie over de testmethodologie en het beslissingsproces hebben geprobeerd om een onbewuste voorkeur voor de sponsor tegen te gaan. Volgens het onderzoeksrapport is Chrome het beste bestand tegen aanvallen door het strenger beveiligen van onderdelen, het scheiden van taken, veiligere standaardinstellingen en het gebruik van fuzzing en geautomatiseerde tests om kwetsbaarheden te vinden. Ook scoort Googles browser beter als het om websecurity gaat, zoals Content Security en Same Origin Policies. Edge is daarentegen veiliger dan Internet Explorer, dat over een zwakkere sandbox beschikt. Een ander voordeel voor Edge is dat het geen gevaarlijke legacy-technologieën ondersteunt zoals IE wel doet. Hoewel de onderzoekers Chrome als veiligste browser bestempelen, stellen ze dat de browser ook meer html5-features ondersteunt, die voor nieuwe aanvallen kunnen worden gebruikt. Het gaat dan bijvoorbeeld om WebUSB, WebBluetooth en Service Works, die het aanvalsoppervlak kunnen vergroten. Internet Explorer ondersteunt de minste nieuwe webtechnologieën, gevolgd door Edge. Verder stellen de onderzoekers dat de Safe Browsing-technologie van Google in Chrome nauwkeuriger is als het gaat om bescherming tegen phishing dan de SmartScreen-technologie van Microsoft die in Edge en IE wordt gebruikt. Ook als het om de "security-bruikbaarheid" gaat, zoals het weergeven van http en https en andere waarschuwingen in de adresbalk, komt Chrome als beste uit de bus. Een ander voordeel van de browser is dat Chrome-gebruikers updates sneller ontvangen, aangezien Google geen vaste patchcyclus zoals Microsoft hanteert. bron: security.nl

Cloudprovider DigitalOcean heeft zowel de eigen klanten als die van andere providers gewaarschuwd voor een beveiligingslek dat zich bij het installeren van virtual machines kan voordoen. Veel cloudproviders bieden klanten images met vooraf geïnstalleerde software, zodat het eenvoudiger wordt om nieuwe virtual machines te installeren. DigitalOcean noemt deze images 1-Clicks. De 1-Clicks van DigitalOcean bestaan uit MySQL en andere packages. De MySQL-installatie van de 1-Click-image bevat een MySQL-gebruiker genaamd 'debian-sys-maint'. Deze gebruiker is bedoeld voor lokaal beheer. Voor alle installaties die met de gemeenschappelijke 1-Click-images worden uitgevoerd heeft de gebruiker debian-sys-maint hetzelfde wachtwoord. Een aanvaller zou hier op afstand misbruik van kunnen maken, aldus een e-mail van DigitalOcean naar klanten. Het gaat om de volgende 1-Click-images: MySQL en PHPMyAdmin, LAMP, LEMP, WordPress en OwnCloud. DigitalOcean waarschuwt dat ook de images van andere cloudproviders deze 'misconfiguratie' hebben. De provider besloot klanten eerst via e-mail te waarschuwen voordat het een publieke waarschuwing afgeeft. Voor getroffen gebruikers is er op GitHub een script beschikbaar gemaakt om het probleem te verhelpen. bron: security.nl

Browser-extensies die advertenties blokkeren zijn algemeen bekend, maar een ontwikkelaar heeft nu ook een extensie ontwikkeld die code blokkeert die Google Chrome naar cryptocurrencies laat minen. Aanleiding is het nieuws dat The Pirate Bay een experiment is gestart om een JavaScript-miner in de browsers van bezoekers te laten draaien. Op deze manier wil de populaire torrentsite advertenties vervangen. De JavaScript-miner van de The Pirate Bay neemt 20 tot 30 procent van de rekenkracht van de computer in beslag om de digitale valuta Monero te minen. Er zijn echter ook kwaadaardige advertenties gesignaleerd die alle beschikbare rekenkracht in beslag nemen. The Pirate Bay liet weten dat gebruikers de JavaScript-miner via een adblocker kunnen blokkeren, maar een ontwikkelaar genaamd Ismail Belkacim heeft een Chrome-extensie ontwikkeld die zich specifiek op web-gebaseerde miners richt. De extensie heet MinerBlock en is via de Chrome Web Store te downloaden. De broncode is via GitHub te bekijken. bron: security.nl