Captain Kirk

Ik zie dat hier al een tijdje geen vervolg van het topic is. Je zou nog een recovery met het programma "Recuva" kunnen proberen. Soms haalt het ene programma meer terug dan het andere. Alleen hier is de bottleneck wel dat het gaat om foto's van een jaar geleden. De kans op volledig herstel is dus klein.

Er is een nieuwe exploitkit voor cybercriminelen verschenen die zich opmerkelijk genoeg vooral op oude beveiligingslekken richt. Exploitkits zijn nog altijd een populaire manier voor cybercriminelen om internetgebruikers met malware te infecteren, maar de effectiviteit staat onder druk. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht. Steeds meer programma's beschikken echter over een automatische updatefunctie en sinds het oprollen van de bende cybercriminelen die achter de populaire Angler-exploitkit zat zijn er geen gelijkwaardige exploitkits verschenen om het ontstane gat op te vullen. Zo ontwikkelden de ontwikkelaars van de Angler-exploitkit geregeld nieuwe exploits die vervolgens aan de exploitkit werden toegevoegd. De nu verschenen Nebula-exploitkit kenmerkt zich vooral door het gebruik van oude exploits die van zes kwetsbaarheden gebruik maken. Het gaat om een Windows-lek uit 2014, twee Internet Explorer-lekken uit 2013 en 2016 en drie kwetsbaarheden in Adobe Flash Player waarvan er twee in 2015 en één in 2016 werden gepatcht, zo meldt onderzoeker Kafeine van het blog Malware don't need Coffee. Hij sluit echter niet uit dat het hier om een variant van een andere exploitkit gaat. Om van de exploitkit gebruik te mogen maken moeten cybercriminelen 2000 dollar per maand betalen, of 600 dollar voor een week. bron: security.nl

Microsoft waarschuwt internetgebruikers voor een geraffineerde scam waarbij het lijkt alsof Microsoft.com een waarschuwing geeft dat de computer met een virus is besmet en het opgegeven telefoonnummer moet worden gebeld. In werkelijkheid gaat het om de bekende telefoonscam waarbij mensen worden opgelicht door personen die zich voordoen als Microsoftmedewerker. Vorig jaar augustus waarschuwde anti-malwarebedrijf Malwarebytes al hiervoor, maar de scam is nog altijd actief. De scam begint met een kwaadaardige advertentie die gebruikers naar de malafide website doorstuurt. Daar verschijnt een pop-up dat de computer is geblokkeerd en het opgegeven nummer moet worden gebeld. Tevens wordt er een audiobericht afgespeeld om voor verdere paniek te veroorzaken, aldus Microsoft. Steeds meer scams zouden deze tactiek toepassen. Als gebruikers op de OK-knop van de pop-up klikken wordt er een zogenaamd dialoogvenster geladen dat zich voordoet als een melding van Microsoft.com. Wordt vervolgens ook in dit venster op OK geklikt, dan verschijnt er een afbeelding die het hele scherm in beslag neemt en zogenaamd Microsoft.com weergeeft. De "website" stelt dat Microsoft moet worden gebeld, waarbij het telefoonnummer van de oplichters staat vermeld. Zodra slachtoffers het nummer bellen proberen de oplichters hen voor onnodige diensten te laten betalen. Microsoft adviseert internetgebruikers om dergelijke scamsites te voorkomen door voorzichtiger tijdens het internetten te zijn. "Bezoek zoveel als mogelijk alleen betrouwbare websites. Net als bij de meeste techsupportscams word je via kwaadaardige advertenties naar de scamsite doorgestuurd. Deze advertenties worden meestal op dubieuze websites gevonden, zoals websites die illegale media en software, cracks en malware aanbieden", aldus Microsofts Jonathan San Jose. bron: security.nl

Google heeft de beloning verhoogd die hackers en onderzoekers krijgen voor het melden van ernstige beveiligingslekken in de websites van de internetgigant, zoals YouTube, Blogger en andere diensten onder Google.com, alsmede door Google ontwikkelde apps en extensies. In 2010 begon Google een beloningsprogramma om zo meer kwetsbaarheden te kunnen vinden en verhelpen. De afgelopen jaren is het ontdekken van ernstige kwetsbaarheden steeds lastiger geworden en kost ook veel meer tijd van onderzoekers, aldus Google. Daarom is besloten de beloning voor beveiligingslekken die het mogelijk maken om willekeurige code uit te voeren te verhogen van 20.000 dollar naar 31.337 dollar. Een kwetsbaarheid waardoor het mogelijk is om onbeperkte toegang tot het bestandssysteem of database te krijgen levert voortaan 13.337 dollar op in plaats van 10.000 dollar. Verder zullen beloningen voor rapporten die via de interne websecurityscanner van Google zijn verkregen aan goede doelen worden geschonken. Zo heeft Google dit jaar al 8.000 dollar aan Rescue.org gedoneerd. bron: security.nl

Windows 10-gebruikers die straks de Creators Update installeren krijgen ook de vraag of ze hun privacyinstellingen willen aanpassen. Volgens Microsoft krijgen gebruikers zo meer controle over hun privacy. De Creators Update wordt één van de grootste updates voor Windows 10 tot nu toe. Onder druk van onder andere de Zwitserse privacytoezichthouder FDPIC besloot Microsoft Windows 10 van nieuwe privacyinstellingen te voorzien. Zo krijgen gebruikers meer informatie over de gegevens die worden verwerkt en moeten gebruikers al tijdens het installatieproces bepalen en toestemming verlenen voor het verwerken en versturen van gegevens. Dat geldt niet alleen bij een schone installatie van Windows 10, maar ook bij het installeren van de Creators Update. "Deze nieuwe functionaliteit maakt het eenvoudiger om de privacy- en diagnostische dataverzamel-instellingen te kiezen die het beste voor je zijn", aldus Microsofts Michael Fortin. Bij het kiezen van de privacyinstellingen voor de installatie van de Creators Update zegt Microsoft aanbevelingen te doen die op de huidige privacyinstellingen zijn gebaseerd. De update zal waarschijnlijk in april verschijnen. Onlangs maakte de Autoriteit Persoonsgegevens bekend dat het samen met privacytoezichthouders uit andere Europese landen onderzoek doet naar de verwerking van persoonsgegevens via Windows 10 door Microsoft. De toezichthouders zijn bezorgd, ook na de door Microsoft aangekondigde wijzigingen in Windows 10, dat Microsoft fundamentele privacyregels niet naleeft. bron: security.nl

Microsoft heeft besloten om de beloning voor hackers die kwetsbaarheden in Office 365 vinden en rapporteren tijdelijk te verdubbelen. "Als een onderzoeker ons over een kwetsbaarheid in Office 365 informeert, moeten ze worden beloond", aldus Travis Rhodes van Microsoft. Voorheen bedroeg de minimale beloning 500 dollar en maximale beloning 15.000 dollar. Van 1 maart tot 1 mei zijn deze bedragen verdubbeld, wat inhoudt dat onderzoekers 30.000 dollar met een Office 365-lek kunnen verdienen. De dubbele beloning geldt voor verschillende domeinen, zoals portal.office.com, outlook.live.com en *.outlook.com. Het gaat onder andere om de beheerdersportalen voor Exchange Online en Office 365. "Het beveiligen van Exchange Online is van groot belang voor de veiligheid van klanten, aangezien het de gateway naar gevoelige gebruikersgegevens is, zoals e-mail, kalenders, contactgegevens en opdrachten voor endpoint-apparaten", merkt Rhodes op. Wat betreft het soort kwetsbaarheden zoekt Microsoft naar zaken als cross-site scripting, injection-kwetsbaarheden en mogelijkheden om code op servers uit te voeren. bron: security.nl

Aanvallers hebben in 2015 en 2016 zo'n 32 miljoen Yahoo-accounts via vervalste cookies gehackt, zo heeft Yahoo aan de Amerikaanse beurswaakhond SEC laten weten. Eind vorig jaar maakte Yahoo al bekend dat in 2013 de gegevens van 1 miljard Yahoo-gebruikers waren gestolen. Ook verklaarde Yahoo dat een derde partij toegang tot de broncode van het bedrijf had gekregen om te leren hoe cookies moesten worden vervalst om zo zonder wachtwoord toegang tot accounts van gebruikers te krijgen. Volgens onderzoekers zijn voor ongeveer 32 miljoen accounts dergelijke vervalste cookies gebruikt. "We denken dat een deel van deze activiteit verband houdt met de dezelfde staatsaanvaller die we voor het beveiligingsincident in 2014 verantwoordelijk houden", aldus de verklaring van Yahoo. Bij dat incident werden de gegevens van 500 miljoen gebruikers gestolen. Halverwege februari begon Yahoo met het waarschuwen van gebruikers die via de vervalste cookies waren gehackt, alleen het aantal getroffen accounts was toen nog onbekend. 26 gebruikers waren met name het doelwit van de aanvallers. De vervalste cookies zijn eerder al ongeldig gemaakt. Vanwege de hack heeft Yahoo-directeur Marissa Mayer besloten om van haar jaarlijkse bonus af te zien en die onder het personeel te verdelen, zo liet ze via Tumblr weten. bron: security.nl

Ik begrijp dat je voorzichtig bent en dat is ook best verstandig. De service van het bedrijf is netjes. Maar die indruk kreeg ik al van ze. Wanneer je vragen hier voldoende beantwoord zijn mag je dit onderwerk op slot zetten. Succes met de cursus.

Ik haak even in over je vraag over het gebruik van Teamviewer. Zelf gebruik ik het op werk en voor prive regelmatig. Ook grote bedrijven maken er vaak gebruik van. Met teamviewer geef je inderdaad de ander toegang tot het overnemen van je computer. Dit kan alleen maar wanneer jij het wachtwoord aan hen door geeft. Vandaar het telefonisch contact op het moment dat zij met teamviewer je computer over willen nemen. Op het moment dat ze de computer over hebben genomen, kun je zelf op het scherm volgen wat ze precies doen. Aangezien ik zag dat Eurotalk geen klein bedrijf is, zullen ze niet zomaar hun naam te grabbel gooien door gelijk even te kijken wat je allemaal op je pc hebt staan. Na de hulpsessie wordt Teamviewer gesloten en kunnen ze niet meer bij je pc. Voor een volgende sessie geeft Teamviewer nl een ander wachtwoord tenzij je hebt aangegeven dat ze een vaste verbinding mogen maken. Wil je helemaal zekerheid, deïnstalleer je Teamviewer na afloop. Overigens is de link welke je hebt gekregen een link naar Teamviewer 10. Inmiddels zitten we al op Teamviewer 12. Kort gezegd: het gaat om een gerenommeerd bedrijf welke je een service wil aanbieden om je te helpen. Op zich netjes. Het hangt alleen van jou af of je er een prettig gevoel bij hebt indien ze op afstand je pc over willen nemen.

Maandag werd al bekend dat Windows 10 nieuwe opties krijgt voor het installeren van applicaties, maar nu heeft Microsoft de feature ook zelf aangekondigd. Met de Creators Update kunnen gebruikers en beheerders instellen wat voor soort type applicaties op de computer mogen worden geïnstalleerd. Zo is het mogelijk om alleen apps uit de Microsoft Store toe te staan. Ook kunnen gebruikers ervoor kiezen om een waarschuwing te krijgen als ze apps van buiten de Microsoft Store willen installeren. Daarnaast is er de optie om apps van alle locaties toe te staan. Deze optie staat standaard ingeschakeld. Als één van de twee Store-opties wordt gekozen krijgen gebruikers een waarschuwing als ze een niet-Store-app willen installeren. De waarschuwing stuurt gebruikers door naar de Microsoft Store, waar ze een alternatieve app kunnen downloaden als die beschikbaar is. In bepaalde gevallen zal de waarschuwing direct naar een alternatieve app in de Store wijzen. Windows Defender Verder zijn er verbeteringen aan Windows Defender doorgevoerd. Het Windows Defender Security Center heeft een nieuw waarschuwingsicoon waarmee in één oogopslag de status van het systeem kan worden gezien. Ook is het mogelijk om Defender vanuit het waarschuwingsicoon te lanceren. Verder is Defender direct vanaf de Settings-app te starten. De features zijn aan de nieuwste testversie van Windows 10 toegevoegd. bron: security.nl

Een apparaat dat alle met internet verbonden systemen in een huis beschermt waarschuwt gebruikers via gekleurde lampjes voor aanvallen. Gebruikers kunnen zo via één oogopslag zien of er kwaadaardige activiteit in het netwerk is gedetecteerd. Het apparaat heet de Dojo en is een soort van IoT-firewall. De Dojo werd al in 2015 aangekondigd, maar zal nu eindelijk worden geleverd. Tijdens het Mobile World Congress in Barcelona demonstreren de ontwikkelaars het apparaat. Eenmaal op een netwerk aangesloten analyseert de Dojo al het verkeer en past hier vervolgens het ingestelde veiligheidsbeleid op toe. In het geval de Dojo een dreiging waarneemt verandert de kleur van het apparaat. Via drie kleuren, rood, geel en groen, wordt de status van het netwerk weergegeven. Het apparaatje is via een smartphone-app te bedienen. Zo kan netwerkactiviteit via de smartphone-app worden geblokkeerd of toegestaan en worden gebruikers in het geval van een dreiging ook via de app gewaarschuwd. Volgens de ontwikkelaars verzamelt de Dojo geen gebruikersgegevens. Wel worden metadata over het gedrag van het apparaat verzameld en security/privacy-gerelateerde logs. Het apparaat is bedacht door het Israëlische Dojo Labs, dat vorig jaar door het Britse anti-virusbedrijf BullGuard werd overgenomen. De Dojo zal 199 dollar kosten, inclusief een abonnement van 12 maanden. Hierna zal er 99 dollar per jaar voor het abonnement moeten worden betaald. De Dojo is vanaf april beschikbaar. bron: security.nl

Google heeft besloten om de TLS 1.3-ondersteuning in Chrome 56 tijdelijk terug te draaien omdat dit voor problemen bij organisaties zorgt die het internetverkeer via Bluecoat-apparaten laten inspecteren. De apparaten ondersteunen namelijk geen TLS 1.3 en blokkeren vervolgens de verbinding. Duizenden computers van scholen in Montgomery County konden zodoende geen websites meer opvragen, zo heeft een beheerder op de Chromium-bugtracker laten weten. Nadat Chromebooks van de scholen naar Chrome OS 56 waren geüpgraded waren de machines niet meer te gebruiken omdat ze geen verbinding met het netwerk konden maken. De enige oplossing was volgens de beheerder het opnieuw installeren, maar dit is een tijdrovend proces. Transport Layer Security (TLS) is een encryptieprotocol dat de communicatie tussen bijvoorbeeld een computer en een website versleutelt. In het geval van organisaties die van Bluecoat-apparaten gebruikmaken wordt het verkeer van de computer onderschept en geïnspecteerd. Bluecoat kan een via TLS 1.3 versleutelde verbinding echter niet inspecteren en blokkeert die vervolgens. Volgens Google is het bedrijf al maanden geleden ingelicht dat TLS 1.3-ondersteuning zou worden toegevoegd. "Maar heeft het bedrijf hun software ondanks onze instructies klaarblijkelijk niet getest", zegt David Benjamin van Google. Vanwege de ontstane problemen heeft Google een paar dagen geleden een Chrome-update uitgebracht die de TLS 1.3-support terugdraait. Google benadrukt dat dit uiteindelijk een probleem met de proxy-apparaten is en getroffen organisaties met hun leverancier contact op moeten nemen. Het zou niet de eerste keer zijn dat er problemen door de TLS-ondersteuning van Bluecoat ontstaan. Op Hacker News wordt namelijk gemeld dat hetzelfde probleem zich ook al met TLS 1.2 voordeed. bron: security.nl

Onderzoekers van Google hebben een ernstig beveiligingslek in ESET Antivirus voor macOS ontdekt waardoor een aanvaller systemen volledig kon overnemen. ESET Antivirus draait standaard als root op macOS. De virusscanner maakte echter gebruik van een kwetsbare softwarebibliotheek voor het verwerken van xml-bestanden. Via een kwaadaardig xml-bestand was het voor een aanvaller mogelijk om zonder enige interactie van gebruikers willekeurige code op het systeem uit te voeren. Als ESET Antivirus de licentie probeert te activeren wordt er verbinding gemaakt met een ESET-webserver. De virusscanner controleert echter niet het servercertificaat van de webserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek van de virusscanner onderscheppen en het activatieverzoek beantwoorden. Dit antwoord wordt als een xml-document door de virusscanner verwerkt, waardoor de aanvaller de kwetsbaarheid in de xml-bibliotheek kan misbruiken en willekeurige code met rootrechten kan uitvoeren. Het beveiligingslek werd op 3 november vorig jaar door Google-onderzoekers Jason Geffner en Jan Bee ontdekt en dezelfde dag aan ESET gerapporteerd. Vorige week dinsdag bracht ESET een update uit, waarna Google nu de details heeft geopenbaard. In 2015 vonden onderzoekers van Google ook al verschillende keren kwetsbaarheden in de anti-virussoftware van ESET. bron: security.nl

Met de aankomende Creators Update voor Windows 10 introduceert Microsoft nieuwe update-opties voor het besturingssysteem. Gebruikers kunnen straks uit het gewenste updatekanaal kiezen. Microsoft hanteert verschillende updatekanalen. Zo is er de Current Branch en Current Branch for Business. De Current Branch is het updatekanaal dat de meeste Windows 10-systemen gebruiken. De Current branch for Business installeert naast beveiligingsupdates ook feature-updates die in de consumentenmarkt zijn getest en gevalideerd. Dit updatekanaal loopt wat betreft feature-updates vier maanden achter op de Current Branch. Standaard staat de Current Branch geselecteerd. Daarnaast kunnen gebruikers straks aangeven hoeveel dagen ze de installatie van feature- en kwaliteitsupdates willen uitstellen. Een andere optie biedt de mogelijkheid om de installatie van updates tot maximaal 35 dagen uit te stellen. Als laatste is het aantal "actieve uren" van het systeem van 12 uur naar 18 uur verlengd. Tijdens de actieve uren worden er geen Windows-updates geïnstalleerd en het systeem niet herstart, zo meldt Windowsvolger Ed Bott. De Creators Update verschijnt waarschijnlijk in april. bron: security.nl

Een beveiligingslek in Windows SMB dat begin deze maand werd onthuld en waar nog geen update van Microsoft voor beschikbaar is kan via Internet Explorer en Edge worden aangevallen. Dat meldt beveiligingsbedrijf SecureWorks. Via de kwetsbaarheid is het mogelijk om computers te laten crashen. Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Voor het aanvallen van de kwetsbaarheid moet een gebruiker met een kwaadaardige smb-server verbinding maken. Dit kan echter op verschillende manieren worden gedaan, aldus onderzoekers. Zo is het mogelijk om computers via 'redirect naar SMB', het openen van een link of het weergeven van een afbeelding op een webpagina met de smb-server van de aanvaller verbinding te laten maken, waarna het systeem crasht. Deze aanvallen werken alleen tegen Internet Explorer en Microsoft Edge. Google Chrome en Mozilla Firefox zijn niet kwetsbaar, omdat in deze browsers het UNC-pad standaard staat uitgeschakeld. Via het UNC-pad kan een de locatie van een "network resource" worden opgegeven, zoals een gedeeld bestand, directory of printer. De onderzoekers adviseren om de Windows-update als die op 14 maart verschijnt zo snel als mogelijk te installeren. In de tussentijd kunnen organisaties uitgaande SMB-verbindingen (poorten 139/tcp, 445/tcp, 137/udp en 138/upd) van het lokale netwerk naar externe netwerken blokkeren. bron: security.nl

Intel heeft aan de nieuwe Kaby Lake-processoren U2F-ondersteuning toegevoegd, zodat gebruikers zonder aanvullende hardware of codes van tweefactorauthenticatie gebruik kunnen maken. De Universal 2nd Factor (U2F) is een open authenticatiestandaard die gebruikers een usb-beveiligingssleutel of nfc-apparaat als tweede factor bij het inloggen laat gebruiken. Zo ondersteunen Facebook, Dropbox, Google, Windows 10 en GitHub inloggen via een fysieke beveiligingssleutel. De Kaby Lake-processoren van Intel zijn voorzien van de Intel Converged Security and Manageability Engine (CSME). Dit biedt de functionaliteit die voor U2F vereist is, zoals het genereren, registreren en signeren van U2F-challenges met een sleutelpaar, zonder dat hiervoor aanvullende hardware is vereist. "Het voordeel dat Intel U2F direct aan de chipset heeft toegevoegd is dat bedrijven en consumenten niet langer aanvullende hardware moeten aanschaffen om van U2F gebruik te maken", zegt Rich Smith van Duo Security. Het bedrijf ontwikkelt authenticatiesoftware. Volgens Smith heeft Intel een interessante aanpak voor de implementatie van hun U2F-client gekozen. "In plaats van een usb-apparaat te gebruiken waarmee de meeste mensen bekend zijn, heeft Intel gekozen om hun U2F-client in de software te integreren en op het scherm op een willekeurig gegenereerde locatie een vierkant te laten zien." De gebruiker moet hier vervolgens op klikken. Intel heeft daarbij maatregelen genomen die moeten voorkomen dat dit proces kan worden afgeluisterd of omzeild. Zodra de gebruiker op het vierkant heeft geklikt is de U2F-challenge gesigneerd door een sleutel die in de hardware wordt opgeslagen en vervolgens aan de browser wordt teruggegeven om op een account in te loggen. "De software-only U2F-implemantie maakt sterke U2F-gebaseerde authenticatie voor alle eigenaren van een Kaby Lake-processor beschikbaar, zonder aanvullende investeringen", gaat Smith verder. Hij hoopt dat dit ervoor zal zorgen dat meer mensen van U2F gebruik gaan maken. Uit cijfers van Duo Security blijkt namelijk dat op dit moment voor alle waargenomen tweefactorauthenticatie-sessies slechts 1 procent van U2F gebruikmaakt en dit het afgelopen jaar niet veel is veranderd. bron: security.nl

Met de aankomende Creators Update voor Windows 10 wordt het voor gebruikers en beheerders mogelijk om de installatie van Win32-apps te blokkeren en alleen nog maar software uit de Microsoft Store toe te staan. Straks kunnen er drie opties worden gekozen om apps te installeren. De eerste optie is het installeren van apps die van willekeurige locaties afkomstig zijn. Bij de tweede optie wordt de voorkeur aan apps uit de Microsoft Store gegeven, maar is ook de installatie van andere apps toegestaan. Als laatste optie is het alleen mogelijk om apps uit de Microsoft Store te installeren. De nieuwe optie werd door Vitor Mikaelson ontdekt en lijkt op de opties die Apple in macOS biedt. Er is echter ook kritiek op de melding die Microsoft geeft bij het blokkeren van Win32-apps. Daarin wordt namelijk gesteld dat door het alleen toestaan van apps uit de Microsoft Store de computer veilig en betrouwbaar wordt gehouden, wat suggereert dat apps van andere locaties onveilig zijn. Volgens MSPoweruser staat de optie standaard uitgeschakeld, maar zal die met name onervaren gebruikers kunnen beschermen tegen het installeren van bloatware en malware. De Creators Update zal waarschijnlijk in april verschijnen. bron: security.nl

Na eerder al een ongepatcht beveiligingslek in Windows te hebben onthuld heeft Google ook een kwetsbaarheid in Edge en Internet Explorer geopenbaard waar nog geen update van Microsoft voor beschikbaar is. Via het lek kan een aanvaller in het ergste geval willekeurige code op het systeem uitvoeren, zoals het installeren van malware. De voorbeeldaanval die Google online heeft gezet zorgt er echter voor dat de browser alleen crasht. Microsoft werd op 25 november door Google over het lek ingelicht. Standaard hanteert Google een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek tijdens de patchdinsdag van februari te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen. bron: security.nl

Met de aankomende Creators Update voor Windows 10 die deze lente moet verschijnen zal Microsoft Edge standaard Flash-content gaan blokkeren om zo gebruikers tegen aanvallen te beschermen. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. Is de website nog wel van Flash afhankelijk, dan krijgen gebruikers een melding of ze Adobe Flash-content willen uitvoeren of niet. In de nieuwste testversie van Windows 10 heeft Microsoft een nieuw venster in Edge geïmplementeerd dat gebruikers duidelijker moet laten weten dat de browser Flash-content heeft geblokkeerd en die via een enkele muisklik kan worden ingeschakeld. Gebruikers kunnen er vervolgens voor kiezen om Flash eenmalig of permanent op geselecteerde websites toe te staan. bron: security.nl

Mozilla heeft vandaag voor alle Firefox-gebruikers de ondersteuning van het sha-1-algoritme uitgeschakeld. Gisteren maakten onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google bekend dat ze een succesvolle aanval op het sha-1-algoritme hadden uitgevoerd. Het algoritme speelt een belangrijke rol speelt bij internetbankieren, het signeren van documenten en allerlei andere zaken. Sha-1 lag echter al langer onder vuur en de grote browserontwikkelaars waren dan ook al begonnen om het algoritme uit te faseren. Mozilla had sinds eind vorig jaar het sha-1 voor een steeds grotere groep Firefox-gebruikers uitgeschakeld en heeft het algoritme vandaag voor alle gebruikers uitgezet. In Firefox 52 die begin maart uitkomt zal sha-1 standaard niet meer worden ondersteund. Volgens Mozilla raakt deze maatregel gebruikers die nog steeds websites bezoeken die van een sha-1-certificaat gebruikmaken. Het zou echter om minder dan 0,1 procent van het webverkeer gaan. Mozilla roept gebruikers dan ook op de meest recente versie van de browser te installeren mocht dat nog niet gedaan zijn. bron: security.nl

Door een geheugenlek bij internetdienst Cloudflare zijn de wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van een onbekend aantal websites gelekt die van de Cloudflare SSL Proxy gebruikmaakten. Het beveiligingsprobleem, dat inmiddels "Cloudbleed" wordt genoemd, werd door onderzoeker Tavis Ormandy van Google ontdekt. Tijdens een ander onderzoek ontdekte Ormandy dat de servers van Cloudlare geheugen lekten. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Bij het inspecteren van het gelekte geheugen ontdekte hij encryptiesleutels, priveberichten, hotelboekingen, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere grote bij Cloudflare gehoste websites die van andere gebruikers afkomstig waren, alsmede ip-adressen van gebruikers van deze websites. "Zelfs onversleutelde api-verzoeken van een populaire wachtwoordmanager die via https waren verstuurd. "Ormandy stopte direct met het verdere onderzoek en waarschuwde Cloudflare. "De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen", aldus de onderzoeker in een rapport over het beveiligingsprobleem. Cloudflare wist het probleem snel te achterhalen en schakelde verschillende features uit die van het kwetsbare onderdeel gebruikmaakten. De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt. De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Een bijkomend probleem was dat zoekmachines het gelekte geheugen hadden gecacht. Voor de openbaarmaking van de kwetsbaarheid zijn dan ook alle geïndexeerde gegevens verwijderd. Het ging in totaal om 770 unieke uri's die op 161 unieke domeinen betrekking hadden. Uiteindelijk werd het probleem binnen 7 uur opgelost, waarbij de eerste noodoplossing 47 minuten na de melding van Ormandy was uitgerold. Hoeveel en welke websites door de kwetsbaarheid zijn getroffen laat Cloudflare in een eigen rapport over het incident niet weten. Ormandy meldt echter op Twitter dat het onder andere om https-sessies van gebruikers bij Uber, 1Password, FitBit en OKCupid gaat. bron: security.nl

Na bijna een jaar is er een nieuwe versie van de populaire ssh-client PuTTY verschenen waarin onder andere twee beveiligingslekken zijn verholpen. Het ging om een lek in de Windows-versie waardoor er dll-bestanden vanuit de lokale directory werden geladen waar ook de PuTTY-bestanden zich bevonden. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens PuTTY direct vanuit de downloadmap uitvoerde, werd ook het kwaadaardige dll-bestand uitgevoerd. Iets wat volgens de ontwikkelaars waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. Daarnaast is er ook nog een integer-overflow opgelost waardoor een aanvaller in bepaalde gevallen bij een doorgestuurde ssh-agent connectie het geheugen kon overschrijven. Verder is er ondersteuning voor elliptische kromme cryptografie voor host-keys, authenticatiesleutels en key-exchange toegevoegd en nog verschillende andere verbeteringen en toevoegingen. Gebruikers krijgen dan ook het advies om te upgraden naar PuTTY 0.68. bron: security.nl

Microsoft heeft een update voor de in Windows aanwezige Malicious Software Removal Tool (MSRT) uitgebracht waardoor het laatste lid van een beruchte malwarefamilie wordt gedetecteerd. Al een aantal maanden is Microsoft bezig om ongewenste software en malware die via softwarenbundels wordt verspreid aan te pakken. Het gaat onder andere om toolbars, browserkapers en programma's die de instellingen van anti-virussoftware aanpassen. Het laatste lid van deze verzameling malware-exemplaren wordt Chuckenit genoemd. Sinds mei vorig jaar heeft Microsoft deze malware op meer dan 418.000 computers wereldwijd aangetroffen. De meeste infecties bevonden zich echter in Brazilië, India en Rusland. Het voornaamste doel van Chuckenit is om de selectievakjes bij het installeren van software te verwijderen, waardoor gebruikers hun controle over het installatieproces verliezen, aldus Microsoft. Daarnaast kan de malware ook andere applicaties of malware installeren. "Chuckenit is onderdeel van een infectieketen die uit malware en softwarebundels bestaat die stilletjes andere applicaties installeren. Je hebt beveiligingsoplossingen nodig die alle onderdelen van dergelijke infecties detecteren en verwijderen", laat Microsoft weten. Om Windows-gebruikers tegen deze malwarefamilie te beschermen is de MSRT nu bijgewerkt. De verwijdertool wordt elke maand bij het installeren van de maandelijkse updates automatisch op Windows-computers uitgevoerd en zal eventueel aangetroffen malware ook automatisch verwijderen. bron: security.nl

De bekende beveiligingsonderzoeker Claudio Guarnieri heeft een gratis tool gelanceerd waarmee gebruikers Windows extra kunnen beveiligen. Hardentools, zoals de software heet, schakelt verschillende features van Windows en consumentenapplicaties uit waar aanvallers gebruik van kunnen maken. Volgens Guarrnieri gaat het voornamelijk om features voor bedrijven waar eindgebruikers niets aan hebben, maar die wel een beveiligingsrisico vormen en vaak door aanvallers worden gebruikt om computers met malware te infecteren. Zo zal Hardentools Windows Script Host, Autorun en AutoPlay en het uitvoeren van PowerShell via Windows Explorer uitschakelen. In het geval van Microsoft Office worden het uitvoeren van macro's en OLE-objecten in documenten uitgeschakeld, alsmede ActiveX-controls voor Office-applicaties. Daarnaast wordt in Adobe Reader JavaScript en embedded objecten in pdf-documenten uitgeschakeld. De onderzoeker waarschuwt dat het hier om experimentele software gaat die alleen voor eindgebruikers is bedoeld en geheel op eigen risico moet worden uitgevoerd. Daarnaast kan de tool kleine invloed op de bruikbaarheid hebben, maar zal het de beveiliging ten goede komen. In de toekomst wil Guarnieri gebruikers laten kiezen welke features ze willen uitschakelen. Hij werkt als technoloog bij Amnesty International en als onderzoeker bij het Canadese Citizen Lab. Daarnaast is Guarnieri de oprichter van Security Without Borders en de ontwikkelaar van de Cuckoo Sandbox en de online analysetool Malwr. bron: security.nl

Beveiligingsbedrijf Rapid7 heeft de populaire hackertool Metasploit van een uitbreiding voorzien, zodat die ook kan worden gebruikt om gebruikers van Microsoft Office en OpenOffice via kwaadaardige macro's aan te vallen. Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door Rapid7 en is zeer geliefd bij penetratietesters en securityprofessionals. De afgelopen jaren hebben cybercriminelen aangetoond dat het toevoegen van een kwaadaardige macro aan een Office-bestand een populaire en succesvolle manier is om systemen binnen te dringen. Standaard staan macro's in Microsoft Office uitgeschakeld, maar via social engineering slagen aanvallers er vaak in om gebruikers zover te krijgen dat ze die inschakelen. "Een standaard aanval bestaat uit het toevoegen van kwaadaardige code aan een Office-document, het versturen ervan naar het slachtoffer en hem netjes te vragen om die code in te schakelen. Het treurigste gedeelte is niet hoe zielig deze aanval is, aangezien je het slachtoffer smeekt om je malware uit te voeren, maar dat mensen al decennia voor deze truc vallen", schrijft Metasploit-ontwikkelaar 'sinn3r'. Rapid7 heeft daarnaast ook een macro-aanval voor OpenOffice ontwikkeld. In tegenstelling tot Microsoft Office wil OpenOffice geen documenten met macro's openen. Het slachtoffer moet doen ook eerst het beveiligingsniveau op medium of laag zetten voordat de aanval kan worden uitgevoerd. Bij beide aanvallen wordt er toegang tot het systeem verkregen. De OpenOffice-macro is getest op Windows met PowerShell-ondersteuning, Ubuntu Linux en macOS. bron: security.nl