Captain Kirk

De anti-virussoftware van Avast blijkt na een update bij allerlei gebruikers de internettoegang te blokkeren, waardoor websites niet meer kunnen worden bezocht en Windows geen updates kan downloaden. Op het forum van de anti-virusleverancier zijn tal van klagende gebruikers vandaag te vinden. Het probleem lijkt in Web Shield te zitten, een onderdeel van de anti-virussoftware dat de inhoud van webverkeer scant. Gebruikers laten weten dat zodra ze deze functie uitschakelen ze weer internettoegang hebben. De problemen doen zich voor bij de update naar versie 17.4.2294. Een herinstallatie van de software zou het probleem verhelpen. Avast is volgens softwarebedrijf Opswat de populairste anti-virusleverancier. Vorig jaar nam het concurrent AVG voor een bedrag van 1,3 miljard dollar over. bron: security.nl

Sommige virusscanners van derde partijen hinderen de installatie van een zeer belangrijke update voor Windows Defender, de in Windows ingebouwde anti-virussoftware. Deze week patchte Microsoft een ernstige kwetsbaarheid in de eigen beveiligingssoftware waardoor aanvallers systemen op afstand kunnen overnemen. Er is daarbij geen interactie van gebruikers vereist. Een aanvaller hoeft alleen een e-mail te versturen. Op systemen waar gebruikers een virusscanner van een derde partij gebruiken blijkt de installatie van de update niet zo eenvoudig te zijn. Verschillende pakketten, zoals die van Avast, Norton en Trend Micro, blijken Windows Defender namelijk uit te schakelen en het inschakelen gaat niet zonder slag of stoot, zo blijkt uit vragen op de website Ask Woody. Gebruikers melden dat ze onder andere met de foutmelding " 0x800704ec" te maken krijgen. De oplossing blijkt te liggen in het doorvoeren van een aanpassing in het Windows Register, zodat Windows Defender wel kan worden gestart en vervolgens de update kan downloaden. Systemen waar Windows Defender de primaire virusscanner is hebben de update automatisch ontvangen. bron: security.nl

Een beveiligingslek in Microsoft Edge maakt het voor kwaadaardige websites mogelijk om Facebook-, Twitter- en andere in de browser opgeslagen wachtwoorden te stelen, alsmede cookiegegevens, zo heeft de Argentijnse beveiligingsonderzoeker Manuel Caballero gedemonstreerd. De Same Origin Policy (SOP) moet voorkomen dat een geopende website informatie van andere domeinen kan benaderen. Caballero slaagde er echter in om deze beveiligingsmaatregel binnen Edge te omzeilen. Daardoor is het voor een kwaadaardige website mogelijk om een wachtwoordformulier op een ander domein te injecteren. De Edge-wachtwoordmanager zal vervolgens via autocomplete automatisch de inloggegevens voor dit domein invoeren. De kwaadaardige website krijgt zo de inloggegevens in handen. Voorwaarde is wel dat een gebruiker Edge gebruikt en zijn wachtwoorden via de wachtwoordmanager van de browser heeft opgeslagen. Ook is het mogelijk om via de aanval cookiegegevens te stelen, zoals Caballero in een video en speciaal gemaakte website demonstreert. "Microsoft Edge maakt grote vorderingen als het om geheugencorruptie en sandboxing gaat, maar basale ontwerpproblemen zijn nog steeds aanwezig", aldus de onderzoeker. Hij heeft Microsoft niet van tevoren over de publicatie en kwetsbaarheid ingelicht, wat inhoudt dat Edge-gebruikers nog steeds kwetsbaar zijn. bron: security.nl

Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip. HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt. Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen. "Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren. Geen opzet "Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt. Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten. bron: security.nl

Duizenden WordPress-sites zijn kwetsbaar voor aanvallers omdat ze oude plug-ins gebruiken die beveiligingslekken bevatten en niet meer door de oorspronkelijke ontwikkelaar worden onderhouden. Via WordPress.org worden meer dan 37.000 plug-ins aangeboden die allerlei extra functionaliteit aan een website toevoegen. Ruim 17.000 van deze plug-ins hebben de afgelopen 2 jaar geen update ontvangen. Bijna 14.000 plug-ins zeggen compatibel te zijn met WordPress 3.x. WordPress 4.0 verscheen in september 2014. Verder ontdekten onderzoekers 4.000 plug-ins die sinds 2010 niet meer zijn bijgewerkt. Beveiligingsbedrijf Wordfence analyseerde de plug-ins en ontdekte 18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden. Verder werden vier plug-ins gevonden waarin een beveiligingslek is gepatcht, alleen de update werd op zo'n manier uitgebracht dat bestaande gebruikers niet automatisch naar de nieuwste versie zijn geüpgraded. De kwetsbare plug-ins hebben bij elkaar 37.000 installaties. Beheerders van WordPress-sites die een kwetsbare plug-in gebruiken krijgen het advies die uit te schakelen en contact met de ontwikkelaar op te nemen over eventuele support. bron: security.nl

Microsoft heeft dinsdag updates voor Edge en Internet Explorer uitgebracht die ervoor zorgen dat https-sites met een sha-1-certificaat niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. Een aanleiding om sha-1-certificaten te blokkeren is dat sha-1 kwetsbaar is voor collision-aanvallen. Bij zo'n aanval kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening als het origineel hebben. Met zo'n certificaat is het mogelijk om spoofing-, phishing- en man-in-the-middle-aanvallen uit te voeren. Edge- en IE-gebruikers die nu een website met een sha-1-certificaat bezoeken krijgen een melding te zien dat de website een ongeldig certificaat gebruikt. Gebruikers hebben nog wel de mogelijkheid om de website te bezoeken. Verder is Microsoft van plan om internetgebruikers te waarschuwen over de risico's van het downloaden van software die met een sha-1-certificaat is gesigneerd. De softwaregigant wil ervoor zorgen dat alle applicaties op Windows gebruikers straks voor zwakke cryptografie zoals sha-1 kunnen waarschuwen. Uiteindelijk wil Microsoft sha-1 nergens meer binnen Windows vertrouwen. Afhankelijk van de ontwikkelingen met betrekking tot het aanvallen van sha-1 zal de planning hierop worden afgestemd. bron: security.nl

Asus heeft in 30 wifi-routers kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval toegang tot de apparaten konden krijgen en het mogelijk was om het wifi-wachtwoord te stelen. De problemen speelden in de RT-routers van Asus. De routers beschikken net als veel andere routers over een webinterface. Deze webinterface is toegankelijk voor het lokale netwerk, maar niet voor het internet. De interface bleek kwetsbaar voor cross-site request forgery. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Via een ander probleem was het mogelijk om het wifi-wachtwoord te achterhalen. Asus werd eind januari ingelicht en kwam eind maart met updates. De onderzoekers die de problemen vonden hebben nu de details openbaar gemaakt. Ze stellen wel dat de aanvallen alleen mogelijk zijn als de aanvaller het lokale ip-adres van de router weet. Dit zou echter kunnen worden geraden of via WebRTC worden achterhaald. De firmware-updated van Asus verhelpen ook nog drie andere kwetsbaarheden waardoor het mogelijk was om willekeurige code op de router uit te voeren, sessietokens te stelen en JavaScriptcode in de webinterface uit te voeren. Ook zijn er logberichten voor bruteforce-aanvallen toegevoegd. bron: security.nl

Tal van websites maken gebruik van een wachtwoordmeter om gebruikers te laten zien hoe zwak of sterk hun wachtwoord is, maar onderzoekers van de Carnegie Mellon University en de University of Chicago hebben nu een nieuw soort wachtwoordmeter ontwikkeld die veel beter zou moeten werken. "In plaats van een meter die zegt 'Je wachtwoord is slecht', dachten we dat het handiger was als de meter vertelde waarom het slecht is en wat er beter kan worden gedaan", zegt onderzoeker Nicolas Christin van de Carnegie Mellon University. De wachtwoordmeter maakt gebruik van een kunstmatig neuraal netwerk. Het netwerk "leert" door miljoen bestaande wachtwoorden te scannen en trends te vinden. Als de meter een eigenschap in een wachtwoord ontdekt dat aanvallers kunnen raden geeft het gebruikers een waarschuwing. "De manier waarop aanvallers wachtwoorden raden is door patronen in grote datasets van gestolen wachtwoorden te analyseren", zegt onderzoeker Blase Ur van de University of Chicago. "Als je bijvoorbeeld de letter E door een 3 in je wachtwoord verandert zal dat een aanvaller niet foppen. De meter zal uitleggen hoe vaak deze vervanging voorkomt en je advies geven wat je dan wel kunt doen." Deze feedback wordt in realtime gegeven, bij elke letter die de gebruiker invoert. De onderzoekers lieten 4500 mensen de wachtwoordmeter testen bij het maken van een wachtwoord. Het onderzoek naar de meter en het gebruik ervan wordt vandaag tijdens de CHI 2017-conferentie gepresenteerd. Volgens Ur zorgt de nieuwe meter ervoor dat gebruikers sterkere wachtwoorden kiezen die net zo goed te onthouden zijn als wachtwoorden die zonder de feedback worden gemaakt. Een demonstratie van de wachtwoordmeter staat inmiddels online. De code van de Password Meter is via GitHub open source gemaakt. bron: security.nl

Opera heeft vandaag een vernieuwde browser gelanceerd onder de codenaam "Reborn" die allerlei nieuwe features en verbeteringen bevat. Eerder dit jaar kwam de browserontwikkelaar al met een conceptbrowser genaamd "Neon". Verschillende onderdelen van Neon zijn nu aan Opera toegevoegd. Volgens Opera is het de hoogste tijd om opnieuw over de browser na te denken. "Sociale messengers hebben ons leven compleet veranderd, door ons op hetzelfde moment te laten werken, nieuwe dingen te ontdekken en te laten communiceren. Deze verschuiving is door de smartphone gekomen, maar desktops en laptops, die in theorie krachtigere multitaskingtools zijn, zijn achtergebleven", zegt Krystian Kolondra van Opera. De nieuwe Opera-browser combineert dan ook browsen en chatten. Verder biedt Opera gebruikers nu meer controle over het blokkeren van advertenties. De ingebouwde adblocker kan per pagina worden in- of uitgeschakeld. Daarnaast is het beheer van te blokkeren advertenties veranderd. Standaard worden de blocklists genaamd Easylist en EasyPrivacy geladen, maar gebruikers kunnen ook regionale of aangepaste lijsten laden. Verder waarschuwt Opera ook voor het invoeren van wachtwoorden of creditcardgegevens op http-sites. Volgens StatCounter heeft Opera op de desktop een wereldwijd marktaandeel van 2 procent. In Nederland wordt de browser door 5 procent van de desktopgebruikers gebruikt. bron: security.nl

Cisco heeft een ernstig beveiligingslek in honderden routers en switches gedicht dat mogelijk door de CIA is gebruikt om toegang tot systemen te krijgen. De kwetsbaarheid kwam aan het licht na analyse van de CIA-documenten die in maart door WikiLeaks onder de naam "Vault 7" op internet werden geplaatst. Het gaat om een kwetsbaarheid in het Cisco Cluster Management Protocol (CMP) van Cisco IOS en Cisco IOS XE, het besturingssysteem dat op de routers, firewalls en switches van Cisco draait. Via het beveiligingslek zou een aanvaller op afstand en zonder inloggegevens willekeurige code met verhoogde rechten kunnen uitvoeren en zo volledige controle over het apparaat krijgen. Een aanvaller zou het lek kunnen aanvallen door bij het opzetten van een Telnet-sessie geprepareerde CMP-specifieke Telnet-opties mee te sturen. Op een schaal van van 1 tot en met 10 is de ernst van het lek met een 9,8 beoordeeld. In totaal zijn ruim 300 routers en switches kwetsbaar. Beheerders krijgen dan ook het advies om de updates zo snel als mogelijk te installeren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van mei 46 beveiligingslekken gepatcht, waaronder drie zerodaylekken in Windows, Microsoft Office en Internet Explorer die actief werden aangevallen om computers over te nemen voordat er een update van de softwaregigant beschikbaar was. Via de kwetsbaarheid in Internet Explorer 11 en Microsoft Office kon een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een kwaadaardige website of een kwaadaardig EPS-bestand opende. Via het lek in de Windowskernel kon een aanvaller zijn rechten op het systeem verhogen en code met kernelrechten uitvoeren. Ook heeft Microsoft kwetsbaarheden in Internet Explorer en Microsoft Edge gedicht die al voor het verschijnen van de update bekend waren gemaakt, maar volgens Microsoft niet zijn aangevallen. Het gaat om een IE-lek waardoor waarschuwingen voor http-content op https-sites konden worden omzeild. In het geval van Edge kon een kwaadaardige internetsite acties in de context van de Intranet Zone uitvoeren. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is Microsoft gestopt met het aanbieden van updates voor de eerste versie van Windows 10 die in juli 2015 werd uitgebracht. Gebruikers en organisaties die nog met deze versie van het besturingssysteem werken krijgen het advies om naar de nieuwste versie te updaten. Update Microsoft patchte ook een ander lek in Office dat bij "beperkte gerichte aanvallen" is gebruikt, wat zou inhouden dat er 4 zerodaylekken deze maand zijn gepatcht. Bij de details van de update stelt Microsoft echter dat de kwetsbaarheid niet is aangevallen voordat de update verscheen. bron: security.nl

De populaire e-mailclient Thunderbird, die door Mozilla werd ontwikkeld, zal deels van de opensource-ontwikkelaar afscheid nemen. De eerste volledige versie van Thunderbird verscheen in 2004. De software, die 25 miljoen gebruikers heeft, maakt grotendeels gebruik van dezelfde engine en code als Firefox. In 2015 kondigde Mozilla al aan dat het Thunderbird van Firefox wil loskoppelen, waarbij er naar andere partijen werd gezocht die in de e-mailclient wilden investeren. Nu is het onderzoek naar deze loskoppeling afgerond. Mozilla zal de juridische en financiële basis van Thunderbird blijven, maar de e-mailclient zal niet meer van de Mozilla-infrastructuur gebruikmaken. Zodoende worden de operationele aspecten van het project losgekoppeld. "Hoewel Mozilla zich helemaal wil richten op het succes van Firefox, blijkt uit recente discussies dat ze Thunderbird graag zien slagen. In veel opzichten is er nu meer behoefte aan onafhankelijk en veilige e-mail dan ooit tevoren. Zolang Thunderbird de ontwikkeling van Firefox niet hindert lijken er geen grote obstakels te zijn dat beide naast elkaar kunnen blijven bestaan", zegt Mozilla's Philipp Kewisch, die ook bij de ontwikkeling van Thunderbird is betrokken. Er werd ook gekeken of Thunderbird naar een andere organisatie moest verhuizen, maar dat zou bij het oplossen van technische problemen en het opzetten van een sterk Thunderbird-team een te grote afleiding zijn. "Hoewel we hopen om op de lange termijn onafhankelijk van Gecko te worden, is het in het belang van Thunderbird om zo dicht bij Mozilla als mogelijk te blijven", aldus Kewisch. Gecko is de render-engine van Firefox. Mozilla wil grote aanpassingen aan deze engine doorvoeren, wat gevolgen voor Thunderbird zal hebben. Door nauw met het Firefox-team te blijven samenwerken kunnen door Gecko veroorzaakte compatibiliteitsproblemen sneller worden opgelost. De Thunderbird Council, die verantwoordelijk is voor de e-mailclient, zegt optimistisch te zijn over de toekomst. Nu de organisatorische zaken zijn geregeld kan men zich op de technische uitdagingen richten. Op de middellangetermijn zal Thunderbird op Gecko gebaseerd blijven, maar voor de lange termijn wordt er naar "webtechnologieën" als oplossing gekeken. Onlangs verschenen al plannen om Thunderbird op JavaScript te baseren. Dit zal echter de nodige tijd, personeel en planning vereisen. Er wordt dan ook gezocht naar vrijwilligers die hierbij willen helpen. "Zodat de wereld de beschikking blijft hebben over een veilige opensource-e-mailclient waarop het kan vertrouwen", besluit Kewisch. bron: security.nl

Wereldwijd lopen meer dan 120.000 ip-camera's risico om onderdeel van een nieuw Internet of Things-botnet te worden genaamd Persirai. Daarvoor waarschuwt het Japanse anti-virusbedrijf Trend Micro. Het botnet is in staat om meer dan 1000 verschillende cameramodellen aan te vallen. Besmette apparaten worden gebruikt voor het uitvoeren van ddos-aanvallen. Om de camera's aan te vallen maken de aanvallers verbinding via tcp-poort 81. Vervolgens wordt er een kwetsbaarheid gebruikt die afgelopen maart werd geopenbaard, maar nog altijd niet is gepatcht. De ip-camera's zijn door een Chinese fabrikant gemaakt en worden vervolgens door andere bedrijven onder verschillende namen, merken en functies verkocht. Zodra de malware toegang tot een ip-camera heeft verkregen verwijdert die zichzelf en draait alleen nog in het geheugen. Persirai maakt een aanpassing aan de code van de camera's, zodat het beveiligingslek niet meer door andere malware en aanvallers is aan te vallen. Als de camera echter wordt herstart zal de malware weer verdwijnen en is het apparaat weer lek. Onderzoekers vonden via de Shodan-zoekmachine 122.000 ip-camera's die via internet toegankelijk en kwetsbaar zijn. Ip-camera's maken vaak van Universal Plug and Play (UPnP) gebruik, waardoor de apparaten zonder dat gebruikers dit weten een poort op de router kunnen openzetten. Dat maakt ze echter kwetsbaar voor aanvallers. Gebruikers krijgen dan ook het advies om UPnP op hun router uit te schakelen, zodat de apparaten niet onopgemerkt via internet benaderbaar zijn. bron: security.nl

In 2013 begon Yahoo een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden melden en sindsdien heeft de internetgigant meer dan 2 miljoen dollar uitgekeerd. Vorig jaar beloonde Yahoo bijna 200 onderzoekers die lekken in de websites en apps van het bedrijf rapporteerden. De meeste problemen hadden een kleine impact, aldus de internetgigant, maar sommige waren wel ernstig. Zo werd er onlangs nog een kwetsbaarheid opgelost waardoor het mogelijk was om Flicker-accounts over te nemen. Inmiddels doen meer dan 2.000 onderzoekers en hackers mee aan het beloningsprogramma van Yahoo, verdeeld over meer dan 80 landen, zo laat Yahoo-engineer Andrew Rios weten. Voor het beloningsprogramma maakt Yahoo gebruik van HackerOne. Dit is een door Nederlanders opgericht platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te organiseren en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. bron: security.nl

Is goed. Laat even weten of het gelukt is.

In de ip-camera's en digitale videorecorders van de Chinese fabrikanten Dahua en Hikvision zijn ernstige beveiligingslekken ontdekt waardoor een aanvaller toegang tot de apparaten kan krijgen en vanwege de "grijze markt" kunnen niet alle eigenaren hun apparaten updaten. Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid waarschuwt dat in het geval van de Dahua ip-camera's en digitale videorecorders het zeer eenvoudig is om de kwetsbaarheden vis internet aan te vallen en dat er al exploits beschikbaar zijn. De apparatuur blijkt een wachtwoordhash in plaats van een wachtwoord voor de authenticatie van gebruikers te gebruiken. Daardoor kan een aanvaller de authenticatie omzeilen zonder over het daadwerkelijke wachtwoord te beschikken. Verder blijkt de apparatuur het wachtwoord in het configuratiebestand op te slaan. Een aanvaller kan zich zo voordoen als de beheerder en toegang tot gevoelige informatie krijgen. Dahua heeft nu voor 12 modellen ip-camera's en 3 modellen digitale videorecorders updates uitgebracht, die via de distributeur zijn te verkrijgen. Volgens het ICS-CERT wordt de apparatuur in allerlei vitale sectoren, overheidsgebouwen en transportsystemen gebruikt. Hikvision In het geval van Hikvision gaat het om twee problemen in zeven modellen ip-camera's. Ook deze apparaten blijken het wachtwoord in het configuratiebestand op te slaan. Daarnaast is er een probleem met de authenticatie, waardoor een aanvaller zijn rechten op het systeem kan verhogen en toegang tot gevoelige informatie kan krijgen. De kwetsbaarheden zijn op afstand en met weinig technische kennis aan te vallen. Er zijn echter nog geen exploits openbaar. Ook Hikvision heeft updates beschikbaar gesteld om het probleem te verhelpen. De fabrikant waarschuwt dat er een "grijze markt" is waarbij camera's via ongeautoriseerde kanalen worden verkocht. Deze camera's maken vaak gebruik van ongeautoriseerde firmware die door partijen buiten Hikvision is ontwikkeld. In het geval van camera's die van de grijze markt afkomstig zijn kan het updaten van de firmware met de originele Hikvision-firmware het apparaat in de oorspronkelijke staat herstellen. Gebruikers van deze "grijze markt" camera's die vanwege de ongeautoriseerde firmware hun apparaat niet kunnen updaten blijven echter kwetsbaar voor aanvallen. bron: security.nl

Bijna 1 miljoen Gmail-gebruikers zijn getroffen door de phishingaanval van afgelopen week, zo heeft Google bekendgemaakt. Nog onbekende aanvallers verstuurden een phishingmail die van Google afkomstig leek en claimde dat iemand een document met de ontvanger via Google Docs wilde delen. Als gebruikers de link in het berichten openden kregen ze de vraag of ze een applicatie genaamd "Google Docs" toegang tot hun Google-account wilden gegeven. Verleende de gebruiker deze toestemming, dan werd zijn adresboek gebruikt om de phishingmail naar zijn contacten te versturen. Volgens Google werd minder dan 0,1 procent van de Gmail-gebruikers slachtoffer van de aanval. Vorig jaar februari maakte Google bekend dat het 1 miljard Gmail-gebruikers had. Dat zou inhouden dat zo'n 1 miljoen Gmail-gebruikers slachtoffer van de aanval werden, aldus The Next Web. Na ongeveer een uur werd de aanval gestopt. Google laat weten dat de aanval van contactgegevens gebruikmaakte, maar er verder geen andere data is blootgesteld. Om toegang tot de accounts te krijgen maakte de aanval gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Eind 2011 waarschuwde onderzoeker André DeMarre al dat aanvallers een kwaadaardige app konden maken die zich "Google" noemt en via OAuth toegang tot het account van de gebruiker kon krijgen. Een paar maanden later in 2012 besloot hij Google te waarschuwen, zo meldt de onderzoeker op Hacker News. Naar eigen zeggen kreeg hij een bescheiden beloning voor zijn melding. Google liet de onderzoeker een aantal maanden later weten dat het maatregelen zou uitrollen om dit soort aanvallen tegen te gaan. De internetgigant was echter niet van plan om te controleren dat de opgegeven naam met de url overeenkwam. Iets wat de onderzoeker wel adviseerde. bron: security.nl

Onderzoekers hebben een botnet ontdekt dat uit meer dan 15.000 Windows-servers bestaat en wordt gebruikt voor het minen naar verschillende digitale valuta. De servers worden op verschillende manieren gehackt, zoals oude kwetsbaarheden, onveilige configuraties en zwakke wachtwoorden. Zo worden bekende, zwakke configuraties in phpMyAdmin uitgebuit, alsmede beveiligingslekken in JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL-servers, Apache Tomcat, Oracle Weblogic en andere veelgebruikte diensten. Met name Windows Server 2008-machines zijn getroffen. Meer dan de helft van het botnet draait deze Windows-versie. Als het gaat om locaties zijn de meeste besmette servers in de Verenigde Staten, Brazilië en India aangetroffen. Zodra de aanvallers toegang hebben verkregen wordt er een remote access trojan (RAT) en een "cryptocurrency miner" geïnstalleerd. Afhankelijk van de gezochte digitale valuta wordt er een aparte miner geladen. Daarbij heeft de digitale valuta Monero de voorkeur, maar kan er ook voor ByteCoin, RieCoin of ZCash worden gekozen, zo meldt beveiligingsbedrijf GuardiCore. Het bedrijf biedt een detectie- en verwijderscript aan waarmee beheerders hun servers kunnen controleren. Ook laat het bedrijf zien hoe de infectie handmatig is te verwijderen. bron: security.nl

Microsoft heeft onlangs een spionageaanval tegen grote techbedrijven en financiële organisaties ontdekt waarbij de aanvallers het updatemechanisme van een niet nader genoemd editprogramma gebruikten om de organisaties te infiltreren. De aanvallers hadden het softwarebedrijf dat het editprogramma aanbiedt gehackt. Vervolgens gebruikten ze de updatefunctie van de software om andere organisaties met malware te infecteren. "De softwareontwikkelaar had geen idee van het probleem. Hoewel hun logistieke softwareketen als aanvalsvector tegen andere organisaties werd gebruikt, waren ze zelf ook een doelwit", aldus Elia Florio van het Windows Defender ATP Research Team. "Deze cyberaanval had veel problematischer kunnen zijn als die onopgemerkt was gebleven." Doordat de aanval in een vroeg stadium werd ontdekt kon de impact worden beperkt. Tijdens het forensisch onderzoek van de Temp-map op besmette systemen bleek dat de updater een ongesigneerd bestand downloadde. Het bestand, dat Microsoft als de Rivit Trojan bestempelt, bleek verschillende PowerShell-scripts en een 'reverse shell' te starten waarmee de aanvaller toegang tot de machine kreeg. Verder onderzoek wees uit dat de aanval alleen tegen bepaalde machines was gericht en de meeste machines die het had kunnen infecteren negeerde. Volgens Microsoft is er dan ook sprake van een zorgvuldig geplande aanval. De softwaregigant kon uiteindelijk alle getroffen partijen waarschuwen, alsmede het gehackte softwarebedrijf. Het is niet de eerste keer dat aanvallers via het updatekanaal toeslaan. In het verleden is deze aanvalsvector vaker gebruikt. Microsoft adviseert softwareleveranciers die een automatische updatefunctie aanbieden dan ook om altijd de digitale handtekening te controleren van bestanden die via een updatekanaal zijn gedownload en ze nooit zomaar op het systeem van gebruikers uit te voeren. bron: security.nl

Een team van beveiligingsexperts dat het wachtwoord als inlogmethode wil uitbannen heeft een alternatief genaamd Pico ontwikkeld en het nu voor het eerst op een echte website getest. Pico werd zes jaar geleden al aangekondigd en kwam drie jaar geleden ook al in het nieuws. De inlogmethode wordt met geld van de European Research Council ontwikkeld. Het laat gebruikers zonder dat die een geheim hoeven te onthouden op hun account inloggen. Het enige dat volstaat is "iets" dat de gebruiker heeft. Onlangs werd er voor het eerst een test met een grote website georganiseerd. Twaalf gebruikers van fotodeelsite Gyazo maakten gedurende twee weken van Pico gebruik. Die moesten met hun smartphone een qr-code scannen om in te loggen. Een gebruikersnaam of wachtwoord was niet vereist. De onderzoekers van de Universiteit van Cambridge en Keio University hadden op meer deelnemers aan de test gehoopt, maar zijn blij met de feedback. Deelnemers vonden het idee van Pico namelijk veiliger en eenvoudiger dan wachtwoorden. Sommige gebruikers waren echter niet blij met het scannen van de qr-code. De meeste gebruikers wilden Pico echter op meer websites kunnen gebruiken. In hun rapport over de test stellen de onderzoekers dat Pico in het geval van Gyazo weinig toegevoegde waarde had, aangezien gebruikers op deze website vanwege de lange levensduur van cookies niet vaak hun wachtwoord hoeven in te voeren. De test liet ook zien dat websites ondersteuning van Pico eenvoudig kunnen toevoegen. Zo hoefde de backend-code van Gyazo niet te worden aangepast en was alleen het toevoegen van in-page JavaScript voldoende. Daarnaast konden eindgebruikers zonder het installeren van een browserplug-in van de technologie gebruikmaken. De onderzoekers willen nu ook authenticatie via bluetooth en nfc gaan ondersteunen en Pico op meer websites uitrollen, alsmede op andere soorten systemen en fysieke apparaten. Verder willen de onderzoekers het gebruik van Pico zo laagdrempelig mogelijk maken. "Gebruikers kiezen ondanks de nadelen liever voor hetgeen dat ze kennen. Gebruikers zijn gewend aan wachtwoorden en begrijpen ze erg goed", aldus de conclusie van het rapport (pdf). Door Pico gebruiksvriendelijker en bruikbaarder te maken moet dit worden veranderd. bron: security.nl

Onderzoekers van Cisco hebben een onbekende Remote Administration Tool (RAT) ontdekt die al 3 jaar door aanvallers wordt gebruikt en allerlei informatie van besmette systemen kan stelen, zoals wachtwoorden, cookies en bestanden. De malware wordt door Cisco KONNI genoemd. In eerste instantie was de malware alleen in staat om informatie te stelen, zoals toetsaanslagen, maar de ontwikkelaar heeft de afgelopen jaren allerlei nieuwe features toegevoegd. Zo kan de malware nu lokdocumenten en -afbeeldingen tonen, screenshots maken en aanvallers willekeurige code op het systeem laten uitvoeren. Ook worden 64-bit systemen ondersteund. Sinds de malware in 2014 actief werd maken de aanvallers gebruik van de gratis hostingprovider 000webhost voor hun infrastructuur. De aanvallen beginnen met een e-mail die een src-bestand als bijlage heeft. Als gebruikers de bijlage openen wordt er een lokdocument getoond, terwijl in de achtergrond het systeem besmet raakt. Aan de hand van de gebruikte lokdocumenten stelt Cisco dat de aanvallers het op publieke organisaties hebben voorzien. De gebruikte documenten bevatten gegevens van mensen die werken voor de VN, Unicef en ambassades en organisaties die banden met Noord-Korea hebben. Wie er achter de malware zit is onduidelijk, maar de laatste aanvallen hebben een gemeenschappelijk thema. "De ontwikkelaar heeft duidelijk interesse in Noord-Korea, aangezien drie van de vier aanvalscampagnes daarmee te maken hebben", zegt onderzoeker Paul Rascagneres. Hij merkt op dat de aanvallers achter KONNI nog steeds actief zijn. bron: security.nl

Deze week werd er een ernstig beveiligingslek in de zakelijke processors van Intel onthuld, maar het bedrijf dat de kwetsbaarheid ontdekte stelt dat Intel-systemen zonder Active Management Technology (AMT) support mogelijk ook aangevallen kunnen worden. Intel AMT is een feature van Intel-processoren met Intel vPro-technologie en maakt het mogelijk om systemen op afstand te beheren. Onderzoeker Maksim Malyutin van beveiligingsbedrijf Embedi ontdekte halverwege februari in probleem in deze technologie. Intel werd vervolgens op 3 maart ingelicht. Via de kwetsbaarheid kan een aanvaller toegang tot AMT-diensten krijgen, zoals het toetsenbord, video en muis, bios-instellingen en andere zaken. In een korte blogposting over het beveiligingslek gaan de onderzoekers in op verschillende misvattingen die in de media verschenen. Zo is de kwetsbaarheid pas sinds 2010-2011 in Intel-processors aanwezig, en niet sinds 2008 zoals eerst werd gerapporteerd. Daarnaast bestempelen de onderzoekers het lek niet als een mogelijkheid om willekeurige code op systemen uit te voeren, maar als een "logische fout". Specifieke details over het probleem wil Embedi echter nog niet geven. Een ander opvallend punt in de blogpost is dat het bedrijf laat weten dat er ook een kans is dat Intel-systemen zonder AMT-support kunnen worden aangevallen. Ook in een interview met Threatpost laat Embedi-cto Dmitry Evdokimov dit weten, maar gaat hier verder niet op in. Intel heeft updates voor de kwetsbaarheid uitgebracht. Het is nu aan fabrikanten om voor hun systemen en moederborden updates uit te rollen. De AMT-diensten zijn via poort 16992 en 16993 bereikbaar. Hoewel Intel het lek deze week pas bekendmaakte, blijkt er al sinds vorige maand een stijging van het aantal poortscans op deze poorten te zijn. Evdokimov zegt hier niet op te kunnen reageren, maar stelt dat het mogelijk toeval is. bron: security.nl

Een beveiligingslek in het populaire contentmanagementsysteem WordPress maakt het mogelijk voor een aanvaller om het wachtwoord van gebruikers te resetten en in het ergste geval de e-mail met de resetlink te onderscheppen. Het probleem werd bijna een jaar geleden door onderzoeker Dawid Golunski bij WordPress gerapporteerd, maar is nog altijd niet gepatcht. Het probleem is dat een aanvaller de afzender van de resetmails die WordPress-sites versturen kan aanpassen. Zodoende kan een aanvaller voor de From- en Return-Path-velden zijn eigen domein en e-mailadres opgeven. De aanvaller moet in dit geval nog wel de resetmail in handen zien te krijgen, aangezien die nog altijd naar het e-mailadres van de WordPress-beheerder wordt gestuurd. Hiervoor schetst Golunski verschillende scenario's, zoals het uitvoeren van een dos-aanval. Door het versturen van bijvoorbeeld grote bestanden raakt de mailbox van de beheerder vol, zodat die geen nieuwe e-mails meer accepteert. De resetmail kan in dit geval worden teruggestuurd naar de afzender, wat de aanvaller is die zijn adres als afzender van de resetmail heeft opgegeven. Golunski waarschuwde WordPress vorig jaar juli al, maar het probleem is nog altijd niet verholpen. Daarop heeft hij nu zijn bevindingen openbaar gemaakt. bron: security.nl

Gebruikers van Google Docs zijn gisteren het doelwit van een zeer geraffineerde phishingaanval geworden. De phishingmail, die onder andere via gehackte accounts werd verstuurd, probeerde slachtoffers een kwaadaardige app toegang tot hun Google-account te geven. De e-mail liet gebruikers weten dat iemand een document met ze wilde delen. Zodra gebruikers op de link klikten werden ze naar een website van Google doorgestuurd om een Google-account te kiezen. Vervolgens verscheen de vraag of de gebruiker een applicatie genaamd "Google Docs" toegang tot hun Google-account wilde geven. Als gebruikers toegang gaven werd hetzelfde bericht naar hun contacten doorgestuurd. De aanvallers maakten hierbij gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun echte wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Onlangs waarschuwde anti-virusbedrijf Trend Micro nog hoe een groep cyberspionnen genaamd Pawn Storm OAuth voor soortgelijke aanvallen had gebruikt. bron: security.nl

Doen we. Veel plezier met de koptelefoon