Captain Kirk

Het zeroday-lek in alle ondersteunde versies van Microsoft Office waarvoor dinsdagavond een beveiligingsupdate verscheen is sinds september aangevallen. Dat meldt securitybedrijf Qihoo 360, dat het zeroday-lek en de aanvallen ontdekte. Via de kwetsbaarheid kan een aanvaller volledige controle over een computer krijgen als er een kwaadaardig document wordt geopend. In het geval de aanval succesvol was werd er een Trojaans paard geïnstalleerd dat ontwikkeld was om gevoelige gegevens te stelen. Door de Command & Control-server te analyseren waarmee de malware communiceerde stelt Qihoo 360 dat de aanval in augustus werd voorbereid en in september gelanceerd. Tegen wie de aanval was gericht laat het securitybedrijf niet weten, maar het zou om een "beperkt aantal klanten" gaan. bron: security.nl

Een beveiligingslek dat Microsoft gisterenavond patchte maakte het mogelijk om computers door het versturen van een kwaadaardige dns-response volledig over te nemen. Het beveiligingslek bevond zich in de Windows DNSAPI en speelde bij Windows 8 en Server 2012 en nieuwere Windows-versies. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Computers versturen tijdens het browsen of streamen van muziek en video's allerlei dns-requests, waarop een response volgt. Ook als de computer niet door de gebruiker wordt gebruikt zal die dns-requests sturen, bijvoorbeeld als er naar Windows-updates wordt gezocht. In de meeste gevallen komt de dns-response niet direct bij de applicatie terecht die de request verstuurde, maar gaat die eerst via de dns-cachingservice. Deze service bewaart de response voor hergebruik, wat het aantal dns-requests beperkt dat het systeem moet versturen. De Windows dns-client blijkt dns-responses echter niet voldoende te controleren. Een geprepareerde dns-response kan het geheugen van de dns-client corrumperen, waardoor een aanvaller willekeurige code op het systeem kan uitvoeren. De kwetsbaarheid werd ontdekt door Nick Freeman van securitybedrijf Bishop Fox. Volgens Freeman zou een aanvaller van het beveiligingslek gebruik kunnen maken als hij controle over de dns-server van de gebruiker heeft, bijvoorbeeld via een man-in-the-middle-aanval. Een aanvaller zou hiervoor zijn eigen kwaadaardige hotspot kunnen opzetten of gebruikers van een gedeeld wifi-netwerk kunnen aanvallen. Via de aanval is het mogelijk om met verschillende rechten code uit te voeren. Als de dns-cachingservice crasht zal de volgende dns-response direct naar de applicatie gaan die het verzoek deed. Dit houdt in dat de aanvaller de dns-cachingservice kan laten crashen en wachten tot een applicatie met hoge rechten, zoals Windows Update, een request verstuurt. Daarbij kan een aanvaller het lek een onbeperkt aantal keer aanvallen. De gebruiker merkt het namelijk niet als de dns-cachingservice crasht. De service zal zich daarnaast zelf weer herstarten. De update die het probleem verhelpt wordt op de meeste systemen automatisch geïnstalleerd. bron: security.nl

Securitybedrijf Symantec geeft overheden geen toegang meer tot de broncode van de beveiligingssoftware die het aanbiedt, omdat dit de veiligheid van de producten in gevaar kan brengen. Dat laat ceo Greg Clark in een interview met persbureau Reuters weten. Verschillende softwarebedrijven, zoals Microsoft, geven overheden toegang tot broncode om zo zorgen over backdoors en andere risico's weg te nemen. Ook Symantec deed dit, maar volgens Clark is het beveiligingsrisico te groot geworden. Het verlies van vertrouwen door de broncode niet meer te laten controleren zou niet opwegen tegen de 'business' die het bedrijf kan winnen, aldus de Symantec-ceo. Clark vertelde geen hard bewijs te hebben dat inzage in de broncode tot aanvallen heeft geleid, maar noemde het proces een onacceptabel risico voor klanten. bron: security.nl

Een beveiligingslek in Microsoft Outlook 2016 heeft ervoor gezorgd dat met S/MIME versleutelde e-mails in bepaalde gevallen onversleuteld werden verstuurd. Het probleem zou tenminste al zes maanden in de software aanwezig zijn, zo stelt securitybedrijf SEC Consult, dat het probleem ontdekte. S/MIME is een standaard voor end-to-end-encryptie en het signeren van e-mails. Het wordt onder andere door Microsoft Outlook, Mozilla Thunderbird en Apple Mail ondersteund. De kwetsbaarheid deed zich alleen voor bij het opstellen van e-mails in platte tekst die vervolgens via S/MIME werden versleuteld. Outlook stuurde in deze gevallen het bericht in zowel versleutelde als onversleutelde vorm (in één enkel bericht) naar de mailserver van de afzender en ontvanger. Daardoor was het mogelijk om zonder de privésleutel van de ontvanger de inhoud van het bericht te lezen. Iets wat S/MIME juist moet voorkomen. De afzender had niets door, aangezien het bericht in zijn verzonden map als versleuteld werd weergegeven. Het probleem speelde verder alleen bij het gebruik van Outlook als afzender. In het geval van inkomende met S/MIME versleutelde berichten, waar Outlook de ontvanger was, deed het probleem zich niet voor. Versleutelde berichten met html-opmaak werden wel juist versleuteld verstuurd. Volgens SEC Consult zou een aanvaller op verschillende manieren misbruik van de kwetsbaarheid kunnen maken, afhankelijk van of er met een Exchange-server of smtp-server werd gewerkt. In het geval van Exchange zou de aanval mogelijk zijn als de aanvaller toegang tot het netwerkverkeer heeft tussen Outlook en de Exchange-server en er geen versleutelde tls-verbinding wordt gebruikt of als een aanvaller toegang tot de Exchange-server van de afzender heeft. Bij het gebruik van een smtp-server is de aanval mogelijk als de aanvaller toegang tot het netwerkverkeer, mail transfer agent of de mailbox van de afzender of ontvanger heeft. Het beveiligingslek werd gisterenavond door Microsoft gepatcht. bron: security.nl

Microsoft is gestopt met de support van Office 2007, Office 2011 voor Mac en Windows 10 versie 1511, ook bekend als de November Update. De software ontvangt vanaf nu geen beveiligingsupdates meer. Ook Project 2007 en Project Server 2007, Visio 2007 en SharePoint Server 2007 worden niet meer ondersteund. Volgens Microsoft kan het blijven gebruiken van de software voor compliance- en veiligheidsproblemen zorgen. Office 2007, dat op 30 januari 2007 verscheen, kreeg de afgelopen jaren regelmatig met zeroday-aanvallen te maken. In april van dit jaar werd er nog gewaarschuwd voor aanvallen op een zeroday-lek in de kantoorsoftware. Ook gisteren patchte Microsoft nog een zeroday-lek in Office 2007 dat actief voor het verschijnen van de update werd aangevallen. De softwaregigant adviseert gebruikers om naar Office 365 te migreren. Daarnaast is de ondersteuning gestopt van Windows 10 versie 1511. Dit is de eerste grote update voor het besturingssysteem die in november 2015 verscheen. Eerder werd al de ondersteuning van de originele Windows 10-versie gestaakt. Microsoft beschouwt Windows 10 als 'Windows as a Service' en alle grote updates voor het besturingssysteem worden een bepaalde tijd ondersteund. Zo zal de support van de Windows 10 Anniversary Update (versie 1607) volgend jaar maart aflopen. Windows 10-gebruikers die met deze versie werken moeten dan updaten als ze nog updates willen ontvangen. bron: security.nl

De populaire wachtwoordmanager 1Password is nu ook beschikbaar voor Microsoft Edge, zo heeft ontwikkelaar AgileBits aangekondigd. Om de gratis browser-extensie te gebruiken moeten gebruikers wel 1Password voor Windows 6.7 of nieuwer op hun systeem hebben geïnstalleerd. Dit is de abonnementsversie van de wachtwoordmanager die 36 dollar per jaar voor één gebruiker kost of 60 dollar voor vijf gebruikers. Via 1Password kunnen gebruikers allerlei wachtwoorden voor websites en applicaties genereren en in kluizen opslaan en beheren. De abonnementsversie laat gebruikers hun wachtwoordkluizen in de cloud bewaren en over meerdere apparaten synchroniseren. Door het verschijnen van 1Password voor Edge in de Microsoft Store is het totaal aantal extensies voor Edge, sinds het vorig jaar augustus dit begon te ondersteunen, op 66 uitgekomen. bron: security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 62 kwetsbaarheden in Windows, Internet Explorer, Microsoft Edge, Office, Skype voor Business en Lync en Chakra Core gepatcht, waaronder een zerodaylek in Office dat actief werd aangevallen voordat de update beschikbaar was. Via het zerodaylek, dat in Office 2007, 2010, 2013 en 2016 aanwezig was, kon een aanvaller in het ergste geval systemen volledig overnemen als er een kwaadaardig document werd geopend. Twee andere kwetsbaarheden in Microsoft Office SharePoint en Windows Subsystem voor Linux waren voor het verschijnen van de update al bekend, maar zijn volgens Microsoft niet aangevallen. In totaal zijn 28 van de 62 kwetsbaarheden als ernstig aangemerkt. De meeste beveiligingslekken bevinden zich in de Microsoft Scripting engine, die verantwoordelijk is voor het uitvoeren van JavaScript en VBscript in websites. Verder is er een kwetsbaarheid in het Windows SMB-protocol gepatcht. Het gaat om een soortgelijk beveiligingslek waar de WannaCry-ransomware gebruik van maakte, zo laat securitybedrijf Trustwave weten. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Volgende maand lanceert Mozilla een nieuwe versie van Firefox die alleen nog extensies ondersteunt die op het WebExtensions-model zijn gebaseerd. Onlangs bleek al dat ruim 20.000 Firefox-extensies niet met de nieuwe Firefox-versie zullen werken. Gebruikers van deze zogeheten legacy-extensies kunnen echter op Firefox ESR overstappen, aangezien deze Firefox-versie de extensies tot 26 juni 2018 zal ondersteunen. Firefox Extended Support Release (ESR) ontvangt alleen maar beveiligingsupdates en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Op dit moment is Firefox ESR 52 de meest recente ESR-versie die met legacy-extensies werkt. Deze versie zal tot 26 juni beveiligingsupdates blijven uitvangen. Daarna verschijnt Firefox ESR 59.2, die geen legacy-extensies ondersteunt. Via de website addons.mozilla.org kunnen Firefox-gebruikers extensies voor de browser downloaden. Mozilla zal legacy-extensies op deze website blijven tonen totdat de ondersteuning van Firefox ESR 52 voorbij is. Wel zal de website zich voornamelijk op WebExtension-extensies gaan richten, aldus Mozilla's Jorge Villalobos. Verder laat Villalobos weten dat addons.mozilla.org grote veranderingen zal ondergaan, waaronder een nieuw ontwerp. bron: security.nl

Mozilla gaat een beveiligingsmaatregel aan Firefox 57 toevoegen die gebruikers tegen data-url's moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden. Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url. Mozilla heeft een beveiligingsmaatregel binnen Firefox 57 doorgevoerd die ervoor zorgt dat data-url's als een unieke locatie worden gezien. Zodoende hebben data-url's die zich in een iframe bevinden niet meer dezelfde herkomst als het oorspronkelijke document waar ze zich in bevinden. Content die vanaf een andere locatie wordt benaderd zal door de browser worden geblokkeerd. Niet alleen beschermt dit gebruikers, het zorgt ervoor dat Firefox ook compliant met de html-standaard en het gedrag van andere browsers is. Firefox 57 komt volgende maand uit. bron: security.nl

Aanvallers hebben een onbekend aantal WordPress-websites gehackt via zeroday-lekken in drie verschillende plug-ins. Het gaat om de plug-ins Appointments, Flickr Gallery en RegistrationMagic-Custom Registration Forms. De drie plug-ins hebben bij elkaar 21.000 actieve installaties. Via de beveiligingslekken kunnen aanvallers op kwetsbare websites een php-backdoor installeren. De backdoor geeft aanvallers vervolgens volledige controle over de website, zo meldt securitybedrijf Wordfence. De ontwikkelaars van de drie plug-ins hebben na ontdekking van de aangevallen zeroday-lekken inmiddels updates uitgebracht en WordPress-beheerders die het betreft krijgen het advies die zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers van Google hebben meerdere kwetsbaarheden in de dns-software Dnsmasq ontdekt waardoor een aanvaller in het ergste geval op afstand willekeurige code kan uitvoeren of een denial of service veroorzaken. Dnsmasq is een lichtgewicht dns-forwarder en dhcp-server en kan op Linux, BSD, Android en macOS draaien en is aan de meeste Linux-distributies toegevoegd. Het wordt door allerlei systemen gebruikt, van Linux-desktops zoals Ubuntu tot thuisrouters, Internet of Things-apparaten en smartphones. In totaal ontdekten de Google-onderzoekers zeven beveiligingslekken die inmiddels door de beheerder van Dnsmasq zijn gepatcht. Daarnaast is de patch onder leveranciers verspreid, zodat die de update onder hun gebruikers kunnen uitrollen. Google laat weten dat Android-partners de update ook hebben ontvangen en dat die aan de Android-updates van oktober zal worden toegevoegd. bron: security.nl

Google zal volgende maand een nieuwe dienst lanceren die de Gmail-accounts van onder andere politici en topmanagers tegen gerichte aanvallen moet beschermen. Dat meldt persbureau Bloomberg op basis van bronnen. Het Advanced Protection Program, zoals de dienst gaat heten, moet voorkomen dat onbevoegden toegang Gmail-accounts en Google Drive krijgen. Op dit moment kunnen Gmail-gebruikers al een extra beveiligingsmaatregel voor hun account instellen, zoals het bevestigen van een inlogpoging via een telefoonprompt, het invoeren van sms-code, het invoeren van een code die via de Google Authenticator is gegenereerd of het gebruik van een fysieke usb-sleutel. Deze Security Key fungeert als een tweede beveiligingsfactor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het USB-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is. Om in te loggen op accounts die via het Advanced Protection Program zijn beschermd zal er naast een fysieke usb-sleutel ook een tweede fysieke sleutel nodig zijn. Om wat voor sleutel het precies gaat is nog niet duidelijk. De nieuwe dienst zorgt er ook voor dat third-party programma's geen toegang tot de e-mails of bestanden van de gebruiker krijgen. Bloomberg laat verder weten dat het programma continu van nieuwe features zal worden voorzien om de gegevens van gebruikers te beschermen. bron: security.nl

Het Centrum voor Cybersecurity (CCB) van de Belgische overheid heeft alle internetgebruikers opgeroepen om phishingmails door te sturen en vervolgens te verwijderen, zo laat persbureau Belga weten. De doorgestuurde e-mails zullen automatisch door het CCB worden onderzocht. In het geval de phishingmails verdachte links bevatten worden die met browserontwikkelaars gedeeld, zodat die hun gebruikers kunnen beschermen. Zijn er ook bijlagen met de phishingmail meegestuurd, dan worden die met anti-virusbedrijven gedeeld. Phishingmails kunnen naar het adres verdacht@safeonweb.be worden doorgestuurd. Een maand lang vindt er in België een campagne plaats die gebruikers voor phishing waarschuwt. In juni van dit jaar meldde Febelfin, de overkoepelende organisatie van Belgische banken, dat er een sterke stijging van het aantal slachtoffers van fraude met internetbankieren is. In de eerste drie maanden ging het om 852 slachtoffers, meer dan alle slachtoffers van 2015 en 2016 bij elkaar opgeteld. Volgens Febelfin werden alle slachtoffers via phishingaanvallen gemaakt. Het gaat dan om aanvallen waarbij ontvangers wordt gevraagd hun bankkaart op te sturen of hun pincode op een phishingsite in te voeren. Ook komt het voor dat oplichters mensen thuis bellen en zich als een bankmedewerker voordoen. bron: security.nl

Het Internet Bug Bounty (IBB), een initiatief dat zich inzet voor het veiliger maken van de kerninfrastructuur van het internet, heeft een geldbeloning uitgeloofd voor onderzoekers die ernstige kwetsbaarheden in ImageMagick, TCPdump en andere belangrijke dataverwerkingsbibliotheken rapporteren. Kwetsbaarheden in deze softwarebibliotheken kunnen vergaande gevolgen hebben voor de internetgemeenschap. Zo werd vorig jaar nog een kwetsbaarheid in ImageMagick gebruikt om websites mee aan te vallen. ImageMagick is een softwarebibliotheek voor het verwerken van afbeeldingen en wordt door een groot aantal websites en progamma's gebruikt. Naast ImageMagick en TCPdump vallen curl, libpcap, libpng en GraphicsMagick onder het nu aangekondigde beloningsprogramma. Onderzoekers die deelnemen moeten naast het vinden van de kwetsbaarheid ook een exploit ontwikkelen waarmee wordt aangetoond dat het eenvoudig is om de kwetsbaarheid op afstand aan te vallen. Er is geen maximum gesteld aan de geldbeloning die wordt uitgekeerd. Het Internet Bug Bounty wordt gesponsord door Facebook, GitHub, Ford Foundation, Microsoft en HackerOne. bron: security.nl

Netgear heeft in september 52 beveiligingsbulletins uitgebracht voor kwetsbaarheden in routers, modems, switches en NAS-apparaten. Eén van de belangrijkste updates is voor de WNR2000v5-router verschenen. De update verhelpt een lek waardoor een aanvaller op afstand code kon uitvoeren. Een ander ernstig probleem dat vorige maand werd gepatcht betrof command injection in ReadyNAS Surveillance-apparaten, R7800- en R9000-routers, verschillende draadloze access points, ReadyNAS OS 6-apparaten en een groot aantal routers en modemrouters. Hierdoor had een aanvaller kwaadaardige commando's op de apparaten kunnen uitvoeren. Een beveiligingslek in de R6700v2-, R6800- en D7000-routers maakte het voor een aanvaller mogelijk om het wachtwoord van de beheerder te achterhalen. In het geval van de R6400v2-, R7000P/R6900P-, R7900-, R8300-, R8500- en D8500-routers zorgde een kwetsbaarheid ervoor dat een aanvaller willekeurige bestanden op de router hadden kunnen uitlezen. Een ander ernstig probleem bij 17 routermodellen maakte het mogelijk om de authenticatie te omzeilen. De andere problemen zijn minder ernstig van aard en betreffen kwetsbaarheden zoals denial of service, misconfiguraties en cross-site scripting. Eigenaren van Netgear-apparaten kunnen via de security-pagina het overzicht van uitgekomen beveiligingsbulletins bekijken en op hun model zoeken. bron: security.nl

Een beveiligingslek in Internet Explorer 11 zorgt ervoor dat websites de inhoud van de adresbalk, zoals zoekopdrachten die de gebruiker invoert, kunnen achterhalen. Het probleem doet zich voor als er een script binnen een object-html-tag wordt uitgevoerd en de pagina de compatibility meta-tag bevat. Dit zorgt ervoor dat de inhoud van wat de gebruiker in de adresbalk invoert wordt teruggegeven. "In andere woorden, als we de location.href van het object achterhalen terwijl de gebruiker de hoofdpagina verlaat, weten we wat hij in de adresbalk heeft getypt, of, als hij op een link klikte, weten we het adres van de link waar de browser naar toe gaat", aldus onderzoeker Manuel Caballero die het probleem ontdekte. Caballero heeft Microsoft niet over de kwetsbaarheid ingelicht. Via deze pagina wordt het beveiligingslek gedemonstreerd.

Anti-virusbedrijf Bitdefender heeft vandaag een gratis tool gelanceerd die helpt bij het identificeren van ransomware op computers en de beschikbaarheid van een decryptietool. De Ransomware Recognition Tool analyseert zowel een versleuteld bestand als de ransomware-melding met de instructies voor het slachtoffer. Vervolgens kijkt de tool of er een decryptietool beschikbaar is om de versleutelde bestanden kosteloos te ontsleutelen. De inhoud van de ransomware-melding wordt naar Bitdefender gestuurd. Dat geldt niet voor de inhoud van het versleutelde bestand. De tool kijkt alleen naar de bestandsnaam en extensie. In het geval er geen decryptietool beschikbaar is laat het programma dit ook weten. Verschillende websites bieden een soortgelijke dienst. Zo is er het No More Ransom-project dat de Nederlandse politie, Europol en anti-virusbedrijven Kaspersky Lab en McAfee vorig jaar juli lanceerden en de website ID Ransomware waar slachtoffers kunnen kijken door welke ransomware ze zijn getroffen. bron: security.nl

Netwerkfabrikant D-Link heeft meerdere beveiligingslekken in de 850L-router gepatcht waardoor een aanvaller in het ergste geval kwetsbare apparaten kon overnemen. De kwetsbaarheden waren door onderzoeker Pierre Kim openbaar gemaakt, zonder dat D-Link hierover was geïnformeerd. De onderzoeker was niet tevreden met de reactie van D-Link op eerder onderzoek dat hij publiceerde, waarop hij tot 'full-disclosure' overging. Nog geen twee weken na het openbaar maken van de kwetsbaarheden in de 850L-router heeft D-Link de beveiligingslekken nu gepatcht. "Ik ben blij verrast met de resultaten van het openbaren van zero-days zonder gecoördineerde disclosure als het om D-Link-producten gaat", aldus Kim. Hij hoopt echter dat D-Link in de toekomst net zo snel op gecoördineerde bugmeldingen zal reageren. Daarnaast waarschuwt de onderzoeker dat hij over een ernstig beveiligingslek in de 850L-router beschikt dat hij nog niet openbaar heeft gemaakt.

Opera heeft op de eigen website een nieuwe downloadsectie met 'essentiele software' gelanceerd. Aanleiding voor het maken van de downloadsectie is dat mensen steeds meer moeite hebben om betrouwbare software voor hun computers te vinden, zegt Blazej Kazmierczak van Opera. Veel downloadsites bevatten misleidende downloadknoppen voor ongewenste programma's en tonen vervelende advertenties die adware of malware proberen te verspreiden, aldus Kazmierczak. Gebaseerd op de voorkeuren van Opera-medewerkers, de populariteit en kwaliteit van software, is er een verzameling met 'essentiele software' samengesteld. De 'Opera Apps Hub' bevat geen advertenties of andere downloads en de software wordt direct bij de softwareontwikkelaar in kwestie gedownload. "De Opera Apps Hub biedt je een selectie van essentiële applicaties voor je pc. Zodoende kun je eenvoudig kwaliteitssoftware direct bij de ontwikkelaar downloaden", zegt Kazmierczak. De applicaties zijn in verschillende categorieën onderverdeeld, zoals tools, security, office, add-ons, graphics, internet, communicatie, multimedia, drivers en file sharing. Opera heeft besloten om het aantal applicaties per categorie te beperken, zodat gebruikers direct aan de slag kunnen. bron: security.nl

Een nieuwe ransomware-variant vraagt geen bitcoin om slachtoffers toegang tot hun computer te geven, maar eist naaktfoto's. Onderzoekers van MalwareHunterTeam plaatsten op Twitter een screenshot van de ransomware die zichzelf 'nRansom' noemt. Volgens de tekst die de ransomware laat zien is de computer vergrendeld en kan die alleen via een speciale code worden ontgrendeld. Om deze code te verkrijgen moet er eerst een e-mailaccount bij ProtonMail worden aangemaakt. Vervolgens moeten naar een ander ProtonMail-adres tien naaktfoto's worden gestuurd. "Hierna moeten we verifiëren dat de naaktfoto's ook echt van jou zijn", laten de instructies verder weten. Tevens speelt de ransomware in de achtergrond een mp3-bestand. Hoe de ransomware wordt verspreid is onbekend. 32 van de 64 virusscanners op VirusTotal weten de malware inmiddels te detecteren. Het lijkt hier niet om ransomware te gaan die bestanden versleutelt, maar alleen de computer vergrendelt, ook wel een screenlocker genaamd. bron: security.nl

Google heeft een opensource-beveiligingstool ontwikkeld waarmee het 31 beveiligingslekken in Chrome, Edge, Firefox, Internet Explorer en Safari heeft gevonden. De tool, Domato genaamd, richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd. De DOM-engines in browsers zijn volgens Ivan Fratric van Google een voorname bron van beveiligingslekken. Veel van deze kwetsbaarheden zijn eenvoudig te vinden via een fuzzer, aldus Fratric. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Fratric ontwikkelde Domato om de DOM-engines van Chrome, Edge, Firefox, Internet Explorer en Safari te testen. Dit leverde in totaal 31 unieke kwetsbaarheden op, waarvan 17 in Safari. Via de kwetsbaarheden zou een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren, bijvoorbeeld als er een kwaadaardige of gehackte website zou worden bezocht. Volgens Fratric is het aantal kwetsbaarheden in Safari, in vergelijking met de andere browsers, zorgwekkend. Zeker gezien de interesse van aanvallers in het platform, zoals blijkt uit de beloningen voor zeroday-exploits en recente gerichte aanvallen op iOS. De kwetsbaarheden die via Domato zijn gevonden zijn inmiddels allemaal gepatcht. Daarnaast heeft Google de fuzzer via GitHub open source gemaakt, zodat browserontwikkelaars en onderzoekers ermee aan de slag kunnen gaan. bron: security.nl

Een zeroday-lek in .NET dat Microsoft vorige week patchte en eerst werd gebruikt om de FinFisher-spyware te verspreiden wordt nu voor de verspreiding van andere malware gebruikt. Daarvoor waarschuwt Brad Duncan, handler bij het Internet Storm Center. Het gaat om een beveiligingslek in .NET dat met de code CVE-2017-8759 wordt aangeduid. De kwetsbaarheid werd al voor het uitkomen van een update aangevallen. Precies een week na het uitkomen van de update is er een aanval waargenomen waarbij het beveiligingslek opnieuw wordt aangevallen. Het gaat om een .doc-bestand dat als e-mailbijlage wordt verstuurd en van de Argentijnse overheid afkomstig lijkt. In het geval het document op een kwetsbare Windowscomputer wordt geopend zal de Betabot-malware worden geïnstalleerd, waarmee een aanvaller volledige controle over de computer krijgt. Hoewel de update nu iets meer dan een week beschikbaar is zijn volgens Duncan veel organisaties traag met het uitrollen van updates. Organisaties moeten er dan ook rekening mee houden dat het hier om een actief aangevallen beveiligingslek gaat, aldus Duncan. Hij verwacht dat de exploit uiteindelijk op grote schaal via kwaadaardige spamberichten zal worden verspreid. bron: security.nl

De ontwikkelaar van Adblock Plus heeft een filter ontwikkeld om crypto-miners te blokkeren die de browser naar cryptocurrencies laten minen. De crypto-miner bestaat uit JavaScript-code die door de browser wordt uitgevoerd en de rekenkracht van de computer inzet voor het minen van bijvoorbeeld de digitale valuta Monero. The Pirate Bay kondigde onlangs aan dat het een experiment met crypto-miners is gestart om advertenties te vervangen. "Misschien vind je dat prima, maar waarschijnlijk niet", zegt Ben Williams van eyeo, de ontwikkelaar van Adblock Plus. Op het blog van de adblocker is nu een uitleg geplaatst hoe gebruikers crypto-miners via een filter kunnen blokkeren. Dit filter moet handmatig worden aangemaakt, aangezien het nog niet aanwezig is in één van de lijsten waar Adblock Plus-gebruikers zich op kunnen abonneren. Onlangs verscheen er ook al een Chrome-extensie om crypto-miners te blokkeren, terwijl Google een extensie van de Chrome Web Store verwijderde waarin een crypto-miner zat verborgen. Naast The Pirate Bay zijn er op andere websites kwaadaardige advertenties met crypto-miners gesignaleerd die alle beschikbare rekenkracht in beslag nemen. bron: security.nl

Honderden bedrijven zijn kwetsbaar voor een hack waarbij een aanvaller door het aanmaken van een support-ticket toegang tot allerlei gevoelige systemen kan krijgen. Dat ontdekte de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Via een paar muisklikken is het mogelijk om toegang tot intranetten, socialmedia-accounts en Yammer- en Slack-teams te krijgen, aldus de onderzoeker die zijn aanval "Ticket Trick" noemt. Populaire zakelijke communicatietools zoals Slack, Yammer en Facebook Workplace verplichten dat werknemers zich registreren via hun zakelijke e-mailadres. De werknemer ontvangt na de registratie op zijn zakelijke e-mailadres een e-mail met een verificatielink. Zodra de link wordt geopend kan hij toegang tot de communicatietool en interne communicatie krijgen. Er zijn echter verschillende methoden om deze authenticatie te omzeilen. Als voorbeeld noemt De Ceukelaire het Slack-team van GitLab, waar alleen medewerkers met een @gitlab.com e-mailadres zich voor kunnen registreren. Iets waar de onderzoeker geen beschikking over heeft. GitLab biedt gebruikers via de supportpagina echter de mogelijkheid om problemen te rapporteren en daarvoor een apart @gitlab.com e-mailadres aan te maken. Met dit e-mailadres kon de onderzoeker zich vervolgens voor het Slack-team van GitLab registreren. Een andere mogelijkheid zijn de support-portals die bedrijven gebruiken. Gebruikers kunnen hier support-tickets voor problemen aanmaken. Het e-mailadres dat de gebruiker opgeeft om zich voor de support-portal te registreren wordt in veel gevallen niet geverifieerd. Een gebruiker hoeft alleen een e-mailadres op te geven en een wachtwoord en het account wordt aangemaakt. Zodoende kan iemand zich aanmelden met elk willekeurig e-mailadres en elk support-ticket dat door het e-mailadres is aangemaakt lezen. De Ceukelaire gebruikte deze methode om toegang tot het Slack-team van videosite Vimeo te krijgen. Hiervoor maakte hij op de support-pagina van Vimeo een account aan met het hetzelfde e-mailadres dat Slack gebruikt om de verificatielink te sturen, namelijk feedback@slack.com. Vervolgens registreerde hij zich bij het Slack-team van Vimeo met het adres support@vimeo.com. Achter de schermen stuurt feedback@slack.com naar support@vimeo.com een e-mail met de verificatielink. Support@vimeo.com ontvangt de e-mail en beschouwt dit als een support-ticket dat door feedback@slack.com is aangemaakt, het e-mailadres waarmee De Ceukelaire zich bij de support-pagina heeft aangemeld. Door op de support-pagina in te loggen kan hij vervolgens het 'ticket' zien en zo toegang tot de verificatielink krijgen. Volgens de onderzoeker lopen bedrijven risico waar het mogelijk is om via e-mail support-tickets aan te maken en als support-tickets toegankelijk zijn voor gebruikers met niet geverifieerde e-mailadressen. Het probleem doet zich ook voor bij openbare 'issue-trackers' die een uniek @company.com e-mailadres bieden om informatie in een ticket, forumpost, privébericht of gebruikersaccount te zetten. De Ceukelaire stelt dat honderden bedrijven kwetsbaar zijn. Hij heeft besloten de details van de aanval te openbaren, aangezien het onmogelijk is om alle organisaties zelf te informeren. bron: security.nl

Acht populaire WordPress-plug-ins met honderdduizenden installaties zijn over een periode van 4,5 jaar gebruikt voor het injecteren van spam op allerlei websites. De plug-ins werden door de ontwikkelaars aan de spammer verkocht of ze gingen met hem een partnerschap aan. Zo kreeg de spammer toegang tot de plug-ins en kon hij zijn code toevoegen of leverde hij die aan. De code injecteerde spam op WordPress-websites die de plug-ins hadden geïnstalleerd. Zo werd er onder andere reclame voor escortbureaus en leningen gemaakt. Bij sommige plug-ins moesten webmasters eerst met vage overeenkomsten akkoord gaan dat hun website voor spam zou worden gebruikt. Bij andere plug-ins gebeurde dit zonder toestemming van de webmaster. Securitybedrijf Wordfence ontdekte dat de spammer al sinds 2013 op deze manier actief is. Eén van de getroffen plug-ins is Display Widgets, die onlangs al in het nieuws kwam. Daarnaast gaat het om 404 to 301, WP Slimstat, WP Maintenance Mode, Menu Image, NewStatPress, Weptile Image en No Comment. De laatste twee zijn inmiddels uit de database met WordPress-plug-ins verwijderd. De overige plug-ins bevatten inmiddels geen spamcode meer. Volgens Wordfence is het belangrijk dat eigenaren van een WordPress-site de gebruikersovereenkomst van de plug-in die ze willen installeren helemaal lezen, en dan met name het einde. In het geval van de spammer had die de vermelding voor het plaatsen van spam op websites helemaal aan het einde van de overeenkomst geplaatst. Daarnaast kunnen webmasters bijhouden of plug-ins die ze voor hun WordPress-website hebben geïnstalleerd uit de WordPress-repository zijn verwijderd. bron: security.nl