Captain Kirk

Meer dan 120.000 websites die van het Drupal-platform gebruikmaken lopen risico om te worden gehackt doordat ze een module hebben geïnstalleerd die 4 jaar lang niet werd ondersteund. Het gaat om de References-module waarmee referenties tussen nodes kunnen worden toegevoegd. De laatste update van de module dateerde van februari 2013. Toch hebben meer dan 120.000 websites deze module geïnstalleerd. Op 12 april meldde het Drupal-beveiligingsteam dat er een ernstig lek in de module aanwezig is. Details konden echter niet worden gegeven, omdat de module geen beheerder meer had. "Met een ernstig lek in een niet meer ondersteunde module die zo populair is, is het bijna zeker dat een groot aantal websites via dit lek zal worden aangevallen", zo waarschuwde een Drupal-ontwikkelaar vorige week. Er is nu een nieuwe beheerder van de module gevonden wat ervoor zorgde dat er gisteren een update voor het beveiligingslek verscheen. Webmasters moeten die nog wel zelf installeren. bron: security.nl

Microsoft heeft een nieuwe feature aan de eigen Authenticator-app toegevoegd waardoor gebruikers nu alleen via hun smartphone op hun Microsoft-account kunnen inloggen. Zodra gebruikers op hun Microsoft-account willen inloggen en hun gebruikersnaam invoeren vraagt de app op de telefoon om bevestiging. Als de gebruiker het inlogverzoek goedkeurt is hij direct op zijn account ingelogd. Om van de nieuwe feature gebruik te maken moet het Microsoft-account aan de Authenticator-app zijn toegevoegd en de optie om via de telefoon in te loggen zijn ingeschakeld. "Met het inloggen via de telefoon verschuiven we de beveiligingslast van jouw geheugen naar je apparaat", zegt Microsofts Alex Simons. Het inloggen via de smartphone is vooralsnog alleen beschikbaar voor Android en iOS. Microsoft stelt dat het aantal gebruikers van de Authenticator App met een Windows Phone zo klein is dat Android en iOS de prioriteit kregen. Als de feature op deze platformen een succes wordt zal Microsoft overwegen om die ook aan de versie van de app voor Windows Phone toe te voegen. bron: security.nl

Op dit moment is er een worm actief die net als de beruchte Mirai-worm allerlei Internet of Things-apparaten infecteert, maar deze apparaten vervolgens beveiligt zodat ze niet meer kunnen worden aangevallen. Het gaat om de Hajime-worm die eind vorig jaar al werd ontdekt. De worm verspreidt zich net als Mirai via onbeveiligde IoT-apparaten waarvan de Telnet-poort openstaat en die standaardwachtwoorden gebruiken. Destijds was het doel van de worm nog onduidelijk, aangezien Hajime besmette apparaten niet gebruikt voor het uitvoeren van ddos-aanvallen, zoals Mirai doet. Nu meldt beveiligingsbedrijf Symantec dat de worm claimt apparaten te beveiligen. De worm toont elke 10 minuten een boodschap op de terminal met de tekst "Just a white hat, securing some systems." Vervolgens worden poort 23, 7547, 5555 en 5358 gesloten. Deze poorten worden onder andere door de Mirai-worm gebruikt om IoT-apparaten aan te vallen. Toch is de Hajime-worm niet helemaal onschuldig, aangezien die wel een backdoor op het apparaat installeert. Naar schatting zijn wereldwijd tienduizenden IoT-apparaten door Hajime besmet. bron: security.nl

Tijdens de geplande patchcyclus van april heeft Oracle 299 beveiligingslekken in verschillende softwareproducten gepatcht. Via de kwetsbaarheden zouden systemen in het ergste geval op afstand kunnen worden overgenomen. De meeste beveiligingslekken zijn verholpen in Financial Services Applications (47), Oracle MySQL (39), Retail Applications (39) en Oracle Fusion Middleware (31). In het geval van Java zijn er 8 kwetsbaarheden gepatcht, waarvan er 7 op afstand waren aan te vallen. Verder zijn er ook 15 lekken in de virtualisatiesoftware Secure Global Desktop en VirtualBox opgelost, alsmede een lek in Solaris 10 en 11.3 dat vorige week door de hackergroep Shadow Brokers openbaar werd gemaakt. Vanwege het risico op succesvolle aanvallen adviseert Oracle de updates zo snel als mogelijk te installeren. In tegenstelling tot bijvoorbeeld Adobe of Microsoft die elke maand met updates komen, verschijnen de patches van Oracle elk kwartaal. De volgende patchronde staat gepland voor 18 juli. bron: security.nl

Google Chrome waarschuwt elke maand meer dan 250 miljoen keer voor websites die malware bevatten, inloggegevens proberen te stelen of gebruikers op andere manieren proberen te misleiden, zo heeft Google laten weten. Hiervoor maakt de browser gebruik van Google Safe Browsing. Dit is een blacklistdienst die Google tien jaar geleden lanceerde en waarschuwt voor gevaarlijke websites. Google deelt deze blacklist ook met andere partijen. Naast Chrome maken ook Firefox, Opera, Safari en Vivaldi er gebruik van. Volgens Google is het één van de onderdelen die ervoor zorgt dat Chrome "secure by default" is. Verder maakte de softwaregigant bekend dat het inmiddels meer dan 3,5 miljoen dollar heeft betaald aan externe onderzoekers voor het melden van kwetsbaarheden in Chrome. bron: security.nl

Onderzoekers hebben een nieuwe Ransomware as as Service (RaaS) ontdekt die cybercriminelen tegen een minimale investering toegang tot volledig functionerende ransomware geeft. RaaS biedt criminelen zonder uitgebreide technische kennis de mogelijkheid om over ransomware te beschikken. Vervolgens is het aan de criminelen om de ransomware te verspreiden. Zodra slachtoffers betalen gaat er een deel van het bedrag naar de RaaS-aanbieder. De nu ontdekte Karmen-ransomware volgt hetzelfde businessmodel. Om van de ransomware gebruik te kunnen maken moeten kopers 175 dollar betalen. Dit bedrag is inclusief nieuwe updates. Daarbij hanteert de RaaS-aanbieder een maximaal aantal kopers van 25. Volgens beveiligingsbedrijf Recorded Future zijn 20 exemplaren van de ransomware al verkocht. bron: security.nl

Na zes jaar heeft Mozilla besloten om de stekker uit Firefox Aurora te trekken. De browserontwikkelaar biedt gebruikers, ontwikkelaars en testers verschillende Firefox-versies aan. Deze versies moeten eventuele problemen verhelpen voordat de uiteindelijke versie wordt gelanceerd. Zo is er een zeer vroege testversie genaamd Nightly. Hierna kwamen de Aurora-versie en betaversie. De Aurora-versie werd in 2011 voor het eerst gelanceerd om meer feedback van gebruikers te krijgen. Mozilla stapte toen over op een ander releasemodel voor Firefox. Het idee was dat Aurora tien keer meer gebruikers dan de Nightly zou krijgen, maar dit werd in de praktijk nooit gerealiseerd. Daarnaast zegt de opensource-ontwikkelaar dat het huidige Firefox-releasemodel van allerlei moderne processen gebruikmaakt, waardoor de extra zes tot acht weken voor de Aurora-fase niet meer nodig zijn. Voortaan zullen er dan ook nog maar twee testversies zijn: de Nightly voor het testen van experimentele features en de betaversie voor het testen van de stabiliteit. bron: security.nl

Onderzoekers van de Amerikaanse Purdue University hebben naar eigen zeggen een ernstig lek in een door Google ontwikkeld protocol ontdekt dat door meer dan 1 miljard gebruikers wordt gebruikt en ervoor kan zorgen dat een aanvaller de lengte van iemands wachtwoord kan achterhalen. Het onderzoek en de aankondiging van de kwetsbaarheid, die door de onderzoekers Ring-Road wordt genoemd, krijgen echter de nodige kritiek te verduren. Volgens critici wordt de impact van het probleem door de onderzoekers overdreven. Het Google-protocol in kwestie wordt QUIC genoemd, wat staat voor Quick UDP Internet Connections. Het moet de snelheid en prestaties van Chrome en Google-diensten versnellen. Het protocol lekt echter de exacte lengte van gevoelige informatie wanneer het via internet wordt verstuurd. Het kan dan bijvoorbeeld gaan om de lengte van iemands wachtwoord die op Gmail inlogt. Volgens de onderzoekers wordt op deze manier het doel van de onderliggende encryptie ondermijnd, dat er voor moet zorgen dat gegevens vertrouwelijk blijven, waaronder de lengte van het wachtwoord. De onderzoekers adviseren Chrome-gebruikers om QUIC in de browser uit te schakelen en tweefactorauthenticatie voor hun Gmailaccount in te schakelen. Verder krijgen systeembeheerders het advies om QUIC via de firewall te blokkeren. De aankondiging van de kwetsbaarheid krijgt zowel op Hacker News als Reddit veel kritiek te verduren. Zo wordt gesteld dat het geen geheim is dat QUIC de wachtwoordlengte niet verbergt. Daarnaast zou het uitschakelen van het QUIC-protocol het probleem niet verhelpen, aangezien TLS zich op dezelfde manier gedraagt. Een ander kritiekpunt is het ontbreken van informatie en details over de kwetsbaarheid. Verder zou alleen het weten van de lengte in de praktijk geen impact hebben op het kraken van een wachtwoord dat al lang genoeg is om een bruteforce-aanval te weerstaan. De onderzoekers laten echter weten dat ze op 18 april tijdens een beveiligingsconferentie hun onderzoek zullen demonstreren. Na te zijn ingelicht is Google samen met de Internet Engineering Task Force (IETF) een onderzoek gestart om te kijken of het probleem kan worden verholpen. bron: security.nl

Microsoft is begonnen om op sommige systemen met nieuwe AMD- en Intel-processors updates voor Windows 7 en 8.1 te blokkeren. De maatregel kwam vorige maand al in het nieuws, maar wordt nu door de softwaregigant gehandhaafd, wat inhoudt dat gebruikers geen updates meer ontvangen. Verschillende gebruikers en Ars Technica melden dat op sommige systemen een pop-up verschijnt dat de gebruikte processor alleen door Windows 10 wordt ondersteund en niet op de gebruikte Windowsversie. Daardoor lopen gebruikers belangrijke beveiligingsupdates mis. Het gaat onder andere om de Kaby Lake-processors van Intel en de Ryzen-processors van AMD. In het geval van de Skylake-processors van Intel zullen die alleen op de systemen van 16 specifieke fabrikanten nog updates ontvangen. Ook eigenaren van een systeem met de AMD Carrizo-processor kregen de melding dat de processor niet meer wordt ondersteund, maar dit is een fout en zal via een toekomstige update worden verholpen, zo liet Microsoft eerder deze week weten. bron: security.nl

De manier waarop browsers omgaan met domeinen die volledig uit unicode-karakters bestaan maakt het mogelijk om phishingaanvallen uit te voeren die erg lastig voor gebruikers zijn om te detecteren, zo heeft een beveiligingsonderzoeker genaamd Xudong Zheng aangetoond. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Veel unicode-karakters zijn echter lastig van gewone ASCII-karakters te onderscheiden. Zo is het mogelijk om een domein als "xn--pple-43d.com" te registreren, wat als "?pple.com" wordt weergegeven. Het domein gebruikt echter de Cyrillische "a" (U+0430) in plaats van de ASCII "a" (U+0041). Dit wordt ook wel een "homograph" aanval genoemd. Browserontwikkelaars hebben maatregelen genomen om dit soort aanvallen tegen te gaan. Zo zullen Chrome en Firefox de unicode-karakters niet in de oorspronkelijke vorm weergeven als er karakters van verschillende talen in het domein worden gebruikt. De nepversie van apple.com zal dan als "xn--pple-43d.com" worden weergegeven. Zheng ontdekte dat deze maatregel niet beschermt tegen domeinen waarbij alle karakters door unicode-karakters zijn vervangen, zoals "xn--80ak6aa92e.com". In dit geval zal het domein als apple.com worden weergegeven, zo blijkt uit de demonstratie van Zheng. De onderzoeker meldde het probleem in januari van dit jaar aan Google en Mozilla. In een toekomstige versie van Chrome zal het probleem worden opgelost. Het is echter onduidelijk of Mozilla een oplossing voor Firefox zal uitrollen. Gebruikers krijgen dan ook het advies om een wachtwoordmanager te gebruiken, aangezien die niet op het nepdomein actief wordt. Daarnaast moeten gebruikers goed opletten als ze informatie op een website invoeren, aldus de onderzoeker. "Ik hoop dat Mozilla een oplossing voor dit probleem overweegt, omdat het voor serieuze verwarring kan zorgen, zelfs bij mensen die alert op phishing zijn", besluit Zheng. bron: security.nl

Microsoft heeft enkele veiligheidsmaatregelen toegevoegd aan Office 365. Zo moet de dienst een stuk veiliger worden en klanten beschermen tegen mogelijke bedreigingen. Dit alles is gelanceerd onder de noemer Office 365 Threat Intelligence. In de blogpost waarin de nieuwe functies aangekondigd worden, omschrijft Microsoft nieuwe interactieve tools om de ernst van, en de invloed van beveiligingsinbreuken te analyseren. Als aanvulling daarop zijn er realtime notificaties van mogelijke inbreuken en diverse mogelijkheden om verdachte content te analyseren. Daarnaast breidt Microsoft de Management API uit om details over bedreigingen te bieden en is integratie met SIEM-oplossingen mogelijk. “Office 365 Threat Intelligence biedt informatie over types malware zowel binnen als buiten je organisatie, als ook informatie over inbreuken met details tot op het niveau van specifieke code die gebruikt wordt voor bepaalde types malware,” schrijft Microsoft in de blogpost. Microsoft brengt ook Office 365 Advanced Data Governance uit, dat klanten helpt belangrijke gegevens te verwerken, onderwijl er bepaalde informatie die mogelijk schadelijke effecten kan hebben weggefilterd wordt. Het systeem geeft dan ook niet alleen waarschuwingen om bedreigingen te identificeren, maar biedt ook tips voor te nemen maatregelen. Afgezien daarvan zijn er ook nog allerhande extra opties om data te classificeren en hiermee om te gaan. Verdere verbeteringen komen binnen een paar maanden naar Office 365. Zowel Threat Intelligence als Advanced Data Governance komen standaard naar Office 365 Enterprise E5 en zijn “algemeen beschikbaar” voor het publiek. bron: techzine.nl

Een zerodaylek in Microsoft Office dat Microsoft gisterenavond patchte is zowel door cybercriminelen als cyberspionnen gebruikt. Eerder deze week werd bekend dat cybercriminelen via het Office-lek de Dridex banking Trojan probeerden te verspreiden. Via deze malware kunnen gegevens voor internetbankieren worden gestolen en is het mogelijk om geld van bankrekeningen te stelen. De kwetsbaarheid werd ook bij gerichte aanvallen ingezet, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. Als gebruikers een kwaadaardig Office-document van de aanvallers openden konden ze met twee malware-exemplaren besmet raken, waaronder de WingBird-malware. Volgens Microsoft is dit waarschijnlijk een nieuwe versie van de FinFisher-overheidsspyware. Bij een vorige aanval waarbij WingBird werd aangetroffen stelde Microsoft nog dat het gebruik van de FinFisher-versie suggereerde dat de aanval het werk was van een aanvalsgroep die banden met een overheidsdienst heeft. Naast de WingBird-malware installeerde de Office-exploit ook de Latentbot die sinds 2013 in omloop is en nauwelijks enige sporen achterlaat, alsmede harde schijven kan beschadigen. De malware is net als WingBird ontwikkeld om gebruikers te bespioneren en gegevens te stelen. Wie er achter de aanvallen zit is onbekend. bron: security.nl

Adobe heeft voor Flash Player, Acrobat, Adobe Reader en PhotoShop beveiligingsupdates uitgebracht die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval systemen had kunnen overnemen. In Flash Player zijn in totaal zeven beveiligingslekken opgelost die een aanvaller in alle gevallen willekeurige code op het systeem lieten uitvoeren, waardoor bijvoorbeeld malware kon worden geïnstalleerd. . Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Microsoft Office-document met een embedded Flash-object was hiervoor voldoende. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 25.0.0.148 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe is naar eigen zeggen niet bekend met aanvallen die misbruik van de kwetsbaarheden maken. Acrobat In Adobe Reader en Adobe Acrobat zijn in totaal 40 kwetsbaarheden verholpen waardoor een aanvaller willekeurige code op het systeem had kunnen uitvoeren of het geheugen had kunnen uitlezen. Gebruikers krijgen het advies om binnen 30 dagen naar Acrobat DC of Acrobat Reader versie 2017.009.20044, Acrobat DC of Acrobat Reader DC Classic versie 2015.006.30306 of Acrobat XI of Adobe Reader XI versie 11.0.20 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer of de website van Adobe. PhotoShop In het geval van Adobe PhotoShop CC zijn er twee kwetsbaarheden gepatcht waardoor een aanvaller via een kwaadaardig pcx-bestand in het ergste geval kwetsbare systemen had kunnen overnemen. Gebruikers van Adobe PhotoShop CC 2017 krijgen het advies naar versie 18.1 te updaten. Voor gebruikers van Adobe PhotoShop CC 2015.5 is update 17.0.2 (2015.5.2) verschenen. Aangezien PhotoShop historisch gezien geen doelwit van aanvallers is, adviseert Adobe beheerders de beveiligingsupdate te installeren wanneer het hen uitkomt. bron: security.nl

Een botnet dat voor het versturen van miljoenen spamberichten en de verspreiding van allerlei malware verantwoordelijk was is door de FBI ontmanteld nadat de Spaanse autoriteiten de vermeende Russische beheerder arresteerden. Dat meldt het Amerikaanse ministerie van Justitie. Het gaat om het Kelihos-botnet dat sinds 2010 operationeel was en uit tienduizenden besmette Windowscomputer bestond. Cybercriminelen maakten op allerlei manieren gebruik van het botnet, zoals het versturen van aandelenspam en de verspreiding van ransomware en banking Trojans. Om het botnet uit te schakelen werden de domeinen waarmee besmette computers werden aangestuurd door de FBI in beslag genomen. Vervolgens werden de ip-adressen veranderd zodat ze naar een vervangende server wezen. Op deze manier kunnen de ip-adressen van slachtoffers worden verzameld. De autoriteiten zullen deze ip-adressen vervolgens met de betreffende providers delen, zodat die hun besmette abonnees kunnen waarschuwen. De Amerikaanse autoriteiten zeggen dat ze exemplaren van de Kelihos-malware met de securitygemeenschap zullen blijven delen, zodat anti-virusbedrijven hun software kunnen updaten om Kelihos te verwijderen. In de aankondiging van het nieuws stelt het ministerie van Justitie dat verschillende betaalde en gratis progamma's de malware kunnen verwijderen, waarbij de gratis Microsoft Safety Scanner als enige voorbeeld wordt genoemd. bron: security.nl

Een zerodaylek in Microsoft Office waar dit weekend voor werd gewaarschuwd wordt actief gebruikt voor de verspreiding van een Trojaans paard waarmee aanvallers toegang tot gegevens voor internetbankieren krijgen. Dat meldt beveiligingsbedrijf Proofpoint in een blogposting. Het Amerikaanse beveiligingsbedrijf McAfee kwam dit weekend met de waarschuwing voor een kwetsbaarheid in alle versies van Microsoft Office die aanvallers in combinatie met een zerodaylek in Windows gebruiken om doelen aan te vallen. Verdere details werden echter niet gegeven. Volgens Proofpoint versturen de aanvallers rtf-documenten die wanneer geopend de Dridex Trojan op computers installeren. Dit is een banking Trojan waarmee gegevens voor internetbankieren worden onderschept. Vervolgens kunnen aanvallers hiermee frauderen. McAfee adviseerde als oplossing om Protected View in Office in te schakelen, aangezien de exploit dan niet zou werken. Deze optie staat echter standaard ingeschakeld. Proofpoint laat zich niet uit of de nu waargenomen aanvallen met of zonder Protected View werken. Wel vermoedt het beveiligingsbedrijf dat de kwetsbaarheid vanavond tijdens de maandelijkse Microsoft-patchcyclus van april zal worden gedicht. Gebruikers die toch een oplossing zoeken kunnen ervoor kiezen om rtf-documenten in Microsoft Office te blokkeren, aldus het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Google heeft afgelopen maand een belangrijk aandeel gehad in de beveiligingslekken die Microsoft heeft gepatcht. Tijdens de patchdinsdag van maart verhielp de softwaregigant 119 kwetsbaarheden, waarvan er 29 door Google waren gevonden en gerapporteerd. Het gaat om problemen die al sinds de vorige eeuw in de Windowscode aanwezig zijn, zo laat de internetgigant in een analyse weten. De beveiligingslekken waren aanwezig in een softwarebibliotheek en deden zich voor bij het verwerken van fonts. Google is al geruime tijd bezig om kwetsbaarheden in Windows via gemanipuleerde fontbestanden te vinden. In dit geval werd er zelfs een geheel nieuwe aanvalsvector ontdekt om Windows via dergelijke bestanden aan te vallen. Verder onderzoek wees uit dat de kwetsbare code al sinds Windows 2000 aanwezig is. "Het is een fascinerende maar beangstigende realisatie dat zelfs bij zo'n bekend probleem als het verwerken van fonts, het nog steeds mogelijk is om nieuwe aanvalsvectoren te vinden die van de vorige eeuw dateren en grotendeels door audits zijn overgeslagen", zegt Mateusz Jurczyk van Google Project Zero, het speciale team van Google dat uit allerlei zeer ervaren hackers bestaat en veelgebruikte software op kwetsbaarheden onderzoekt. Volgens Jurczyk laten de resultaten zien dat de tijd die wordt geïnvesteerd in het grondig analyseren van het aanvalsoppervlak en het zoeken naar onbekende doelwitten veel kan opleveren, aangezien de securitygemeenschap nog altijd geen volledig begrip heeft van de aanvalsvectoren in belangrijke stacks, zoals het verwerken van Windows-fonts, aldus de onderzoeker. bron: security.nl

Het is vandaag precies 5 jaar geleden dat Microsoft een beveiligingsupdate voor kwetsbaarheden in Office uitrolde, maar één van de toen gepatchte beveiligingslekken wordt in 2017 nog steeds aangevallen, wat aantoont hoe belangrijk het installeren van patches is. De kwetsbaarheid wordt aangeduid met de code CVE-2012-0158 en is aanwezig in Office 2003, 2007 en 2010 voor Windows. Via het beveiligingslek kan een aanvaller in het ergste geval een Windowscomputer volledig overnemen als er met een kwetsbare versie van Office een kwaadaardig document wordt geopend. Hoewel de update al geruime tijd beschikbaar is vinden er nog geregeld aanvallen plaats waarbij van dit specifieke lek gebruik gemaakt wordt. Het gaat zowel om aanvallen van cyberspionnen als cybercriminelen. Vanwege de impact en leeftijd kijkt Security.NL in dit artikel naar de ontwikkelingen rondom deze specifieke kwetsbaarheid. Het is namelijk vrij bijzonder dat een dergelijke oude kwetsbaarheid nog steeds effectief is en ook al zo lang wordt aangevallen. Sommige onderzoekers noemen het dan ook "het beveiligingslek dat niet wil sterven". Zo werden vorig jaar de Indiase en Oezbeekse overheid nog via dit lek aangevallen, alsmede overheidsinstanties, activisten, militaire organisaties en bedrijven in allerlei andere landen. Uit cijfers van vorig jaar zou blijken dat 15 procent van de computers in Europa en de Verenigde Staten nog steeds kwetsbaar is en iets minder dan 40 procent wereldwijd. In Rusland en Azië hebben aanvallers echter meer dan 50 procent kans dat gebruikers nog steeds een kwetsbare Office-versie draaien (pdf). "Het is een robuust en eenvoudig beveiligingslek. Het is eenvoudig te gebruiken, eenvoudig aan te passen en eenvoudig in Office-documenten te verbergen”, zegt Gabor Szappanos, expert op het gebied van Office-exploits en werkzaam voor het Britse beveiligingsbedrijf Sophos. Hij denkt dat dit de voornaamste redenen voor het succes zijn, gecombineerd met het feit dat veel Office-installaties niet zijn gepatcht. Een andere reden is dat veel mensen niet weten dat een onschuldig lijkend Excel- of Word-document een exploit kan bevatten en dergelijke documenten dan ook gewoon openen. Exploitkit Wat ook meespeelt is het verschijnen van zogeheten "Office exploit builder kits", waarmee het eenvoudig is om een kwaadaardig Excel- of Word-document te maken dat slachtoffers via kwetsbaarheden in Microsoft Office probeert te infecteren. "Elke crimineel zonder kennis over exploits kan zo’n kit aanschaffen en gebruiken", laat de expert weten. De afgelopen jaren is het gebruik van dergelijke exploitkits sterk gestegen, aldus Szappanos. Daardoor is de kwetsbaarheid ook in het vizier van cybercriminelen gekomen die normaliter geen gebruik van Office-exploits zouden maken. Ook Szappanos is verrast dat aanvallers nog steeds gebruik van het 5 jaar oude Office-lek maken. Wat dit succes mogelijk ook verklaart is dat er niet veel eenvoudig te gebruiken Office-kwetsbaarheden zijn. Op dit moment zijn er vier a vijf Office-exploits in omloop die veel worden gebruikt, en CVE-2012-0158 is daarvan de populairste, aldus de expert. "Als criminelen een exploit zoeken waarvan ze zeker willen weten dat die werkt, dan kiezen ze deze." Hoewel de kwetsbaarheid in eerste instantie alleen voor cyberspionage werd ingezet, ziet Szappanos een verschuiving waarbij ook doorsnee cybercriminelen slachtoffers via dit Office-lek aanvallen. Zo zijn er verschillende campagnes bekend waarbij criminelen via dit lek Trojaanse paarden hebben verspreid waarmee toegang tot internetbankieren werd verkregen. Doordat cybercriminelen de kwetsbaarheid aanvallen lopen veel meer gebruikers risico dan bij cyberspionage, aangezien deze aanvallen tot geselecteerde organisaties of personen beperkt worden. Szappanos is ook bekend met enkele gevallen waarbij er via kwaadaardige documenten ransomware werd verspreid. "Maar voor de één of andere reden houden de bendes achter ransomware zich niet met Office-exploits bezig. Ze kiezen liever voor Office-macro’ s", zo stelt de expert. Illegale software De grote vraag blijft echter waarom eindgebruikers en organisaties hun Office-versie niet patchen. Door het installeren van een enkele update hadden honderden aanvallen voorkomen kunnen worden. "Het kan zijn dat het gebruikers niets kan schelen, of dat ze illegale software gebruiken en hun versie niet kunnen updaten”, aldus Szappanos. In het geval van organisaties kan hij geen reden verzinnen waarom het updaten wordt uitgesteld. "Office-updates zijn veilig om te installeren, ze zouden niet voor problemen of compatibiliteitsproblemen moeten zorgen. Het is een must voor organisaties om ze meteen te installeren zodra ze beschikbaar zijn." Volgens de expert is het belangrijk om aandacht voor dit specifieke lek en andere Office-kwetsbaarheden te vragen. Gebruikers moeten weten dat ze via dergelijke beveiligingslekken kunnen worden aangevallen en dat updates hier tegen beschermen, gaat Szappanos verder. "Het installeren van een update is de eenvoudigste oplossing." Het zou dan ook helpen als Microsoft de update voor deze kwetsbaarheid ook aan gebruikers van illegale software beschikbaar zou stellen, merkt Szappanos op. De expert denkt dat CVE-2012-0158 nog een paar jaar zal meegaan, maar dat cybercriminelen deze kwetsbaarheid uiteindelijk links zullen laten liggen. "Ze blijven het gebruiken zolang er voldoende kwetsbare gebruikers zijn." En zelfs als dit specifieke lek verdwijnt, zijn er inmiddels ook nieuwere exploits beschikbaar. "Het advies is dan ook patchen, patchen, patchen", besluit Szappanos. bron: security.nl

Zoekmachine Ask.com heeft gedurende een maand allerlei zoekopdrachten van gebruikers voor iedereen openbaar gemaakt. De Apache-statuspagina was niet afgeschermd en toonde allerlei zoekresultaten. De statuspagina hoort normaliter niet zomaar toegankelijk te zijn. De Duitse beveiligingsonderzoeker Hanno Böck ontdekte het probleem en waarschuwde Ask vorige maand al. "Het is onverantwoord van een zoekmachine om op een dergelijke manier de servers te configureren", zo liet hij tegenover het Duitse Golem weten. Inmiddels is de pagina niet meer toegankelijk. De zoekmachine Ask.com zit ook achter de gelijknamige omstreden toolbar, die door sommige experts als adware wordt bestempeld en meerdere keren is gebruikt voor het verspreiden van malware. bron: security.nl

Gebruikers van alle versies van Microsoft Office zijn gewaarschuwd voor een ernstig beveiligingslek in de kantoorsoftware dat sinds januari wordt aangevallen en waar nog geen update van Microsoft voor beschikbaar is. De nu ontdekte kwaadaardige Office-documenten gebruiken naast het Office-lek ook een Windows-lek dat nog niet is gepatcht. Mogelijk dat de aanvallers via dit lek hun rechten op het systeem verhogen. Door het openen van een kwaadaardig Office-document kan een aanvaller volledige controle over het systeem krijgen. Alle versies van Office zijn kwetsbaar, waaronder Office 2016 op Windows 10. Dat laat beveiligingsbedrijf McAfee weten. Zodra het document wordt geopend zal de exploit een hta-bestand downloaden. Hiermee kan een aanvaller willekeurige code op het systeem uitvoeren. Als de exploit succesvol is wordt het kwaadaardige Word-bestand gesloten en verschijnt er een ander document om het slachtoffer niets te laten vermoeden. De eerste aanvallen op het beveiligingslek dateren van januari dit jaar. Microsoft is ingelicht en werkt aan een beveiligingsupdate. Wanneer die zal verschijnen is nog onbekend. In de tussentijd krijg gebruikers het advies om geen Office-documenten van onbetrouwbare bronnen te openen en Office Protected View in te schakelen. De exploit zal dan namelijk niet werken. bron: security.nl

Quote: Alvast bedankt voor de goede raad! Graag gedaan

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Het geluid van Disney zou inderdaad aan de beveiliging kunnen liggen. Maar even iets anders. Wat voor Hotspotpunt gebruik je. Zolang je niet weet wie de hotspot aan biedt, zou ik voorzichtig zijn. Voor het zelfde geld heb je te maken met een man-in-the-middle. Oftwel, heb jij je internetverbinding maar kan ondertussen iemand vrolijk alles volgen en meekijken wat je via internet doet. Dus ook het lezen van je wachtwoorden en inlognamen cq codes. Ik raad je enige voorzichtigheid aan. Wat is overigens de reden van deze opstelling en niet voor een eigen internetaansluiting?

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Beste CRoelofs, hoe staat het met het probleem? Is het al opgelost. Zo niet, voer dan even het advies van Droske uit zodat hij je verder kan helpen.

Beste Grijzegeus, Is je probleem opgelost? Dan mag je dit topic afsluiten. Zo blijft het voor ons een beetje overzichtelijk. Is je probleem nog niet opgelost, laat het dan even weten.