Captain Kirk

De manier waarop het flashgeheugen van ssd-schijven in elkaar zit maakt het mogelijk voor een aanvaller met schrijftoegang om rootrechten op het systeem te krijgen. Dat hebben onderzoekers van IBM tijdens de WOOT '17-conferentie aangetoond. De onderzoekers spreken van een "Rowhammer-achtige aanval". Rowhammer is een kwetsbaarheid in het DRAM-geheugen waardoor een aanvaller de data in het geheugen kan manipuleren zonder dit te benaderen. Door herhaaldelijk een specifieke geheugenlocatie te lezen kan er ergens anders in het geheugen een bit "flippen". Een één kan een nul worden of een nul een één. Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het mogelijk is om kernelrechten te krijgen. De Rowhammer-aanval werd al in 2015 gedemonstreerd. De onderzoekers wilden echter kijken of een soortgelijke aanval ook tegen ssd-schijven met MLC NAND ?ashgeheugen werkt. "DRAM-geheugen is namelijk niet de enige plek die gevoelige data bevat die essentieel is voor het goed werken van security-primitieven in software", zo laten ze in hun rapport weten (pdf). Ook via het bestandssysteem waar het besturingssysteem gebruik van maakt kan er toegang tot vertrouwelijke data worden verkregen. Voor hun scenario gaan de onderzoekers er dan ook vanuit dat het slachtoffer een bestandssysteem op een ssd-schijf draait die van MLC NAND flashgeheugen gebruikmaakt. Om de aanval uit te kunnen voeren moet de aanvaller "unprivileged" rechten tot het systeem hebben. De onderzoekers gaan niet uit van een aanvaller met fysieke toegang, maar bijvoorbeeld om een server waar iemand met een standaard account op kan inloggen. Het account geeft de gebruiker of aanvaller via het bestandssysteem beperkte schrijftoegang. Net als met de Rowhammer-aanval op DRAM-geheugen blijkt dat ook de flashchips van ssd-schijven op een soortgelijke manier te manipuleren zijn en de aanvaller uiteindelijk zijn rechten op het systeem laten verhogen. De aanval kan volgens de onderzoekers door middel van schijfversleuteling, zoals dm-crypt, worden voorkomen. Voor de toekomst willen de onderzoekers een volledige systeemaanval uitwerken. Naar aanleiding van de Rowhammer-aanval kwamen fabrikanten zoals Apple met een update voor hun apparatuur. De onderzoekers van IBM laten niet weten of ze met hardwarefabrikanten over hun aanval hebben gesproken. bron: security.nl

Onderzoekers hebben een nieuwe exploitkit ontdekt die naast Internet Explorer en Adobe Flash Player ook gebruikers van Firefox en Cisco WebEx probeert aan te vallen. Het gaat om de Disdain-exploitkit, zo laat securitybedrijf Intsight weten. Exploitkits maken gebruik van beveiligingslekken in browsers en browserplug-ins om internetgebruikers ongemerkt met malware te infecteren. Het gaat daarbij meestal om bekende kwetsbaarheden waarvoor al geruime tijd een update beschikbaar is. Alleen gebruikers die hun software niet up-to-date houden lopen daardoor risico. Exploitkits hebben echter steeds minder succes, omdat browsers zich automatisch kunnen updaten en kwetsbare browserplug-ins blokkeren. Een andere belangrijke reden voor de teloorgang van exploitkits is het uitblijven van nieuwe exploits. Alle tot nu toe bekende exploitkits maken gebruik van kwetsbaarheden in Internet Explorer en Flash Player waar al meer dan een jaar updates voor beschikbaar zijn. De ontdekking van de Disdain-exploitkit is dan ook opmerkelijk, aangezien deze exploitkit vrij recente exploits bevat voor kwetsbaarheden in Cisco WebEx, Firefox en Internet Explorer die dit jaar werden gepatcht. Ook het aanvallen van Cisco WebEx en Firefox valt op. Firefox is in het verleden vaker het doelwit van exploitkits geweest, maar de laatste jaren hadden cybercriminelen het voornamelijk op Internet Explorer voorzien. Disdain maakt echter gebruik van vijf kwetsbaarheden in Mozilla's browser, waarvan de meest recente van 2017 is en de oudste van 2013 dateert. Cisco WebEx kreeg dit jaar met verschillende grote kwetsbaarheden te maken. De Cisco WebEx-extensie is bedoeld voor het bijwonen van video- en webconferenties. Het wordt dan ook voornamelijk in zakelijke omgevingen gebruikt. De kwetsbaarheid laat een kwaadaardige website een WebEx-sessie starten. Via deze WebEx-sessie kan een aanvaller vervolgens willekeurige code op het systeem uitvoeren. De plug-in heeft meer dan 10 miljoen installaties. Het WebEx-lek dat Disdain aanvalt werd eind januari door Cisco gepatcht. In het geval van de recente kwetsbaarheden in Firefox en IE verschenen daar respectievelijk in januari en maart updates voor. Ook in het geval van de Disdain-exploitkit, die voor 1400 dollar per maand aan cybercriminelen wordt aangeboden, geldt dat gebruikers die up-to-date met hun software zijn geen risico lopen. bron: security.nl

Een ernstig beveiligingslek in Microsoft Office dat in april van dit jaar werd gepatcht wordt nu op een geheel nieuwe manier via PowerPoint-bestanden aangevallen, zo stelt anti-virusbedrijf Trend Micro. De kwetsbaarheid (CVE-2017-0199) werd al voor het verschijnen van de Office-update actief aangevallen. Alleen het openen van een kwaadaardig Office-document was voldoende om met malware besmet te raken. In eerste instantie werd het beveiligingslek aangevallen via rtf-documenten. Nu zijn er ook aanvallen via de slideshow-feature van PowerPoint waargenomen. Volgens de onderzoekers is dit de eerste keer dat deze aanpak door cybercriminelen wordt gehanteerd. De aanval begint met een gerichte phishingmail die een kwaadaardig ppsx-bestand bevat. Zodra de gebruiker het bestand met een kwetsbare versie van Microsoft PowerPoint opent, zal de animatiefeature van PowerPoint worden gebruikt om malware op het systeem te installeren. Om zich te beschermen krijgen gebruikers het advies om de patch te installeren, aangezien die al sinds april beschikbaar is. In de praktijk blijkt dat zowel eindgebruikers als organisaties traag zijn met het installeren van Office-updates. Voor het verschijnen van CVE-2017-0199 in april was een beveiligingslek in Microsoft Office uit 2012 het meest aangevallen Office-lek door cybercriminelen. bron: security.nl

Usb is één van de meest gebruikte interfaces om apparaten met computers te verbinden, maar onderzoekers van de Universiteit van Adelaide waarschuwen nu dat usb-poorten allerlei vertrouwelijke informatie kunnen lekken die door kwaadaardige usb-apparaten kan worden opgepikt. De onderzoekers onderzochten meer dan vijftig verschillende computers en externe usb-hubs en ontdekten dat meer dan 90 procent informatie naar een extern usb-apparaat lekt. Het gaat om zogenoemde "channel-to-channel crosstalk leakage". Een kwaadaardig of gemanipuleerd usb-apparaat dat op een usb-poort van een externe of interne usb-hub wordt aangesloten waarop ook andere usb-apparaten zijn aangesloten, kan informatie van deze apparaten achterhalen. Het gaat dan om toetsaanslagen, wachtwoorden en andere gegevens. Onderzoeker Yuval Yarom vergelijkt het met water dat uit leidingen lekt. "Elektriciteit stroomt net als water in leidingen en kan lekken", zo laat hij weten. "In ons project hebben we laten zien spanningsschommelingen in de datalijnen van de usb-poort door naastgelegen poorten op de usb-hub kunnen worden gemonitord." De aanvallers ontwikkelden een usb-lamp die toetsaanslagen van een aangesloten usb-toetsenbord kan opvangen. Vervolgens stuurt de lamp de gegevens via bluetooth naar een andere computer. Yarom wijst naar een ander onderzoek waaruit blijkt dat als usb-sticks ergens worden achtergelaten, driekwart door voorbijgangers wordt aangesloten. Usb-sticks die kunnen zijn aangepast, zo waarschuwt de onderzoeker. Gebruikers krijgen dan ook voor nu het advies om alleen betrouwbare usb-apparaten aan te sluiten. Yarom stelt dat voor de lange termijn usb-verbindingen opnieuw ontworpen moeten worden om ze veiliger te maken. "Usb is ontwikkeld met de aanname dat de gebruiker de controle over alle verbonden apparaten heeft en dat alles is te vertrouwen, maar we weten dat dit niet het geval is. Usb zal nooit veilig zijn tenzij de data voor het versturen wordt versleuteld." De onderzoekers zullen hun onderzoek volgende week tijdens het USENIX Security Symposium in Vancouver presenteren. bron: security.nl

Softwarebedrijf Elcomsoft heeft een nieuwe versie van de eigen recoverytool uitgebracht die nu ook het kraken van populaire wachtwoordmanagers zoals 1Password, KeePass, LastPass en Dashlane ondersteunt. Wachtwoordmanagers zijn een populaire manier om wachtwoorden te beheren. Zo kunnen wachtwoordmanagers unieke wachtwoorden genereren en in een wachtwoordkluis opslaan. Als beveiliging van de opgeslagen wachtwoorden maken wachtwoordmanagers gebruik van een meesterwachtwoord. Dit moet voorkomen dat een aanvaller meteen toegang tot alle opgeslagen wachtwoorden krijgt als hij de wachtwoordkluis weet te stelen. Om het kraken van het meesterwachtwoord tegen te gaan hebben wachtwoordmanagers verschillende beveiligingsmaatregelen genomen. Toch stelt Elcomsoft dat de veiligheid van dergelijke programma's te wensen overlaat. "Zijn wachtwoordmanagers veiliger dan het bijhouden van een lijst met wachtwoorden in een Excel-bestand? Niet per definitie, maar dit gebrek aan veiligheid wordt gemakkelijk goed gemaakt door het gemak dat wachtwoordmanagers bieden in vergelijking met een Excel-spreadsheet", aldus Oleg Afonin. Hij merkt op dat Office 2016-documenten een betere bescherming tegen bruteforce-aanvallen bieden dan wachtwoordmanagers. Voor een vergelijkende test werd gekeken hoe snel het meesterwachtwoord van de vier eerder genoemde wachtwoordmanagers is te kraken in vergelijking met het wachtwoord van beveiligde Office 2016-documenten en beveiligde RAR5-bestanden. Dan blijkt dat een aanvaller op een systeem met een Nvidia GTX 1080 videokaart bij een Office 2016-document 7300 wachtwoorden per seconde kan proberen, terwijl dit er bij de wachtwoordmanager Dashlane 129.000 per seconde zijn. Dit laat zien dat gebruikers ook voor hun meesterwachtwoord een sterk wachtwoord moeten kiezen. bron: security.nl

Beheerders en gebruikers van Windows 10 die de EMET-beveiligingstool van Microsoft hebben geïnstalleerd zijn gewaarschuwd, de Fall Creators Update die later dit jaar voor Windows 10 verschijnt zal het programma namelijk verwijderen of blokkeren, zo heeft Microsoft bekendgemaakt. De Enhanced Mitigation Experience Toolkit (EMET) is een gratis programma van Microsoft dat een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toevoegt.Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. In juni van dit jaar kondigde Microsoft aan dat het de beveiliging van EMET direct aan Windows 10 gaat toevoegen in de vorm van de Windows Defender Exploit Guard. Via de Windows 10 Fall Creators Update zullen gebruikers straks vanuit het Windows Defender Security Center (WDSC) deze exploitbescherming voor hun systeem kunnen instellen. Ook biedt Windows Defender Exploit Guard dezelfde bescherming voor legacy applicaties die EMET biedt. Daarnaast heeft Microsoft een module ontwikkeld om EMET-instellingen naar Windows Defender Exploit Guard te migreren. Om mogelijke compatibiliteitsproblemen te voorkomen zal Windows 10 vanaf de Fall Creators Update EMET automatisch verwijderen of blokkeren. Eerder liet Microsoft al weten dat de ondersteuning van EMET vanaf 31 juli 2018 wordt gestopt. bron: security.nl

Na kritiek van anti-virusbedrijven over Windows 10 heeft Microsoft besloten om verschillende aanpassingen aan het besturingssysteem door te voeren. Ook zal het nauwer met anti-virusbedrijven gaan samenwerken. Volgens virusbestrijders probeert Microsoft met Windows Defender, de standaard virusscanner van Windows 10, de oplossingen van anti-virusbedrijven uit de markt te drukken. Daarnaast zou Microsoft aanpassingen in feature-updates niet duidelijk communiceren en het lastig voor anti-virusbedrijven maken om gebruikers van een betaalde anti-virusoplossing te waarschuwen dat hun abonnement gaat verlopen of verlopen is. Microsoft laat nu weten dat het nauwer met anti-virusbedrijven gaat samenwerken zodat ze hun software voor toekomstige feature-updates compatibel kunnen maken. Gebruikers zullen feature-updates van Windows 10 pas ontvangen als de anti-virussoftware na de update blijft werken. Verder gaat Microsoft meer inzicht in de planning van feature-updates geven. Zo krijgen virusbestrijders meer tijd om de uiteindelijke versie van een feature-update te testen. Tevens krijgen anti-virusbedrijven de mogelijkheid om hun eigen waarschuwingen en meldingen in Windows weer te geven als het abonnement van een virusscanner op het punt staat te verlopen of al verlopen is. Ook heeft Microsoft de manier aangepast waarop Windows gebruikers laat weten dat hun virusscanner is verlopen en ze niet meer beschermd zijn. De gebruiker krijgt in dit geval een scherm te zien dat zichtbaar blijft totdat de gebruiker ervoor kiest om zijn abonnement te verlengen of voor Windows Defender of een ander anti-virusbedrijf kiest. bron: security.nl

Dat was ook het eerste wat ik dacht .

Welkom Aluerris, Ik kan mij voorstellen dat het een vervelend probleem is. Wanneer dit probleem zich voor doet, werk je dan via een kabelverbinding of via de wifi?

Beste Jupi, Ik neem aan dat je deze stappen al geprobeerd hebt?

Beste Patrick 1, Hoe staat het met je probleem? Indien het is opgelost, laat het dan even weten zodat we dit topic kunnen afsluiten. Indien het probleem er nog is, volg dan alsnog het advies van dorado.

Hoe staat het met je probleem? Mocht je nog steeds niet verder kunnen, heb je al geprobeerd via een ander medium (telefoon, tablet, computer familielid) te resetten?

Google waarschuwt websites met een ssl-certificaat van certificaatautoriteiten WoSign of StartCom, want vanaf september krijgen Chrome-gebruikers bij het bezoeken van deze websites een waarschuwing te zien dat het aangeboden certificaat niet wordt vertrouwd. Vanwege verschillende incidenten heeft Google besloten het vertrouwen in certificaten van WoSign en StartCom op te zeggen. Vorig jaar augustus werd Google ingelicht door het beveiligingsteam van GitHub dat WoSign zonder toestemming een certificaat voor één van GitHubs domeinen had uitgegeven. Het onderzoek dat volgde liet zien dat er nog meer incidenten bij de certificaatautoriteiten hadden plaatsgevonden. Aangezien het direct blokkeren van ssl-certificaten van beide certificaatautoriteiten een grote impact op websites en Chrome-gebruikers zou hebben besloot Google het vertrouwen geleidelijk op te zeggen. Eerst werden alleen voor 21 oktober 2016 uitgegeven certificaten nog vertrouwd. Vervolgens werd deze groep certificaten via een whitelist beperkt tot de 1 miljoen populairste websites en dit aantal is Google aan het afbouwen. Met de lancering van Chrome 61 in september zal de whitelist worden verwijderd en zullen alle certificaten van WoSign en StartCom een waarschuwing in de browser veroorzaken. Google adviseert webmasters dan ook om dergelijke certificaten met spoed te vervangen om de verstoring voor Chrome-gebruikers te beperken. bron: security.nl

Zo'n 500.000 computers in voornamelijk Oekraïne en Rusland zijn besmet geraakt door geavanceerde adware die vijf jaar lang onopgemerkt wist te blijven. De adware wordt Stantinko genoemd en richt zich op internetgebruikers die illegale software zoeken. Zo doet de adware zich onder andere voor als een torrentbestand. Eenmaal gedownload en geopend door de gebruiker installeert Stantinko verschillende services. Via deze services kunnen de beheerders achter het botnet kwaadaardige browser-extensies installeren die advertenties op bezochte websites injecteren en clickfraude plegen. De services zijn echter ook gebruikt voor het installeren van een volledig functionele backdoor, zo waarschuwt anti-virusbedrijf ESET. Ook een bot voor het uitvoeren van omvangrijke zoekopdrachten op Google en een tool voor het uitvoeren van bruteforce-aanvallen op Joomla en WordPress werden geïnstalleerd. Op deze manier werd geprobeerd om toegang tot websites te krijgen. Verder installeert de adware ook een bot die accounts op Facebook aanmaakt en in staat is om foto's of pagina's te liken en vrienden kan toevoegen. De kwaadaardige browser-extensies die de adware installeert, genaamd The Safe Surfing en Teddy Protection, waren beide in de Chrome Web Store te vinden. Het lijkt om legitieme extensies te gaan. Eenmaal geïnstalleerd krijgen ze de instructies om advertenties te injecteren en clickfraude te plegen. Om detectie en verwijdering te voorkomen gebruiken de makers methodes die voornamelijk bij 'advanced persistent threats' worden gezien aldus ESET. Zo hebben de ontwikkelaars veel moeite gedaan om reverse engineering tegen te gaan. Daarnaast is de adware lastig te verwijderen. Zodra één van de twee services wordt verwijderd zal de overblijvende service die opnieuw installeren. Om de adware succesvol te verwijderen moeten beide services gelijktijdig worden verwijderd. De twee Chrome-extensies zijn inmiddels uit de Chrome Store verwijderd. bron: security.nl

Het Tor Project is het eerste openbare beloningsprogramma gestart waarbij het hackers en onderzoekers beloont voor het melden van kwetsbaarheden in het Tor-netwerk en Tor Browser. Vorig jaar januari werd er al een gesloten beloningsprogramma gelanceerd, maar met steun van het Open Technology Fund is er nu een open 'bug bounty' programma gestart. "Tor-gebruikers wereldwijd, waaronder mensenrechtenactivisten, advocaten en onderzoekers, vertrouwen op de veiligheid van onze software om anoniem op internet te zijn. Help ons hen te beschermen tegen surveillance, tracking en aanvallen", aldus Tor-ontwikkelaar Georg Koppen. Afhankelijk van de ernst en impact van een kwetsbaarheid wordt er 4.000 dollar per bugmelding uitgekeerd. Het gaat dan om kwetsbaarheden waardoor het bijvoorbeeld mogelijk is om willekeurige code op de systemen van gebruikers uit te voeren of gebruikers te identificeren. Het beloningsprogramma wordt gehost bij HackerOne. Dit door Nederlanders opgerichte platform laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor hackers organiseren en handelt de coördinatie tussen de bugmelder en softwareleverancier af. bron: security.nl

Anti-virusbedrijf Avast heeft Piriform overgenomen, de ontwikkelaar van de populaire tool CCleaner. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. Het wordt door 130 miljoen gebruikers wereldwijd gebruikt. Vorig jaar maakte de softwareontwikkelaar bekend dat CCleaner 2 miljard keer was gedownload. De basisfunctionaliteit van CCleaner is gratis te gebruiken. Daarnaast biedt de software tegen betaling verschillende 'premium features', zoals schijfdefragmentatie en bestandsherstel. Avast zal de producten van Piriform los van de eigen producten blijven aanbieden en zegt dat het de software ook zal blijven ondersteunen. De ontwikkelaars van Piriform worden onderdeel van het Avast-team. Hoeveel er voor de overname is betaald, is niet bekendgemaakt. bron: security.nl

Vorig jaar heeft een Duits securitybedrijf een audit van Firefox Accounts uitgevoerd dat 15 lekken heeft opgeleverd, zo blijkt uit het rapport dat Mozilla openbaar heeft gemaakt (pdf). Firefox Accounts is het accountsysteem waarmee Firefoxgebruikers door Mozilla aangeboden diensten kunnen gebruiken. Het gaat dan bijvoorbeeld om Firefox Sync en Firefox Marketplace. "Als de centrale authenticatiedienst van Firefox is Firefox Accounts een natuurlijk eerste doelwit. De beveiliging is van groot belang voor miljoenen gebruikers die er gebruik van maken om op onze gevoeligste diensten in te loggen, zoals addons.mozilla.org en Sync", zegt Mozilla's Greg Guthe. Het Duitse Cure53 voerde een audit uit van de webdiensten waar Firefox Accounts gebruik van maakt en het cryptografische protocol dat wordt gebruikt om gebruikersaccounts en data te beschermen. In totaal werden 15 kwetsbaarheden gevonden. Geen van de lekken is echter aangevallen of zorgde ervoor dat de gegevens van gebruikers risico lopen, aldus Guthe. Het gaat onder andere om cross-site scripting, html-injectie en een zwakke client-side key stretching om bruteforce-aanvallen op wachtwoorden tegen te gaan, aldus het rapport. Volgens de onderzoekers is het Firefox Accounts-platform robuust en zijn de gevonden kwetsbaarheden, op het probleem met de zwakke key stretching na, eenvoudig te verhelpen. Mozilla zegt dat het de ernstigste problemen uit het rapport heeft opgelost. bron: security.nl

Het Platform Internetstandaarden heeft een nieuwe versie van Internet.nl gelanceerd, een website waarmee het mogelijk is om te kijken of websites en maildiensten aan standaarden zoals ipv6, dnssec, https, dmarc, dkim, spf, starttls en dane voldoen. Sinds de eerste lancering in april 2015 zijn er meer dan 300.000 testen op Internet.nl uitgevoerd. "Meer dan 50% van de opnieuw geteste websites laten verbeteringen zien. We hopen dat de nieuwe, verbeterde versie van Internet.nl bezoekers nog beter zal ondersteunen bij het testen, eisen en toepassen van moderne, veilige internetstandaarden", aldus Gerben Klein Baltink, voorzitter van Platform Internetstandaarden. Het nieuwe ontwerp van de website is gericht op mobiele apparaten. Ook worden de testresultaten anders weergegeven en zijn er bugs verholpen bij domeinen met meerdere spf-records en het beoordelen van de ipv6-connectiviteit. Het Platform Internetstandaarden is een samenwerkingsverband van de de Nederlandse overheid en de internetgemeenschap. Via Internet.nl wil het Platform de uitrol van moderne internetstandaarden stimuleren. bron: security.nl

Onderzoekers hebben opnieuw ernstige beveiligingslekken in de Cisco WebEx-browseruitbreiding gevonden waardoor kwaadwillende websites systemen in het ergste geval volledig kunnen overnemen. WebEx is een browser-extensie waarmee gebruikers aan video- en webconferenties kunnen deelnemen. Meer dan 20 miljoen gebruikers van Google Chrome hebben de uitbreiding geïnstalleerd. Onderzoekers Tavis Ormandy van Google en Cris Neckar van securitybedrijf Divergent Security ontdekten problemen in de manier waarop de extensie invoer filtert. Eerder dit jaar ontdekte Ormandy ook al een kwetsbaarheid in de software waardoor het voor een aanvaller mogelijk was om willekeurige code op systemen uit te voeren. Volgens Cisco wordt het probleem veroorzaakt door een ontwerpfout in de extensie. Alleen het bezoeken van een kwaadaardige website met een kwetsbare versie van de extensie was voldoende om een aanvaller willekeurige code met de rechten van de browser uit te laten voeren. Cisco werd op 6 juli ingelicht en heeft op 12 juli updates uitgebracht voor de Chrome- en Firefox-versies van de extensie. Het probleem is in versie 1.0.12 opgelost. bron: security.nl

Een beveiligingslek in QuickTime voor Windows maakt het in bepaalde gevallen voor aanvallers mogelijk om systemen volledig over te nemen en Apple zal het probleem niet oplossen aangezien de software niet meer wordt ondersteund. Daarvoor waarschuwen het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Het probleem wordt veroorzaakt doordat het QuickTimes-installatieprogramma dll-bestanden uit dezelfde directory laadt. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens QuickTime installeert, wordt ook het kwaadaardige dll-bestand uitgevoerd en de malware uitgevoerd. Sommige browsers hebben het ooit toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. QuickTime voor Windows wordt al meer dan een jaar niet meer ondersteund door Apple. Het bedrijf adviseert gebruikers dan ook om de software te verwijderen. Een jaar geleden waarschuwden verschillende overheidsinstanties in Nederland en de Verenigde Staten nog om Apple QuickTime van Windowscomputers te verwijderen omdat de mediaspeler niet meer wordt ondersteund en er bekende kwetsbaarheden in aanwezig zijn. IBM ontwikkelde zelfs een script voor bedrijven om de mediaspeler van systemen te verwijderen. bron: security.nl

Myspace-accounts zijn eenvoudig te hacken, alleen de naam, gebruikersnaam en geboortedatum van een gebruiker zijn voldoende om toegang tot elk willekeurig account te krijgen, zo stelt onderzoekster Leigh-Anne Galloway. Myspace was ooit het grootste sociale netwerk op internet. Het verloor de concurrentiestrijd met Facebook en is nu voornamelijk een platform voor muziek en entertainment. Vorig jaar bevestigde Myspace dat een aanvaller de gegevens van 360 miljoen gebruikers had buitgemaakt. Accounts die voor 11 juni 2013 waren aangemaakt liepen risico, aldus de verklaring. Om gebruikers te beschermen werd daarom besloten van al deze accounts het wachtwoord te resetten. Daarnaast werden de beveiligingsmaatregelen aangescherpt, zo liet Myspace weten. Gebruikers lopen echter nog steeds risico dat hun account wordt gekaapt, aldus Galloway. Met drie stuks informatie is het namelijk mogelijk om toegang tot elk willekeurig Myspace-account te krijgen. Myspace beschikt over een 'account recovery feature' waarbij gebruikers allerlei informatie moeten opgeven. Alleen de gebruikersnaam, naam en geboortedatum worden echter gecontroleerd. De volledige naam van de gebruiker is volgens de onderzoekster via een eenvoudige Google-opdracht te vinden, terwijl de gebruikersnaam zich in de profiel-url van Myspace bevindt. De geboortedatum is het lastigst om te achterhalen, maar niet onmogelijk. Galloway waarschuwde Myspace in april voor de kwetsbaarheid, maar ontving alleen een geautomatiseerd antwoord. Daarop heeft ze nu besloten de kwetsbaarheid openbaar te maken. Galloway adviseert Myspace-gebruikers om hun account direct te verwijderen. bron: security.nl

Verschillende kwetsbaarheden in het slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van securitybedrijf BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. Het wordt ook in Nederland verkocht. Volgens Shnaidman zit het apparaat slecht in elkaar en is het een eenvoudig doelwit voor aanvallers. In totaal vond de onderzoeker vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt. Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. Tevens is het volgens Shnaidman mogelijk om via deze kwetsbaarheid volledige controle over de apparaten te krijgen. Inbrekers zouden hier misbruik van kunnen maken, aldus de onderzoeker. Hij waarschuwde de fabrikant op 30 januari van dit jaar. Twee dagen later vroeg iSmartAlarm om meer gegevens, die Shnaidman verstrekte. Een reactie bleef echter uit, waarop de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit benaderde. Aangezien er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven. bron: security.nl

Een aanvaller heeft vorige week vrijdag 751 domeinnamen die bij de Franse registrar en hostingbedrijf Gandi waren geregistreerd naar een exploitkit laten wijzen, waaronder ook Nederlandse domeinnamen. Dat heeft het bedrijf in een analyse van de aanval laten weten. De aanvallers wisten de nameservers van de domeinnamen aan te passen zodat die naar een website met de Rig-exploitkit wezen. Deze exploitkit maakt gebruik van oude beveiligingslekken in Adobe Flash Player en Internet Explorer om gebruikers automatisch met malware te infecteren. In het geval gebruikers al meer dan een jaar geen Flash Player- en IE-updates hadden geïnstalleerd konden ze door de verwijzing naar de exploitkit met de Neutrino-bot besmet raken. Daarnaast werden ook de MX-records van de domeinen aangepast. Via deze records kan het adres van een mailserver worden opgegeven. De mailserver die de aanvaller invoerde bleek echter niet actief te zijn, zo laat het Zwitserse securitybedrijf Scrt in een analyse weten. In totaal werden 94 domeinen eindigend op .ch en .li aangepast, aldus Switch, de beheerder van het Zwitserse topleveldomein. Volgens Gandi was de aanval mogelijk doordat de aanvaller met de inloggegevens van Gandi bij een technische partner van de registrar kon inloggen. Deze inloggegevens zijn vermoedelijk gestolen via een onbeveiligde verbinding naar de webportal van deze technisch partner. De webportal in kwestie staat verbindingen via http toe. Vanwege de aanval besloot Gandi alle inloggegevens voor de 150 technische platformen waar het gebruik van maakt te resetten. Daarnaast is er een security-audit van de gehele interne en externe infrastructuur gestart. Verder zal de registrar controleren dat er voortaan alleen nog op beveiligde wijze met de platformen van partners verbinding wordt gemaakt. bron: security.nl

Personeel van de Amerikaanse douane mag geen gegevens in de cloud doorzoeken die via de telefoons of laptops van reizigers benaderbaar zijn. Lokaal op het apparaat opgeslagen gegevens mogen wel zonder gerechtelijk bevel en zonder aanleiding worden doorzocht. Dat blijkt uit een brief van de Amerikaanse douane CBP die in handen van NBC News is gekomen (pdf). De Amerikaanse senator Ron Wyden had de Amerikaanse douane om opheldering gevraagd over het doorzoeken van de apparatuur van reizigers (pdf). In april publiceerde het ministerie van Homeland Security cijfers waaruit blijkt dat er in zes maanden tijd 15.000 apparaten waren doorzocht. In een reactie op de brief van Wyden laat CBP-commissaris Kevin McAleenan weten dat douanepersoneel zonder toestemming, en in bepaalde gevallen zonder bevel of verdenking, apparatuur mag doorzoeken. Het gaat echter alleen om data die zich op het toestel zelf bevindt, zoals foto's, contactgegevens, gespreksgeschiedenis en sms-berichten. Bestanden in de cloud mogen niet worden doorzocht en douanepersoneel krijgt hierover ook specifieke instructies. In april presenteerden Wyden en andere senatoren nog een wetsvoorstel om de willekeurige doorzoekingen van laptops en telefoons van reizigers door de douane in te perken. bron: security.nl

Ondanks het uitkomen van een beveiligingsupdate in maart zijn nog altijd tienduizenden machines kwetsbaar voor de EternalBlue-exploit van de Amerikaanse geheime dienst NSA. Dat blijkt uit de resultaten van Eternal Blues, een gratis scanner die eind juni door onderzoeker Elad Erez van securitybedrijf Imperva werd uitgebracht. Organisaties kunnen de scanner gebruiken om kwetsbare machines binnen hun netwerk te vinden. De scanner controleert of Windowsmachines beveiligingsupdate MS17-010 hebben geïnstalleerd, die Microsoft in maart van dit jaar uitbracht en meerdere kwetsbaarheden in de SMB-dienst van Windows verhelpt. Een maand na het uitkomen van de patch publiceerde een groep genaamd Shadow Brokers verschillende NSA-exploits op internet die van de kwetsbaarheden misbruik maken. Het gaat onder andere om een exploit genaamd EternalBlue waarmee het mogelijk is om op afstand een kwetsbaar systeem over te nemen. Zowel WannaCry als Petya maakten gebruik van EternalBlue om systemen te infecteren. De Eternal Blues-scanner is inmiddels gebruikt om 8 miljoen systemen te scannen. Meer dan 50.000 machines bleken kwetsbaar voor de Eternal Blue-exploit te zijn. "Zelfs na de laatste aanvallen door WannaCry en NotPetya", aldus Erez, die opmerkt dat slechts één kwetsbare machine voldoende is om een heel netwerk te infecteren. Hij wijst naar een organisatie waarbij meer dan 10.000 machines werden gescand en er 12 kwetsbaar bleken te zijn. De onderzoeker adviseert organisaties om de Windows-update te installeren, SMBv1 uit te schakelen en het netwerk regelmatig op kwetsbaarheden te controleren. Onlangs voerde de Nederlandse beveiligingsonderzoeker Victor Gevers een onderzoek in Nederland uit, waaruit bleek dat er in Nederland nog ruim 6.000 kwetsbare servers waren. Inmiddels is dat aantal naar 295 gedaald. bron: security.nl