Captain Kirk

Het Tor Project heeft een update voor de Tor-software uitgebracht wegens een beveiligingslek in onion services waardoor gevoelige informatie in logbestanden kon worden opgeslagen. De meeste mensen bezoeken via het Tor-netwerk 'normale' websites. Tor kan echter ook worden gebruikt om websites en diensten te benaderen die alleen binnen het Tor-netwerk toegankelijk zijn. Dit worden onion services genoemd en stonden eerder bekend als hidden services. Een kwetsbaarheid in de code van onion services kan ervoor zorgen dat gevoelige informatie in de logbestanden van de website wordt opgeslagen. Het probleem deed zich alleen voor als de optie SafeLogging, die standaard staat ingeschakeld, door de beheerder was uitgeschakeld. Vanwege de kwetsbaarheid zijn er nu updates voor de Tor-software uitgekomen met versienummer 0.2.8.15, 0.2.9.12 en 0.3.0.11. Alleen beheerders van een onion service moeten actie ondernemen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. bron: security.nl

Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt, zo laat Avast weten, het anti-virusbedrijf dat de tool en ontwikkelaar Piriform op 18 juli overnam. Gisteren maakte Piriform bekend dat aanvallers een backdoor aan CCleaner hadden toegevoegd. Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden en over een geldig certificaat beschikten. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. De besmette versies van CCleaner werden in de vier weken dat ze werden aangeboden door 2,27 miljoen gebruikers gedownload. Inmiddels zijn er nog 730.000 gebruikers met een besmette versie van CCleaner. Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald. Cisco adviseerde getroffen gebruikers om hun systeem opnieuw te installeren of te herstellen naar een staat van voor 15 augustus, maar dat is niet nodig, aldus Avast. De backdoor-server werd namelijk uitgeschakeld voordat die kwaadaardige code naar besmette systemen kon terugsturen. Inmiddels is de ontwikkelomgeving van Piriform naar de infrastructuur van Avast gemigreerd en zullen alle Piriform-medewerkers naar het interne it-systeem van Avast worden verhuisd. Hoe de aanvallers toegang tot de ontwikkelomgeving van CCleaner wisten te krijgen is nog niet bekendgemaakt. CCleaner is een zeer populaire tool die cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden kan verwijderen. Het is in totaal meer dan 2 miljard keer gedownload en heeft wereldwijd 130 miljoen gebruikers. bron: security.nl

Een optie voor Apache-servers kan er in bepaalde gevallen voor zorgen dat er servergeheugen lekt, zo waarschuwt onderzoeker Hanno Böck. Het gaat om de OPTIONS-methode van http. Het http-protocol ondersteunt verschillende methodes, waarbij GET en POST erg bekend zijn. Via de OPTIONS-methode is het mogelijk om een server te vragen welke http-methodes die allemaal ondersteunt. De server kan vervolgens met de "Allow" header antwoorden en een overzicht van ondersteunde methodes teruggeven. In bepaalde gevallen geeft de server meer dan alleen een overzicht van http-methodes terug, maar ook de inhoud van het servergeheugen. Het kan dan om gevoelige informatie gaan, aldus Böck. Het probleem doet zich voor als de beheerder van de server een "Limit directive", waarmee beperkingen voor http-methodes kunnen worden opgegeven, in een .htaccess-bestand voor een ongeldige http-methode instelt. Dit veroorzaakt een gecorrumpeerde Allow-header die een willekeurig deel van het servergeheugen kan bevatten. Böck voerde een scan van de 1 miljoen populairste websites uit en ontdekte het probleem bij 466 hosts. De onderzoeker stelt dat er een aanvullend risico bij shared hosting-omgevingen is, omdat de corruptie niet tot een enkele virtuele host is beperkt. Een kwaadwillende gebruiker in een shared hosting-omgeving zou opzettelijk een .htaccess-bestand kunnen aanmaken dat een gecorrumpeerde header teruggeeft, in de hoop dat die informatie van andere hosts op hetzelfde systeem bevat. Er is inmiddels een patch voor Apache uitgekomen. "Als je een Apache-webserver in een shared hosting-omgeving draait die toestaat om gebruikers .htaccess-bestanden aan te maken, dan moet je alles laten vallen en meteen updaten en de server daarna herstaten", laat Böck weten.

Aanvallers maken gebruik van een feature in Microsoft Word om informatie over computers te achterhalen, zo laat anti-virusbedrijf Kaspersky Lab in een blogpost weten. Het gaat om de IncludePicture-feature waarmee het mogelijk is om via een link een afbeelding aan een document toe te voegen. Zodra het document wordt geopend zal Word de gelinkte afbeelding laden en in het document weergeven. Kaspersky meldt dat aanvallers documenten als e-mailbijlage versturen die van deze feature misbruik maken. In plaats van een afbeelding bevatten de documenten links naar verschillende php-scripts. Als de ontvanger het document opent wordt de naam en versie van het besturingssysteem, de browser, .Net Framework en Microsoft Office naar de opgenomen links gestuurd. Volgens het anti-virusbedrijf zijn vorig jaar verschillende klanten het doelwit van deze aanval geworden. In april van dit jaar gaven onderzoekers van Kaspersky Lab tijdens de Security Analyst Summit al een presentatie over de aanval. Eén van de documenten die de aanvallers gebruikten heeft als onderwerp "Google and Google Scholar Tips". Een slachtoffer dat dit document had geopend ontving een aantal dagen later opnieuw een document via e-mail, dit keer met een exploit voor zijn specifieke versie van Microsoft Word. Wie er achter de aanval zit en wie het doelwit zijn laat Kaspersky Lab niet weten. Volgens het anti-virusbedrijf werkt de IncludePicture-feature ook in in Microsoft Office voor Android en iOS. LibreOffice en OpenOffice bevatten de feature niet en zullen de kwaadaardige links in het document dus niet openen. In tegenstelling tot de aanvallen via Microsoft Office-documenten die tot op heden plaatsvinden, waarbij er gebruik wordt gemaakt van macro's, embedded Flash-objecten of andere actieve content, vereist deze aanval geen extra interactie van de gebruiker. Alleen het openen van het document is voldoende om de systeeminformatie te versturen. bron: security.nl

Onderzoekers die kwetsbaarheden in Microsoft Office vinden kunnen die tot het einde van dit jaar bij het beloningsprogramma van de softwaregigant rapporteren. Microsoft heeft namelijk besloten het beloningsprogramma voor Office-lekken tot en met 31 december 2017 te verlengen. De softwaregigant betaalt onderzoekers tot 15.000 dollar voor kwetsbaarheden waardoor het mogelijk is om macro's uit te voeren ook al staat het uitvoeren van macro's via een policy uitgeschakeld. Ook beveiligingslekken waardoor een aanvaller zijn rechten via Office Protected View kan verhogen of het beleid van Outlook kan omzeilen om bepaalde bijlagen te blokkeren kunnen op een beloning rekenen. Microsoft Office is nog altijd een geliefd doelwit van aanvallers. Eerder dit jaar werd er een zeroday-lek in de kantoorsoftware ontdekt waardoor gebruikers werden aangevallen. bron: security.nl

In de nieuwste versie van het privacy-OS Tails zijn verschillende veranderingen doorgevoerd, waaronder de ondersteuning van Bluetooth die nu volledig is uitgeschakeld. Deze week maakten onderzoekers verschillende kwetsbaarheden bekend in de Bluetooth-implementaties van onder andere Linux, waar Tails gebruik van maakt. Volgens Red Hat zou de kwetsbaarheid in Linux echter lastig zijn te misbruiken. Aanleiding voor de Tails-ontwikkelaars om geen noodupdate voor het privacy-OS uit te brengen. Er is echter wel besloten om Bluetooth-ondersteuning in de aankomende versie 3.2 volledig uit te schakelen. De ontwikkelaars stellen dat een beperkt aantal gebruikers hier waarschijnlijk last van zal hebben. Mochten gebruikers hierdoor tegen problemen aanlopen, dan wil het ontwikkelteam dit graag weten. Er is nu een Release Candidate van Tails 3.2 verschenen. Naast de uitgeschakelde Bluetooth-ondersteuning heeft de Root Terminal verschillende veranderingen ondergaan, is er geüpgraded naar Thunderbird 52.3.0 en is de hardware-ondersteuning verbeterd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen en privacy-experts aangeraden. bron: security.nl

Nee Passer, gebruik alleen Noscript.

Ik gebruik Noscript en heb hier geen last van.

Wanneer je toch voor een upgrade gaat zou ik ze vervangen voor 4x2G of de 2x1G laten zitten er er 2x4 bijzetten. Zo rond de 8G draait je systeem net even wat lekkerder.

Dit probleem kan echt van alles zijn. Dus voor ons een beetje lastig om het juiste advies te geven. Heb je al eens de pc een tijdje helemaal van het stroom afgehaald en na een minuut of tien opnieuw geprobeerd?

Aanvulling: internet via je telefoonlijn is mogelijk. Maar hiervoor heb je weer extra speciale apparaten nodig. Ik zou in jou geval ook gaan voor de Powerplug/powerline-optie gaan.

Zeker omdat je aangeeft dat de router nieuw is en een gigaswitch heeft, zou ik zeggen dat er iets in het apparaat niet goed zit. Je kabels kunnen de snelle verbinding aan en middels je oude router haal je ook de hoge snelheid. Dus daar ligt het probleem zeker niet. Het zou of een defect in de router zelf kunnen zijn of de netwerkpoortjes van je router. Maar nogmaals, gezien het feit dat de router nieuw is zou ik even terug gaan naar de leverancier.

Aangezien het tropic al een tijdje stil is en je af sluit met "the end" ga ik er van uit dat het probleem is opgelost en sluit ik het topic. Wil je het toch terug open hebben, laat het ons dan even weten.

Mozilla heeft een extensie voor Firefox ontwikkeld waarmee het mogelijk is om met meerdere accounts gelijktijdig op dezelfde website in te loggen. De Multi-Account Containers-extensie is bedoeld voor bijvoorbeeld mensen die een privé en zakelijk socialmedia- of e-mailaccount gelijktijdig willen gebruiken. De extensie maakt voor elk account een aparte container aan waarin de cookies worden opgeslagen. Zodoende kunnen gebruikers met meerdere accounts op dezelfde site inloggen, zonder dat online trackers dit eenvoudig aan elkaar kunnen koppelen. Als voorbeeld geeft Mozilla dat gebruikers een Container-tab voor het inloggen op socialmedia kunnen gebruiken, om met een andere tab nieuwssites te bezoeken. Zodoende wordt het socialmedia-account gescheiden van de trackingscripts op de nieuwssites. bron: security.nl

Onderzoekers hebben besmette advertenties ontdekt die de browser van gebruikers naar verschillende cryptocurrencies laat minen. De besmette advertenties laden JavaScript-code die de rekenkracht van de computer gebruikt om de cryptocurrencies Feathercoin en Monero te minen. Het voordeel van deze cryptocurrencies, ten opzichte van bijvoorbeeld bitcoin, is dat er geen speciale hardware voor het minen is vereist. Naast advertenties maken de criminelen achter de JavaScript-code ook gebruik van websites om de browser van bezoekers voor hun doeleinden in te zetten. Het gaat dan om streamingwebsites en in-browser gamingsites. Advertenties zijn echter de voornaamste verspreidingsmethode. Het voordeel van deze aanpak is dat de aanvallers geen malware op de computer van internetgebruikers hoeven te installeren of bijvoorbeeld van exploits gebruik moeten maken. Ook is het eenvoudiger om een groot aantal machines te bereiken door websites te "infecteren" dan door de computers van gebruikers met malware te besmetten, aldus onderzoekers van anti-virusbedrijf ESET. De campagne is voornamelijk gericht op Rusland en Oekraïne. "Ondanks de prestatienadelen van het gebruik van een JavaScript-miner in plaats van een apart programma, zorgt het aantal bezoekers dat de miner ontvangt er waarschijnlijk voor dat ze er winst mee maken", zegt onderzoeker Matthieu Faou. Volgens de onderzoeker kunnen gebruikers zich tegen dit soort dreigingen beschermen door een goed geconfigureerde adblocker of scriptblocker binnen de browser te gebruiken. bron: security.nl

Google zal in een aankomende versie van Chrome ftp-locaties als "niet veilig" weergeven. Eerder werd er al besloten om bepaalde http-websites als "niet veilig" te bestempelen. Volgens Mike West, werkzaam voor het security-team van Chrome, was ftp in eerste instantie geen onderdeel van het originele plan om http als onveilig te gaan aanduiden. "Maar helaas zijn de security-eigenschappen zelfs marginaal slechter dan die van http", aldus West. De internetgigant is al geruime tijd bezig om het gebruik van https te bevorderen en het gebruik van http te ontraden. Het http-protocol wisselt informatie namelijk onbeveiligd uit. Kwaadwillenden kunnen zo gegevens onderscheppen of bijvoorbeeld zien wat gebruikers allemaal op een website doen. Net als bij http wordt er ook bij ftp onbeveiligd informatie uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd.Volgens West was ftp afgelopen maand voor 0,0026 procent van de 'top-level navigations' verantwoordelijk en is het gezien het risico voor gebruikers gerechtvaardigd om het als 'niet veilig' te markeren. De melding in de adresbalk zal vanaf Chrome 63 worden getoond, die voor begin december gepland staat. Vanaf Chrome 62 die volgende maand verschijnt zal de browser bij alle http-websites waar gebruikers tekst kunnen invoeren, alsmede voor alle http-websites in de incognito-mode, de waarschuwing "niet veilig" tonen. Eerder verscheen deze melding al bij websites waar gebruikers kunnen inloggen of hun creditcardgegevens kunnen invoeren. bron: security.nl

Onderzoekers hebben malware ontdekt die Netgear-routers via een beveiligingslek infecteert en vervolgens gebruikt om aanvallen op Fortune 500-bedrijven te faciliteren. De kwetsbaarheid is in 29 router-modellen van Netgear aanwezig, waaronder de WNR2000, en kan alleen worden aangevallen als een aanvaller toegang tot het lokale netwerk heeft of remote management staat ingeschakeld. De onderzoeker die de kwetsbaarheid vorig jaar december openbaarde stelde dat er op dat moment 10.000 routers op internet te vinden waren waar remote management stond ingeschakeld. Volgens de advisory van Netgear is het beveiligingslek inmiddels in zes modellen gepatcht. Ondanks de beschikbaarheid van een update en vereiste om remote management ingeschakeld te hebben zijn er nog altijd kwetsbare apparaten te vinden. Onderzoekers van Forkbombus Labs waarschuwen namelijk voor de RouteX-malware die kwetsbare routers via het lek infecteert. Vervolgens wordt de router in een SOCKS-proxy veranderd die de aanvaller bij andere aanvallen kan faciliteren. In het geval van de RouteX-malware wordt er geprobeerd om met gestolen inloggegevens, die bijvoorbeeld via datalekken zijn verkregen, op accounts van Fortune 500-bedrijven in te loggen. Om te voorkomen dat anderen de geïnstalleerde proxy-server gebruiken maakt de RouteX-malware gebruik van IPTables, zodat alleen goedgekeurde ip-adressen toegang tot het apparaat hebben. bron: security.nl

Om ervoor te zorgen dat de implementatie van cryptografische algoritmen in Firefox vrij van problemen is zal Mozilla met de lancering van Firefox 57 met "geverifieerde cryptografie" komen. Volgens de browserontwikkelaar blijkt uit ervaring dat het lastig voor ontwikkelaars is om foutloze code te schrijven. In het geval van een bug of kwetsbaarheid wordt dit vervolgens met een update verholpen. Iets wat voor de meeste software werkt, aldus Benjamin Beurdouche van Mozilla. Als het echter gaat om fouten in cryptografische softwarebibliotheken kan dit de veiligheid van gebruikers in gevaar brengen. En dit soort kwetsbaarheden komen geregeld voor. Alleen het afgelopen jaar zijn er meerdere kwetsbaarheden in populaire cryptografische softwarebibliotheken gepatcht. Tegenwoordig is het echter mogelijk om de implementatie van cryptografische algoritmen automatisch te controleren. Op deze manier kan worden verzekerd dat de implementatie vrij is van allerlei fouten. Iets wat handmatiger veel lastiger te controleren is. Mozilla werkt nu samen met de Franse onderzoeksorganisatie INRIA en Project Everest, waar Microsoft Research, Carnegie Mellon University en INRIA aan meedoen, om onderdelen van hun gecontroleerde cryptografsiche softwarebibliotheek aan de security-engine van Firefox toe te voegen. Mozilla is naar eigen zeggen daarmee de eerste grote webbrowser die over formeel geverifieerde cryptografische primitieven beschikt. Naast de veiligheid zou dit ook de prestaties ten goede komen. De nieuwe cryptografische implementatie is namelijk 20 procent sneller dan de huidige implementatie binnen Firefox. Het plan is om de nieuwe code met Firefox 57 te lanceren, die voor november staat gepland. bron: security.nl

Onderzoekers hebben in een WordPress-plug-in met meer dan 200.000 installaties een backdoor ontdekt. Het gaat om de plug-in Display Widgets, waarmee content in de zijbalk van websites per pagina kan worden ingesteld. De plug-in werd in juni van dit jaar door de originele ontwikkelaar verkocht. De laatste drie versies van de plug-in bevatten kwaadaardige code die de nieuwe ontwikkelaars de mogelijkheid geeft om willekeurige content te plaatsen op WordPress-websites waar de plug-in is geïnstalleerd, zo waarschuwen securitybedrijven Wordfence en Plugin Vulnerabilities. Onlangs klaagden gebruikers dat de plug-in was gebruikt om spam op hun WordPress-sites te plaatsen. Sinds Display Widgets door de oorspronkelijke ontwikkelaar werd verkocht heeft WordPress de plug-in drie keer uit de database met aangeboden plug-ins verwijderd, om de uitbreiding vervolgens ook drie keer weer toe te staan. Een aantal dagen geleden werd de plug-in voor de vierde keer verwijderd. WordPress-gebruikers die Display Widgets hebben geïnstalleerd krijgen het advies die te verwijderen. WordPress heeft inmiddels excuses gemaakt dat de ontwikkelaars met de gebackdoorde plug-in zolang hun gang konden gaan. Daarnaast heeft het plug-inteam van WordPress een schone versie van Display Widgets ontwikkeld. bron: security.nl

Met de Fall Creators Update voor Windows 10 die volgende maand is het permissiemodel van het besturingssysteem verder uitgebreid, zo laat Microsoft vandaag in een blogposting weten. Op dit moment vragen apps alleen in het geval van locatiegegevens om toestemming van de gebruiker. Het permissiemodel gaat straks verder dan alleen locatiegegevens, maar zal ook hardware en andere onderdelen omvatten, zoals camera, microfoon, contacten en kalender. Zodoende kunnen gebruikers kiezen welke apps informatie van het systeem kunnen opvragen. Het permissiemodel geldt alleen voor apps die via de Microsoft Store zijn gedownload. Daarnaast zullen de nieuwe verzoeken om permissies alleen gelden voor apps die na de Fall Creators Update zijn geïnstalleerd. Verder heeft Microsoft aanpassingen doorgevoerd met betrekking tot het tonen van privacy-informatie tijdens de installatie. Het privacyscherm dat tijdens de installatie wordt getoond, en waar gebruikers opties met betrekking tot diagnostische data, locatiegegevens, advertenties en spraakherkenning kunnen instellen, bevat nu verwijzingen naar het specifieke onderdeel in de privacyverklaring. De Fall Creators Update wordt op 17 oktober gelanceerd. bron: security.nl

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft in totaal 1 miljoen dollar uitgeloofd voor zeroday-lekken in Tor Browser op Windows en Tails. Het gaat hierbij om kwetsbaarheden waarvoor nog geen update beschikbaar is en het systeem van Tor Browser-gebruikers volledig kan worden overgenomen. Zerodium verkoopt de verkregen zeroday-exploits weer door aan een "beperkt aantal" bedrijven en overheden. Doordat besturingssystemen over steeds meer beschermingsmaatregelen beschikken wordt het volgens Zerodium lastiger en lastiger om kwetsbaarheden in browsers uit te buiten. "Maar gemotiveerde onderzoekers slagen ondanks de complexiteit van het werk er altijd in om nieuwe browser-exploits te ontwikkelen, dankzij hun vaardigheden en het gebruik van scriptingtalen zoals JavaScript", aldus het bedrijf. In het geval van Tor Browser zoekt Zerodium naar zeroday-exploits die ook zonder JavaScript werken. Exploits die JavaScript vereisen mogen ook worden ingezonden, maar leveren minder op. Een zeroday-exploit zonder JavaScript waarmee het systeem van een Tor Browser-gebruiker op Windows 10 en het privacy-besturingssysteem Tails volledig kan worden overgenomen levert 250.000 dollar op. In het geval JavaScript is vereist wordt het bedrag gehalveerd. Als de exploit alleen tegen één van de twee platformen werkt wordt er 200.000 dollar uitgekeerd. Wederom levert een exploit met JavaScript de helft van dit bedrag op. Het Tor Browser-programma van Zerodium loopt tot 30 november, maar kan ook eerder zijn afgelopen als er voor 1 miljoen dollar aan beloningen is uitgekeerd. Onlangs kwam Zerodium ook al in het nieuws omdat het zich op populaire chat-apps zoals Signal, WhatsApp, WeChat, Telegram, Facebook Messenger en Viber richtte. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor Project, dat voor het Tor-netwerk en Tor Browser verantwoordelijk is, lanceerde eerder dit jaar een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden in het netwerk en de browser vinden en rapporteren, waarbij er tot 4.000 dollar per bugmelding wordt uitgekeerd. bron: security.nl

Bij een recente phishingaanval hebben criminelen van gehackte LinkedIn-accounts gebruik gemaakt om slachtoffers naar een zogenaamde inlogpagina van Google te lokken. Via de gehackte LinkedIn-accounts werden privéberichten naar contacten op het zakelijke sociale netwerk gestuurd. Daarin werd gesteld dat de afzender een document via GoogleDrive had gedeeld. De afgekorte link wees echter naar een phishingpagina waar de gebruiker om de inloggegevens van zijn Google-account werd gevraagd. Als gebruikers hun gegevens invoerden werd er een echt document op GoogleDrive getoond. De aanvallers maakten ook gebruik van premium LinkedIn-accounts. Deze accounts hebben de mogelijkheid om via de InMail-feature berichten te versturen naar mensen die geen direct contact zijn. Doordat er van een url-verkorter gebruik werd gemaakt kon onderzoeker Jerome Segura van anti-malwarebedrijf Malwarebytes het aantal clicks op de afgekorte link in het bericht achterhalen. Volgens de statistieken is de link 256 keer geopend. Dat zegt niets over het aantal slachtoffers, aangezien alleen het aantal clicks wordt bijgehouden, niet hoeveel mensen daadwerkelijk hun gegevens invulden. Segura stelt dat dit soort aanvallen via social media niet nieuw zijn, maar het wederom laat zien hoe lastig het is om kwaadaardige activiteit te blokkeren als het van vertrouwde gebruikersaccounts afkomstig is, laat staan de accounts van collega's of kennissen. Dit maakt dergelijke aanvallen ook veel geloofwaardiger voor potentiële slachtoffers en kan voor een sneeuwbaleffect zorgen als ook de accounts van slachtoffers worden gebruikt om phishinglinks te verspreiden, aldus de onderzoeker. bron: security.nl

Bijna 100.000 routers van netwerkfabrikant D-Link die via internet toegankelijk zijn bevatten ongepatchte kwetsbaarheden waardoor ze kunnen worden aangevallen. Vorige week besloot onderzoeker Pierre Kim verschillende beveiligingslekken in de D-Link 850L-router te openbaren, zonder dat D-Link was ingelicht. Het bedrijf had dan ook geen updates kunnen ontwikkelen. De onderzoeker besloot naar eigen zeggen tot full-disclosure over te gaan omdat D-Link slecht op een eerdere bugmelding van hem had gereageerd. Nu heeft securitybedrijf Embedi verschillende kwetsbaarheden in de DIR890L, DIR885L, DIR895L en andere DIR8xx D-Link-routers onthuld die ook nog niet zijn gepatcht. Embedi besloot D-Link wel eerst te informeren, maar dat bleek een lastig proces. De netwerkfabrikant werd eind april door Embedi over twee kwetsbaarheden gewaarschuwd. D-Link antwoordde dat de kwetsbaarheden al in een betaversie van de router-firmware waren gepatcht. De beta-firmware bleek echter één van de twee gerapporteerde kwetsbaarheden te verhelpen. Daarnaast werd er een ander lek in de firmware gevonden. In juni waren de twee openstaande problemen nog steeds niet gepatcht, waarop Embedi stelde dat het die openbaar zou maken. Nu ruim drie maanden later zijn de problemen nog steeds aanwezig en is ook Embedi tot full-disclosure overgegaan. Het eerste ongepatchte lek is een zogeheten 'stack overflow' waardoor een aanvaller door het versturen van een speciaal request superuser-toegang kan krijgen. Op deze manier is het mogelijk om het apparaat volledig over te nemen. De tweede kwetsbaarheid die nog steeds aanwezig is maakt het mogelijk om op afstand de firmware te updaten. Bij het herstarten van de router blijkt er een 'recovery webserver' te draaien. Deze server biedt de mogelijkheid voor ongeautoriseerde gebruikers om de firmware te updaten. Zodra een aanvaller toegang tot het apparaat heeft verkregen kan hij die herstarten en via de webserver zijn eigen firmware installeren. Het beveiligingslek dat D-Link wel heeft gepatcht maakte het mogelijk voor een aanvaller om via een http-request de inloggegevens van de router te stelen. De Nederlandse beveiligingsonderzoeker Victor Gevers laat weten dat het aantal kwetsbare D-Link-routers dat via internet toegankelijk is de 98.500 heeft gepasseerd. Het grootste deel van de kwetsbare routers bevindt zich in Zuid-Korea, Singapore en Canada. bron: security.nl

Microsoft heeft tijdens de patchcyclus van september updates voor 81 kwetsbaarheden in Internet Explorer, Edge, Windows, Office, Skype for Business, .NET Framework en Exchange Server uitgebracht. Het gaat onder andere om een zeroday-lek in .NET die de afgelopen periode actief werd aangevallen en de BlueBorne-kwetsbaarheid in de Bluetooth-implementatie van Windows. Via 39 van de kwetsbaarheden had een aanvaller op afstand willekeurige code op het systeem kunnen uitvoeren. 27 hiervan zijn er door Microsoft als "ernstig" bestempeld. Het gaat om kwetsbaarheden in IE, Edge, Microsoft PDF, Scripting Engine, Windows DHCP Server, Windows GDI+ en Win32k Graphics. Daarnaast zijn er drie lekken gepatcht die al voor het verschijnen van de update bekend waren, maar volgens Microsoft niet zijn aangevallen. Er is dan ook geen sprake van zeroday-lekken. Het gaat om een kwetsbaarheid waardoor de Device Guard beveiligingsmaatregel is te omzeilen, een beveiligingslek in de Broadcom-chipset van de HoloLens waardoor een aanvaller via een speciaal wifi-pakket het apparaat kan overnemen en een kwetsbaarheid in Microsoft Edge waardoor een beveiligingsmaatregel van de browser omzeild kan worden. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. Op systemen waar het automatisch installeren van updates niet staat ingeschakeld adviseert Microsoft dit alsnog in te schakelen. bron: security.nl

Adobe heeft net als vorige maand en de maanden daarvoor ernstige beveiligingslekken in Flash Player gedicht, maar het softwarebedrijf heeft het installeren van de beveiligingsupdates een lagere prioriteit gegeven. De nu uitgekomen Flash Player-update verhelpt twee ernstige kwetsbaarheden waardoor een aanvaller in het ergste geval kwetsbare systemen volledig had kunnen overnemen. De beveiligingslekken waren door onderzoekers van Google ontdekt en gerapporteerd. Wat deze maand opvalt aan het Security Bulletin is de prioriteit voor het installeren van de beveiligingsupdates. Normaliter kregen gebruikers met Flash Player op Windows en macOS en gebruikers van Google Chrome, dat over een embedded Flash Player beschikt, het advies om de update binnen 72 uur te installeren. Adobe hanteerde in dit geval een "prioriteit 1" beoordeling. Voor deze gebruikers heeft Adobe het advies nu veranderd in een "prioriteit 2" beoordeling. Nu adviseert Adobe om de update snel te installeren, waarbij als voorbeeld 30 dagen wordt genoemd. Een prioriteit 2 wordt gegeven aan updates voor producten die in het verleden een "verhoogd risico" liepen. Er zijn op dit moment geen exploits voor de gepatchte lekken beschikbaar en Adobe verwacht ook niet dat die op korte termijn zullen verschijnen. Alleen in het geval van Flash Player voor Internet Explorer 11 en Microsoft Edge hanteert Adobe nog wel een "prioriteit 1". Deze gebruikers lopen volgens het softwarebedrijf een groter risico om te worden aangevallen. De cijfers lijken voor de beslissing van Adobe te spreken. Dit jaar zijn er nog geen zeroday-aanvallen op de software waargenomen en het meest recente Flash Player-lek dat criminelen via exploitkits aanvallen is al meer dan een jaar geleden gepatcht. Updaten naar Flash Player 27.0.0.130 kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. bron: security.nl