Captain Kirk

Een hacker heeft een manier gevonden om de permissies van het programma TeamViewer aan te passen, waardoor het mogelijk is om de computer te besturen van degene die via TeamViewer op een computer inlogt. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt, maar ook telefonische oplichters maken er gebruik van. Het gaat dan om oplichters die zich bijvoorbeeld als Microsoftmedewerker voordoen en mensen thuis opbellen. Vervolgens proberen ze hun slachtoffers een progamma zoals TeamViewer te laten installeren, waarmee de computer van het slachtoffer op afstand kan worden overgenomen. TeamViewer moet zowel op de lokale client (server) als remote client zijn geïnstalleerd. Iemand die via TeamViewer op een remote client inlogt heeft volledige controle over dat systeem. De eigenaar van de remote client kan vervolgens zien hoe zijn computer via TeamViewer door de server wordt overgenomen. Een hacker met het alias "xpl0yt" heeft echter ontdekt dat het mogelijk is voor de client om de computer te besturen van de persoon die inlogt. De client kan namelijk een dll-bestand injecteren waarmee zijn permissies worden aangepast. Zodoende kan hij de muis en het keyboard van de server besturen. De hacker heeft de tool waarmee de permissies kunnen worden aangepast via GitHub openbaar gemaakt. Hij merkt daarbij op dat de tool alleen voor educatieve testdoeleinden is bedoeld. De tool is getest op Windows 10. Linux wordt niet ondersteund. Op Reddit stellen sommige gebruikers dat dit een probleem voor telefonische oplichters is, aangezien nu hun computer kan worden overgenomen. bron: security.nl

De honderden Andromeda-botnets die Europol, de FBI, internationale opsporingsdiensten en bedrijven vorige week uit de lucht haalden schakelden op besmette computers Windows Update uit, wat inhoudt dat een groot aantal computers geen beveiligingsupdates ontvangt, zo laat Microsoft weten. Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Eenmaal actief kan Andromeda allerlei andere malware installeren, zoals ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware. Ook probeert de malware Windows Update en de Firewall uit te schakelen. Deze functionaliteit kan niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd. En dat is een probleem gezien het aantal besmette machines. Bij de operatie tegen Andromeda wisten opsporingsdiensten de domeinen in beslag te nemen waarmee Andromeda besmette computers aanstuurt. Vervolgens werden deze domeinen zo ingesteld dat ze niet meer naar de malware-servers wezen, maar naar servers van Microsoft. In een periode van 48 uur maakten twee miljoen unieke ip-adressen verbinding met de ingestelde Microsoft-servers. Door het aanpassen van de malware-domeinen is de infectie nog niet van de getroffen systemen verwijderd en het is de vraag hoe lang dit gaat duren. Vorig jaar haalden opsporingsdiensten het Avalanche-botnet offline. Een jaar later blijkt nog 55 procent van de destijds besmette machines nog steeds geïnfecteerd te zijn. De meeste met Andromeda besmette Windows-computers bevinden zich in India, Indonesië en Turkije. Zolang de infectie aanwezig is ontvangen deze machines geen updates en lopen zo risico door andere malware besmet te raken. Anti-virusbedrijf ESET was ook bij de operatie tegen de malware betrokken en heeft een analyse online gezet. bron: security.nl

Europol en de FBI hebben in samenwerking met verschillende bedrijven en organisaties vorige week het Andromeda-botnet uit de lucht gehaald, zo laat de Europese opsporingsdienst vandaag weten. De malware, die ook bekend staat als Gamarue, is al jaren actief en besmette een groot aantal computers. Via de malware hadden criminelen volledige controle over de computers van hun slachtoffers en konden die voor allerlei zaken gebruiken. Een jaar geleden haalden Europol, Eurojust, FBI en de Duitse politie het Avalanche-botnet offline. Dit botnet werd gebruikt voor de verspreiding van allerlei malware, waaronder Andromeda. Informatie die de Duitse autoriteiten via het onderzoek naar het Avalanche-botnet verkregen werd met internationale partners gedeeld, wat uiteindelijk tot het oprollen van het Andromeda-botnet leidde. Om het botnet uit te schakelen werden meer dan 1500 domeinen in beslag genomen die de Andromeda-malware gebruikte om met besmette machines te communiceren. Vervolgens lieten de autoriteiten deze domeinen naar machines van Microsoft wijzen. Op deze manier maakten de besmette computers verbinding met servers van Microsoft. Volgens de softwaregigant werden gedurende een periode van 48 uur zo'n 2 miljoen unieke ip-adressen uit 223 landen waargenomen van computers die met de Andromeda-malware zijn besmet. Tevens is er een arrestatiebevel uitgevaardigd tegen een verdachte uit Wit-Rusland. Gelijktijdig hebben de Duitse autoriteiten besloten om het sinkholen van het Avalanche-botnet met een jaar te verlengen. Volgens Europol was deze maatregel nodig, aangezien wereldwijd nog 55 procent van de machines die een jaar geleden met Avalanche was besmet, nog steeds geïnfecteerd is. bron: security.nl

Het op privacy en veiligheid gerichte besturingssysteem Tails komt begin volgend jaar met een serverfunctie die het eenvoudig voor gebruikers moet maken om websites, chatrooms, bestandsuitwisseling en andere online diensten op het Tor-netwerk te draaien. Volgens de Tails-ontwikkelaars zijn dergelijke diensten handig voor mensen die op afstand met elkaar samenwerken. Het hosten van een website of chatroom bij een provider houdt echter in dat gebruikers die provider moeten vertrouwen. Het zelf hosten van een online dienst via het Tor-netwerk heeft verschillende voordelen, aldus de ontwikkelaars. Het biedt automatisch sterke encryptie tussen de server en client. Ook biedt het anonimiteit voor de server en client. Verder werken de diensten achter NAT-netwerken en firewalls en is het gedecentraliseerd. Het Tor-netwerk zorgt ervoor dat de locatie van de server is afgeschermd. Het adres is in principe alleen bekend onder de serverbeheerder en de personen met wie de url wordt gedeeld. Voor het opzetten van de Tails-server zal er een grafische gebruikersinterface en command line interface beschikbaar worden. Wanneer de serverfunctie precies zal verschijnen is nog onbekend. In de vandaag aangekondigde plannen voor volgend jaar wordt "begin 2018" als planning genoemd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen en privacy-experts aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

Om crashes te voorkomen gaat Google het injecteren van code in Chrome door third-party software blokkeren, zo heeft de internetgigant aangekondigd. De maatregel gaat gelden voor de Windows-versie van Chrome. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Door de beschikbaarheid van Chrome-extensies en Native Messaging zijn er volgens Google alternatieven voor het injecteren van code binnen Chrome-processen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren. Deze aanpassing zal in drie fases plaatsvinden. Vanaf april 2018 met Chrome 66 zullen gebruikers na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. In juli 2018 met Chrome 68 wordt het injecteren van code geblokkeerd. In het geval Chrome hierdoor niet kan starten, zal Chrome zichzelf herstarten en het injecteren van de code toelaten, maar gebruikers een waarschuwing laten zien waarin het verwijderen van de verantwoordelijke software wordt uitgelegd. Met de lancering van Chrome 72 in januari 2019 zal het injecteren van code geheel worden geblokkeerd. Volgens Google gaat het blokkeren voor de meeste software die code in Chrome injecteert gelden, hoewel er enkele uitzonderingen zijn. Door Microsoft gesigneerde code, toegankelijkheidssoftware en IME-software zullen wel worden toegestaan. In de aankondiging noemt Google anti-virussoftware als voorbeeld van software die code in Chrome injecteert. Of gebruikers straks ook het advies krijgen om hun virusscanner te verwijderen in het geval die code blijft injecteren, laat Google niet weten. bron: security.nl

De Europese Commissie is voor het eerst een zogeheten bug bounty-programma gestart waarbij het hackers en onderzoekers gaat belonen voor het rapporteren van kwetsbaarheden in VLC media player. Het gaat om beloningen met een bedrag van maximaal 3000 euro. Het beloningsprogramma zal doorlopen tot de eerste weken van januari 2018 of totdat het budget op is, zo laat het Open Source Observatory (OSOR) van de Europese Commissie weten. Het beloningsprogramma heeft de Europese Commissie uitbesteed aan HackerOne. Dit is een platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te starten en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. In de eerste fase van het beloningsprogramma zullen hackers worden uitgenodigd die eerder op HackerOne actief zijn geweest. Na drie weken kan iedereen bugmeldingen inzenden. Vorig jaar stemde het Europees Parlement om 2 miljoen euro vrij te maken voor een opvolger van het EU-Fossa-project, waarbij opensourcesoftware werd geaudit. Door het geld kan de Europese Commissie nu een nieuwe pilot starten waarbij beloningen voor kwetsbaarheden worden uitgekeerd, met een nadruk op opensourcesoftwareprojecten en -bibliotheken waar Europese instellingen gebruik van maken. VLC is een populaire opensourcemediaspeler die op alle workstations van de Europese Commissie is geïnstalleerd. bron: security.nl

Onderzoekers hebben een cryptominer ontdekt die de rekenkracht van de computer blijft gebruiken, ook als het browservenster wordt gesloten. Wanneer de gebruiker denkt de browser te sluiten blijft die door een pop-under onder de taakbalk actief. Zodoende kan het script dat de cryptominer aanroept gewoon blijven werken, zo laat anti-malwarebedrijf Malwarebytes weten. De cryptominer in kwestie is een aangepaste versie van de Coinhive-cryptominer. Het gaat om een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. Naast legitieme websites die cryptominers als alternatief voor advertenties gebruiken, wordt er ook door criminelen misbruik van gemaakt. Ze plaatsen de cryptominer op gehackte websites. Bezoekers van deze websites genereren zo nietsvermoedend, en zonder dat de eigenaar van de website dit doorheeft, inkomsten voor de criminelen. Adblockers kunnen cryptominers blokkeren. De nu ontdekte cryptominer maakt echter gebruik van een specifieke pop-under die volgens Malwarebytes is ontwikkeld om adblockers te omzeilen, aangezien die veel lastiger te identificeren is. Deze pop-under wordt door het Ad Maven-advertentienetwerk geladen, die weer code van andere locaties laadt. "Het sluiten van de browser via de "X" is niet langer voldoende. De meer technische gebruiker zal via Taakbeheer willen controleren of er geen overgebleven browserprocessen draaien en ze vervolgens beëindigen. Daarnaast zal de taakbalk nog steeds het browsericoon met een lichte highlight tonen, wat aangeeft dat die nog steeds draait", aldus onderzoeker Jerome Segura. bron: security.nl

Facebook is bezig met het testen van een nieuw soort van captchasysteem waarbij gebruikers door het uploaden van een foto van hun gezicht moeten bewijzen dat ze geen robot zijn. Op Twitter verscheen een screenshot van een Facebookpagina die gebruikers vraagt om een foto van hun gezicht te uploaden. "We controleren de foto en verwijderen die dan permanent van onze servers", aldus de tekst op de pagina. Tegenover Wired laat Facebook weten dat de maatregel is bedoeld om "verdachte activiteit" op de website te detecteren, waaronder het aanmaken van een account, het versturen van een vriendverzoek en het aanmaken of aanpassen van advertenties. De controle vindt volgens de socialmediasite geautomatiseerd plaats en kijkt of de geuploade foto uniek is. Daarna wordt de foto verwijderd. Of en wanneer Facebook de maatregel onder alle gebruikers gaat uitrollen is nog niet bekend. bron: security.nl

Microsoft heeft nieuwe beveiligingsupdates uitgebracht voor een 17-jaar oude kwetsbaarheid in Office 2007 en 2010. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen als er een kwaadaardig document met een kwetsbare Office-versie wordt geopend. Het beveiligingslek was aanwezig in alle Office-versies die de afgelopen 17 jaar verschenen en werd op dinsdag 14 november door Microsoft gepatcht. Opmerkelijk was dat Microsoft ook een beveiligingsupdate voor Office 2007 publiceerde, terwijl deze versie eigenlijk niet meer wordt ondersteund. Vorige week werd bekend dat de kwetsbaarheid inmiddels actief wordt aangevallen. Zowel de update voor Office 2007 als Office 2010 blijken het probleem niet helemaal te hebben verholpen. Microsoft laat namelijk weten dat het nieuwe beveiligingsupdates heeft uitgebracht om de kwetsbaarheid in deze Office-versies "volledig" op te lossen. Gebruikers van Office 2007 wordt aangeraden om update 4011604 te installeren. Voor Office 2010 is update 4011618 verschenen. bron: security.nl

Bijzonder probleem welk je meestal alleen maar ziet wanneer je huismerk cartridegs gebruikt. Heb je al de contactpunten in de printer van de cartridge even schoongewreven?

Computerfabrikant HP ligt onder vuur van gebruikers omdat het zonder toestemming en waarschuwing telemetriesoftware op systemen installeert. Het gaat om de HP Touchpoint Analytics Service die telemetriegegevens verzamelt. Om wat voor gegevens het precies gaat is nog onduidelijk, wat ook geldt voor de manier hoe de software wordt geïnstalleerd. Op de eigen website laat HP weten dat de Touchpoint Manager technology nu als een cloudgebaseerde dienst wordt aangeboden en de ondersteuning van de software als losstaand product zal worden gestopt. Gebruikers klagen over de hoge systeembelasting van de service en dat die zonder enige waarschuwing of toestemming is geïnstalleerd. Het verwijderen van de software zou het probleem met de systeembelasting verhelpen, zo laten gebruikers weten. De website Ghacks legt uit hoe dit precies kan worden gedaan. bron: security.nl

Mozilla gaat in Firefox 58 data-url's deels blokkeren, wat gebruikers tegen phishingaanvallen moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden. Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url. "Eindgebruikers vertrouwen op de adresbalk van een browser om de te zien op welke pagina ze zich bevinden. De meeste eindgebruikers zijn niet bekend met het concept van de data-url, die een string met een legitiem adres kan bevatten, waardoor de eindgebruiker denkt dat die op een bepaalde pagina zit. In werkelijkheid kan een malafide data-url echter vermomde content weergeven waardoor eindgebruikers hun inloggegevens verstrekken", zegt Mozilla's Christoph Kerschbaumer. Om gebruikers tegen dergelijke phishingaanvallen te beschermen zal Firefox 58 voorkomen dat webpagina's in de adresbalk een data-url kunnen laten zien. Het navigeren naar een data-url zal mogelijk blijven als deze actie daadwerkelijk van de eindgebruiker afkomstig is. Het gaat dan bijvoorbeeld om het kopiëren en plakken van een data-url in de adresbalk of het downloaden van een data-url. bron: security.nl

Een groot aantal mailservers op internet is kwetsbaar voor aanvallen via een ongepatcht beveiligingslek in Exim, een message/mail transfer agent (MTA). De software draait volgens statistieken op 56 procent van de mailservers en wordt gebruikt voor het afleveren van e-mails. Een ernstig beveiligingslek in de software maakt het mogelijk voor aanvallers om willekeurige code op de server uit te voeren met de rechten van de gebruiker waaronder Exim draait. Ook kan er een denial of service worden veroorzaakt. Een beveiligingsupdate is nog niet beschikbaar. Wel zijn er workarounds en een broncodepatch verschenen. Het Nationaal Cyber Security Center (NCSC) van de overheid stelt dat er een grote kans is dat aanvallers misbruik van de kwetsbaarheid zullen maken en de schade die dit kan veroorzaken groot is. bron: security.nl

WordPress-sites zijn het doelwit van aanvallers die kwetsbaarheden in twee populaire plug-ins combineren om websites over te nemen. Het gaat om de plug-ins Shortcodes Ultimate en Formidable Forms, die respectievelijk op 700.000 en 200.000 websites zijn geïnstalleerd. De twee kwetsbaarheden, die inmiddels ook zijn gepatcht door de ontwikkelaars, zijn beoordeeld als een "medium" risico. Gecombineerd laten ze een aanvaller echter kwaadaardige code op de onderliggende server uitvoeren, waardoor de WordPress-site kan worden overgenomen. Volgens securitybedrijf Sucuri zijn aanvallers sinds het bekend worden van de kwetsbaarheden actief op zoek naar WordPress-sites die de kwetsbare plug-ins draaien. Het bedrijf heeft naar eigen zeggen duizenden scans waargenomen. Beheerders krijgen het advies om te updaten naar Formidable Forms versie 2.05.02 of 2.05.03 en Shortcodes Ultimate versie 5.0.1. bron: security.nl

Een ernstig beveiligingslek in Microsoft Office dat vorige week dinsdag werd gepatcht wordt inmiddels actief gebruikt om Windows-computers met malware te infecteren. Alleen het openen van een kwaadaardig rtf-document met een kwetsbare versie van Office is voldoende om aanvallers controle over het systeem te geven, zo waarschuwen securitybedrijven Carbon Black en Reversing Labs. De kwetsbaarheid in kwestie bleek aanwezig te zijn in alle Office-versies die de afgelopen 17 jaar verschenen. Het securitybedrijf dat het beveiligingslek ontdekte en aan Microsoft rapporteerde stelde dat de beveiligingsmaatregel Protected View, die sinds Office 2010 in de kantoorsoftware aanwezig is, tegen misbruik kan beschermen. Protected View blokkeert namelijk het uitvoeren van actieve content in documenten die van het web afkomstig zijn. In dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt voordat de kwaadaardige code in het document wordt uitgevoerd. Zowel Carbon Black als Reversing Labs maken hier echter geen melding van. Verder laat Carbon Black weten dat twee beveiligingsmaatregelen genaamd Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) misbruik van de kwetsbaarheid zouden moeten voorkomen, maar het kwetsbare Office-onderdeel blijkt hier geen gebruik van te maken. Microsoft biedt gebruikers wel de Enhanced Mitigation Experience Toolkit (EMET) en Windows Defender Exploit Guard in Windows 10 om onder andere tegen Office-exploits te beschermen. Ook de beveiligingsmaatregelen van deze twee tools gelden niet voor het kwetsbare Office-onderdeel, tenzij ze voor het gehele systeem zijn ingesteld. De nu waargenomen aanvallen zijn afkomstig van een groep genaamd Cobalt, die het volgens Trend Micro op Russische banken en financiële instellingen heeft voorzien. De documenten die de aanvallers naar hun slachtoffers sturen hebben een Russische naam, alsmede "account details.rtf" en "news.swift.rtf". De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Wanneer de aanval succesvol is wordt er een backdoor op het systeem geïnstalleerd waarmee de aanvallers volledige controle krijgen. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. bron: security.nl

Na een malafide Google-advertentie waarmee Knab-klanten werden opgelicht hebben criminelen een zelfde soort advertentie gebruikt om Amazon-klanten te duperen. Wie bij Google op de zoekterm "amazon" zocht kreeg bovenaan de zoekresultaten een advertentie voor amazon.com te zien. De advertentie linkte naar een Facebook-app, die gebruikers weer doorstuurde naar een zogenaamde Microsoft-website. De website liet gebruikers geloven dat hun computer met malware was besmet en het opgegeven telefoonnummer direct moest worden gebeld. CBS News belde het nummer en kwam in contact met een oplichter die remote toegang tot de computer wilde hebben om de "problemen" te verhelpen. Het gaat hierbij om de klassieke Microsoft-scam waarbij oplichters laten weten dat er problemen met de computer zijn en zij die kunnen oplossen. Eén van de oplichters die CBS News sprak vertelde dat de malware voor 150 dollar kon worden verwijderd. Na te zijn ingelicht heeft Google de advertenties verwijderd en het account van de adverteerder geblokkeerd. bron: security.nl

Een nieuwe variant van de beruchte Mirai-worm verspreidt zich op dit moment via poort 23 en 2323 (telnet), zo waarschuwt securitybedrijf Qihoo 360. Het bedrijf ziet een sterke stijging van het aantal scans op deze poorten, die onder andere van bijna 100.000 unieke ip-adressen in Argentinië afkomstig zijn. Mirai en afgeleide varianten wisten de afgelopen dertien maanden honderdduizenden Internet of Things-apparaten te infecteren, zoals digitale videorecorders en ip-camera's. Om via telnet toegang tot de apparaten te krijgen maakt Mirai gebruik van standaard gebruikersnamen en wachtwoorden. De nu ontdekte variant blijkt van twee nieuwe inloggegevens gebruik te maken. Eén van deze inloggegevens verscheen eind oktober voor het eerst in een exploit voor een ZyXEL-modem en is nu aan de nieuwe Mirai-variant toegevoegd. Volgens Qihoo 360 worden de aangevallen netwerkapparaten door internetprovider Telefonica in Argentinië gebruikt, wat het hoge aantal infecties in het land zou verklaren. bron: security.nl

Aangezien je probleem is opgelost, sluit ik het topic. Mocht je toch nog een vraag hebben en het terug open willen hebben, laat het even weten.

Aangezien je probleem is opgelost, sluit ik het topic. Wil je het toch weer open hebben omdat het probleem terug is, laat het even weten.

Een week later dan gepland is de NoScript-extensie voor Firefox Quantum online verschenen. NoScript is met ruim 1,7 miljoen gebruikers één van de populairste Firefox-extensies. Het schakelt allerlei scripts op websites uit en blokkeert zo onder andere trackers en advertenties, alsmede andere onderdelen. Ook voorziet het de browser van aanvullende bescherming tegen onder andere cross-site scripting. Het wordt dan ook door menig beveiligingsexpert aangeraden. Met de lancering van Firefox Quantum (Firefox 57) afgelopen dinsdag worden traditionele extensies niet meer ondersteund. Alleen extensies die nog van het nieuwe WebExtension-model gebruikmaken werken in de browser. Extensie-ontwikkelaars moesten hun extensies dan ook aanpassen. Oorspronkelijk zou Giorgio Maone, de ontwikkelaar van NoScript, op de lanceringsdag van Firefox Quantum met een nieuwe NoScript-versie komen. Het verliep echter anders dan gepland. Daardoor zaten Firefox-gebruikers die naar Quantum waren geüpgraded zonder hun NoScript-extensie. Tal van NoScript-gebruikers lieten op het blog van Maone weten dat ze zich zonder de extensie "naakt" en onbeschermd voelen. Nu een week later dan gepland is NoScript 10.1.1 een feit. Deze versie is zeer verschillend van de oude NoScript. Zo is de gebruikersinterface compleet veranderd. Daarnaast biedt NoScript 10 de mogelijkheid om het blokkeren van 'active content' per website in te stellen en wordt on-the-fly cross-site requests whitelisting ondersteund. Het nieuwe WebExtension-model biedt nog echter niet alle opties waar traditionele Firefox-extensies gebruik van maken. Sommige opties die in de oude NoScript-versie aanwezig zijn ontbreken dan ook in NoScript 10. Maone stelt dat de instellingen van NoScript-gebruikers bewaard blijven en zullen worden gebruikt zodra de betreffende feature in NoScript 10 beschikbaar wordt. NoScript 10 is te downloaden via de addons.mozilla.org. bron: security.nl

Intel heeft meerdere kwetsbaarheden in de Management Engine, Server Platform Service en Trusted Execution Engine gedicht die op miljoenen Intel-processoren aanwezig zijn. Aan de hand van problemen die door externe onderzoekers waren gevonden heeft Intel naar eigen zeggen een uitgebreide controle van de eigen firmware uitgevoerd, wat in totaal acht kwetsbaarheden opleverde. Op een schaal van 1 tot en met 10 wat betreft de ernst van de beveiligingslekken liggen die tussen de 6,7 en 8,2. De kwetsbaarheden met een 8,2 kunnen een aanvaller met lokale toegang tot een systeem willekeurige code laten uitvoeren. Een beveiligingslek dat met een 7,2 werd beoordeeld maakt het mogelijk voor een aanvaller met remote beheerderstoegang om willekeurige code met de rechten van de Active Management Technology (AMT) uit te voeren. Ook is het mogelijk voor ongeautoriseerde processen om toegang tot content met hogere rechten te krijgen en kan een aanvaller code met hogere rechten uitvoeren. Intel heeft een tool uitgebracht waarmee kan worden gecontroleerd of systemen met een Intel-processor kwetsbaar zijn. Eigenaren van een Lenovo-systeem kunnen specifieke updates voor hun systeem downloaden. De Management Engine, onderdeel van Intel Active Management Technology, is een afzonderlijke processor die in elke Intel-processor vanaf 2008 tot en met het nieuwste model aanwezig is. Het heeft toegang tot het netwerk, het besturingssysteem, het geheugen en de cryptografische engine. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld. De code van de Management Engine is echter gesloten, waardoor het publiek de werking niet kan controleren. De Amerikaanse burgerrechtenbeweging noemde de Management Engine dan ook een beveiligingsrisico. Intel bedankte onderzoekers Mark Ermolov en Maxim Goryachy van securitybedrijf Positive Technologies voor hun onderzoek naar de firmware. De onderzoekers zullen volgende maand tijdens Black Hat Europe laten zien hoe het mogelijk is om niet gesigneerde, ongeverifieerde code op nieuwere Intel-chipsets uit te voeren, waarbij de Management Engine als startpunt wordt gebruikt. Ermolov en Goryachy zullen ook laten zien wat ze via de Management Engine kunnen doen bij computers die zijn uitgeschakeld, maar nog wel over stroom beschikken, zo meldt Wired. Gebruikers en beheerders van Intel-systemen krijgen het advies om te kijken of er voor hun systemen updates beschikbaar zijn. bron: security.nl

Honderden populaire websites sturen toetsaanslagen, muisbewegingen, scrollgedrag en de inhoud van bezochte pagina's naar derde partijen door, zonder dat gebruikers dit weten, zo hebben onderzoekers van Princeton University ontdekt. De websites maken gebruik van zogeheten "session replay" scripts. Deze scripts slaan het gedrag van de gebruiker op, zodat dit later kan worden bekeken. "Alsof iemand over je schouder meekijkt", aldus de onderzoekers. Het beoogde doel van dergelijke scripts is om inzicht te krijgen in hoe gebruikers de website gebruiken en verwarrende of niet meer bestaande pagina's te ontdekken. De hoeveelheid data die deze diensten verzamelen gaat volgens de onderzoekers veel verder dan gebruikers verwachten. Het gaat dan bijvoorbeeld om de tekst in een formulier voordat die wordt verstuurd, alsmede precieze muisbewegingen. De onderzoekers merken op dat deze gegevens niet anoniem blijven. Sommige bedrijven laten uitgevers deze opnamen aan de echte identiteit van de gebruiker koppelen. Voor hun onderzoek keken de onderzoekers naar de zeven meest gebruikte replay-scripts, namelijk Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam. De scripts werden op 482 van de Alexa top 50.000 websites aangetroffen. Datalek De onderzoekers waarschuwen dat het verzamelen van gebruikersdata door replay-scripts ervoor kan zorgen dat gevoelige informatie lekt, zoals medische klachten, creditcardgegevens en andere persoonlijke informatie. De aanbieders van replay-scripts bieden wel tools om gevoelige informatie te filteren en verwijderen, maar de uitgever van de website moet hiervoor elke pagina doorlopen en controleren. Iets wat niet altijd wordt gedaan. Zo bleek tenminste één van de websites het wachtwoord in een registratieformulier naar een derde partij door te sturen, ook al werd het registratieformulier zelf nooit verstuurd. Blokkeren Ook gebruikers van adblockers lopen risico dat hun data wordt doorgestuurd. De twee populairste adblockerfilters, EasyList en EasyPrivacy, blijken de replay-scripts van FullStory, Smartlook en UserReplay niet te blokkeren. EasyPrivacy heeft wel filterregels die Yandex, Hotjar, ClickTale en SessionCam blokkeren. UserReplay biedt uitgevers de mogelijkheid om geen data te verzamelen van gebruikers die Do Not Track in hun browser hebben ingesteld. Geen van de Alexa top 1 miljoen uitgevers blijkt Do Not Track te respecteren. "Het verbeteren van de gebruikerservaring is een belangrijke taak van uitgevers. Het zou echter niet ten koste van de privacy mogen gaan", aldus de onderzoekers. bron: security.nl

Telefoonscammers passen een nieuwe techniek toe waarbij scamwebsites de telefoon- of communicatie-app van de gebruiker starten, die zo één klik verwijderd is om de oplichters ook te bellen, zo waarschuwt Microsoft. De websites spelen een geluidsbestand af dat laat weten dat het systeem geïnfecteerd is. Door het opgegeven nummer te bellen zou het "probleem" kunnen worden verholpen, aldus de instructies van het geluidsbestand. Deze werkwijze wordt al geruime tijd toegepast, maar recentelijk ontdekte Microsoft een scamwebsite die de telefoon- of communicatie-app van de gebruiker aanriep om het telefoonnummer van de oplichters te bellen. De gebruiker moest dit alleen nog bevestigen. Wanneer de gebruiker dit doet komt hij in contact met de telefoonscammers. Die laten het slachtoffer geloven dat zijn of haar systeem met malware besmet is geraakt. Vervolgens proberen ze toegang tot het systeem te krijgen. Voor het oplossen van het zogenaamde probleem moeten slachtoffers soms honderden euro's betalen. Door de communicatie-app al te starten wordt de gehele "scamervaring" gestroomlijnd, aldus Microsoft. De softwaregigant stelt dat deze techniek met name voor smartphones geoptimaliseerd lijkt te zijn. Zo maakt de website gebruik van een responsive design en kan de click-to-call direct de telefoonfunctie van smartphones starten. "Dit laat zien dat de dreiging van techsupport-scams gebruikers van verschillende platformen, apparaten en software kunnen raken", aldus Jonathan San Jose van het Windows Defender Research team. De onderzoeker merkt op dat de techniek nog niet veel wordt gebruikt, maar dat die zeer waarschijnlijk wel als service aan cybercriminelen wordt aangeboden. bron: security.nl

De beveiliging van Windows 8.1 en Windows 10 is te verbeteren door een waarde aan het Windows Register toe te voegen, zo stelt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon University. Het CERT/CC is een door het Amerikaanse ministerie van Binnenlandse Veiligheid gesteunde organisatie die geregeld veiligheidswaarschuwingen, adviezen en advisories uitgeeft. Afgelopen donderdag waarschuwde het CERT/CC dat een beveiligingsmaatregel genaamd ASLR op Windows 8.1 en 10 niet goed op systeemniveau wordt ondersteund. Address Space Layout Randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties of het besturingssysteem veel lastiger maken. Om applicaties te beschermen lanceerde Microsoft de gratis beveiligingstool EMET (Enhanced Mitigation Experience Toolkit ). Daarmee is het mogelijk om ASLR in te stellen voor applicaties die hier standaard geen gebruik van maken. Zodoende kan er via EMET een extra beveiligingslaag worden toegevoegd. Ook is het mogelijk om voor het gehele systeem ASLR in te stellen. Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft EMET op Windows 10 vervangen door de Windows Defender Exploit Guard, die dezelfde beveiliging moet bieden. Zowel EMET als Windows Defender Exploit Guard kunnen ASLR per applicatie of op systeemniveau verplichten. Windowsversies voor Windows 8 doen dit via een waarde in het Windows Register die ervoor zorgt dat programmacode met een zogeheten 'relocation table' automatisch op een andere plek in het geheugen wordt geplaatst en dat de locatie van de code bij elke herstart van het systeem of tussen verschillende systemen verschillend is. Vanaf Windows 8 wordt ASLR op systeemniveau anders geïmplementeerd en moet "bottom-up ASLR" zijn ingeschakeld om de beveiligingsmaatregel van entropie te voorzien. Zowel EMET op Windows 8 en later als Windows Defender Exploit Guard kunnen ASLR op systeemniveau inschakelen, maar doen dit zonder bottom-up ASLR in te schakelen. Dit zorgt ervoor dat de code wel op een andere plek wordt geplaatst, alleen dat bij elke herstart van het systeem of tussen verschillende systemen steeds van hetzelfde geheugenadres gebruik gemaakt wordt. Daardoor wordt het eenvoudiger voor een aanvaller om de locatie van de code in het geheugen te voorspellen, wat misbruik van bepaalde kwetsbaarheden eenvoudiger kan maken. Het is echter mogelijk door het toevoegen van een registerwaarde om bottom-up ASLR in te schakelen, zo laat het CERT/CC in een Vulnerability Note weten. De organisatie waarschuwt wel dat het inschakelen van ASLR op systeemniveau voor problemen kan zorgen bij oude videokaartdrivers van AMD/ATI. Deze problemen zijn echter sinds juni 2012 in de drivers van de fabrikant verholpen. Het gaat om de volgende waarde die in het Windows Register moet worden geïmporteerd: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel] "MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 bron: security.nl

Microsoft heeft besloten om de ondersteuning van Windows 10 versie 1511, ook bekend als de November Update, met zes maanden te verlengen. Organisaties en bedrijven die van deze versie gebruikmaken zullen gedurende deze periode beveiligingsupdates blijven ontvangen. Volgens Microsoft moet de extra tijd organisaties helpen bij het overstappen naar het nieuwe Windows as a service-model. Grote Windows 10 feature-updates, zoals de Creators Update, worden 18 maanden door Microsoft met updates ondersteund. Daarna moet er na een nieuwere feature-update worden geüpgraded om ondersteuning te blijven ontvangen. Oorspronkelijk zou de ondersteuning van Windows 10 versie 1511, de eerste grote feature-update na het uitkomen van Windows 10 op 29 juli 2015, vorige maand eindigen. Microsoft heeft nu besloten om de ondersteuning tot april 2018 te laten doorlopen. Organisaties die nog met deze versie werken zullen updates via de bekende kanalen blijven ontvangen, zoals Windows Update, WSUS, Configuration Manager en de Windows Update catalogus. bron: security.nl