Captain Kirk

De Python Package Index (PyPI) accepteert weer nieuwe gebruikers en projecten nadat die wegens een campagne met malafide packages tijdelijk werden geblokkeerd. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die bijvoorbeeld zijn voorzien van namen die erg lijken op die van legitieme packages. Deze packages worden na te zijn gevonden weer verwijderd. Het afgelopen jaar kreeg PyPI met meerdere aanvallen te maken, waaronder vorig jaar mei en december. Gisteren meldde de Python Package Index dat het wederom het aanmaken van nieuwe projecten en gebruikers tijdelijk had gestaakt als reactie op een actieve campagne waarbij malware werd geüpload. Dit duurde ongeveer zes uur, waarna de blokkade werd opgeheven. PyPI geeft geen details over de genoemde campagne, maar securitybedrijf Checkmarx meldde gisteren dat aanvallers de afgelopen dagen honderden malafide packages naar de repository hadden geüpload met malware die informatie van besmette systemen probeert te stelen. bron: https://www.security.nl

Criminelen maken gebruik van een besmette versie van McAfee Security om Androidtelefoons met bankmalware te infecteren en zo geld van bankrekeningen te stelen. De aanval begint met een sms-bericht, waarin staat dat er een grote geldtransactie heeft plaatsgevonden en als de ontvanger dit niet heeft geautoriseerd het opgegeven telefoonnummer moet worden gebeld. Zodra het slachtoffer dit nummer belt ontvangt hij tijdens het gesprek een tweede sms-bericht met een link die naar een besmette versie van de McAfee Security-app wijst. In werkelijkheid is dit een 'dropper' die de uiteindelijke Vultur-bankmalware installeert, maar ook de functionaliteit van de security-app biedt, om slachtoffers zo niets te laten vermoeden. De Vultur-malware geeft criminelen toegang tot de telefoon om daarvandaan fraude te plegen. De eerste versies maakten het al mogelijk om besmette Androidtelefoons op afstand te bedienen en toetsaanslagen op te slaan. Onlangs is er een nieuwe versie van de Vultur-bankmalware ontdekt, zo laat securitybedrijf Fox-IT weten. Deze versie kan aanvallers bestanden laten installeren, verwijderen en zoeken. Ook is het mogelijk om de audio in en uit te schakelen, te swipen of klikken. Tevens kan de malware voorkomen dat er bepaalde apps draaien, aangepaste notificaties in de statusbalk tonen en Keyguard uitschakelen, om de schermvergrendeling te omzeilen. Om de Vultur-malware te installeren proberen de aanvallers de Accessibility Service privileges te krijgen. Apps met Accessibility Service permissies kunnen volledige zichtbaarheid over events van de gebruikersinterface krijgen, zowel bij systeem-apps als apps van derden. "Hoewel deze services bedoeld zijn om gebruikers te ondersteunen, zijn ze ook door malafide apps te misbruiken voor activiteiten zoals keylogging, het zichzelf automatisch toekennen van extra permissies, monitoren van apps in de voorgrond en daar overlay-vensters over plaatsen voor het uitvoeren van phishingaanvallen", zo stellen de onderzoekers. "De recente ontwikkelingen van Vulture laten zien dat de aandacht is verlegd naar het verkrijgen van volledige controle over besmette toestellen. Met de mogelijkheid om commando's te geven voor het scrollen, swipen, klikken, volumecontrole, het blokkeren van apps en zelfs het toevoegen van een file manager functie, is het duidelijk dat het primaire doel is om volledige controle over gecompromitteerde toestellen te krijgen", zo laten de onderzoekers verder weten. bron: https://www.security.nl

De Duitse overheid heeft een digitaal veiligheidskeurmerk voor videovergaderdiensten gelanceerd, zodat gebruikers de veiligheid van de producten kunnen beoordelen. De diensten moeten in dit geval aan de DIN SPEC 27008-specificatie voldoen, die door een consortium van aanbieders is opgesteld. Daarin staan minimale veiligheidseisen, zoals de bescherming van accounts, updatebeheer, authenticatiemechanismes en gebruikte encryptie. Zo moeten videovergaderdiensten die aan de specificatie voldoen standaard instellen dat meetings standaard privé zijn en beveiligd met een lastig te raden code of andere vorm van 'toegangsdata'. Verder moeten de oplossingen ook beschikken over een wachtkamer, zodat beheerders deelnemers handmatig toegang tot de meeting kunnen geven. Daarnaast moeten videovergaderdiensten het mogelijk maken dat alle deelnemers aan de meeting zichtbaar zijn. Tevens moet de deelname van nieuwe deelnemers worden duidelijk gemaakt via een audio- of videosignaal. Een andere voorwaarde om voor het keurmerk in aanmerking te komen is dat kwetsbaarheden in de diensten direct worden gemeld aan zowel gebruikers als het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Zodra het keurmerk is verleend blijft het BSI over een periode van vier jaar controles uitvoeren om te kijken of er nog steeds aan de gestelde eisen wordt voldaan. Producten die over het keurmerk beschikken zijn ook voorzien van een qr-code, waarmee eenvoudig verdere informatie kan worden opgevraagd. Het digitale veiligheidskeurmerk is er ook voor e-mailproviders, routers, 'slimme camera's' en Internet of Things-apparaten. bron: https://www.security.nl

Stichting Consumers United in Court (CUIC) is een collectieve procedure tegen antivirusbedrijf Avast gestart waarbij het wegens 'spionage' door de virusscanner per gebruiker 1000 euro plus een deel van de winst eist. Acht maanden geleden maakte Stichting CUIC bekend dat het een rechtszaak tegen Avast zou starten. Inmiddels hebben ruim tienduizend Nederlandse Avast-gebruikers zich bij de rechtszaak aangesloten. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven. Volgens CUIC hadden tussen 2014 en 2020 vele honderdduizenden Nederlanders de antivirussoftware van Avast en AVG op hun computer staan. "Mensen waanden zich veilig met een virusscanner, maar juist de maker ervan volgde alles wat ze dede n op hun computer . Avast verkocht deze informatie voor grof geld aan derden. Ze adverteerden zelfs met de goudmijn aan data die ze hadden buitgemaakt. Bedrijven zoals Avast mogen hier niet mee wegkomen. Daarom voeren wij deze rechtszaak. Wie niet horen wil, moet maar voelen", zegt CUIC-voorzitter Wilmar Hendriks. De stichting is een initiatief van privacyorganisatie None of Your Business (noyb) en stichting Privacy First. "Avast bespioneerde haar gebruikers zonder ze te informeren of toestemming te vragen, kopieerde en verkocht op grote schaal hun gegevens door aan derden via dochterbedrijf Jumpshot. Met klanten zoals Google, Unilever en Microsoft heeft Avast via Jumpshot de heimelijk verkregen gegevens zeer wijd kunnen verspreiden", zo laat CUIC verder weten. De stichting heeft nu de dagvaardingen uitgebracht aan Avast. Per gebruiker eist CUIC een schadevergoeding van duizend euro en daar bovenop voor iedere gedupeerde een deel van de door Avast onrechtmatig gerealiseerde winst. Gebruikers kunnen zich kosteloos bij de rechtszaak aansluiten. Dat is op basis van "no cure, no pay". Net als bij andere massaclaims wordt er gebruikgemaakt van een externe procesfinancier die als de rechtszaak slaagt een deel van de schadevergoeding ontvangt. Het gaat om maximaal 25 procent. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server waarvoor vorig jaar mei een beveiligingsupdate verscheen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek werd vorig maart tijdens de Pwn2Own-wedstrijd in Vancouver door onderzoekers van STAR Labs gedemonstreerd, die daarmee 100.000 dollar verdienden. Het beveiligingslek, aangeduid als CVE-2023-24955, maakt remote code execution op SharePoint-servers mogelijk. Authenticatie is in dit geval wel vereist. Tijdens de Pwn2Own-wedstrijd combineerden de onderzoekers CVE-2023-24955 met een ander beveiligingslek (CVE-2023–29357) waardoor een ongeauthenticeerde aanvaller SharePoint-servers op afstand kan overnemen. In januari van dit jaar meldde het CISA misbruik van CVE-2023-29357. Nu wordt ook misbruik van CVE-2023-24955 gemeld. Details over de waargenomen aanvallen zijn niet gegeven. Beheerders worden opgeroepen de update van Microsoft, die sinds 9 mei 2023 beschikbaar is, te installeren. bron: https://www.security.nl

Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden (pdf). Facebook wilde via 'Project Ghostbusters', wat een referentie is naar het spooklogo van Snapchat, het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen. Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app. Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube. Binnen Facebook was er ook kritiek op de werkwijze, zo meldt TechCrunch. "Ik kan geen goede reden verzinnen waarom dit oké is. Geen enkel securitypersoon vindt dit prima, ongeacht of we toestemming van het publiek krijgen. Mensen weten gewoon niet hoe dit precies werkt", laat het toenmalig hoofd security engineering in een e-mail weten. Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren. Verder zou uit de documenten blijken dat Meta-topman Mark Zuckerberg direct betrokken was bij de gesprekken over de vpn-tool. Zo werd in 2019 nog een e-mail naar hem gestuurd waarin expliciet om zijn beslissing werd gevraagd of SSL-decryptie, waarbij Project Ghostbusters werd bedoeld, moest stoppen, laat Quartz weten. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval systemen volledig kan overnemen. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een besmette advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Google heeft updates uitgebracht om het probleem (CVE-2024-2883) te verhelpen. Het is de eerste kritieke kwetsbaarheid die dit jaar door het techbedrijf in de browser wordt gemeld. Het beveiligingslek, een use after free, bevindt zich in ANGLE. Dit is een onderdeel van de browser dat wordt gebruikt voor het uitvoeren van WebGL- en andere OpenGL-content. De kwetsbaarheid werd gevonden en gerapporteerd door beveiligingsonderzoeker Cassidy Kim, die hiervoor een beloning van 10.000 dollar ontving. Google heeft ook een kwetsbaarheid verholpen die tijdens de Pwn2Own-wedstrijd in Vancouver vorige week door onderzoeker Manfred Paul werd gedemonstreerd. Dit beveiligingslek heeft een lagere impact, omdat het alleen het uitvoeren van code binnen de browser mogelijk maakt, terwijl CVE-2024-2883 een aanvaller code op het onderliggende systeem laat uitvoeren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 123.0.6312.86/.87 is beschikbaar voor Windows en macOS. Voor Linux is versie 123.0.6312.86 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. bron: https://www.security.nl

Vpn-provider Atlas VPN stopt op 24 april met bestaan. Bestaande klanten zullen automatisch naar zusterbedrijf NordVPN worden overgezet. Dat heeft het bedrijf vandaag in een blogposting aangekondigd. Volgens Atlas VPN heeft het met onmogelijke uitdagingen te maken, waaronder technologische eisen, een zeer competitieve markt en oplopende kosten. "Deze factoren hebben ons doen besluiten dat het doorgaan met Atlas VPN op de lange termijn niet houdbaar is." Bestaande klanten worden voor het restant van hun abonnement overgezet naar NordVPN. De vereiste gegevens voor een abonnement bij NordVPN, waaronder de duur van het abonnement en e-mailadres van de gebruiker, worden hiervoor doorgegeven. Volgens Atlas VPN biedt NordVPN de meeste features die het zelf ook biedt. Klanten die niet naar NordVPN willen migreren kunnen dit tot 22 april kenbaar maken. bron: https://www.security.nl

In de eerste week van maart zijn meer dan zesduizend routers van fabrikant Asus onderdeel van een proxy-botnet geworden, zo meldt securitybedrijf Lumen Technologies. De besmette routers worden vervolgens als proxy aan criminelen aangeboden, die zo bij het uitvoeren van fraude, malware en andere aanvallen hun sporen kunnen verbergen. De malware in kwestie wordt TheMoon genoemd en bestaat al sinds 2014. In eerste instantie richtte de malware zich alleen op Linksys-routers, maar in 2016 werden opeens ook Asus-routers aangevallen. Lumen Technologies laat niet weten hoe de Asus-routers begin deze maand besmet raakten, maar meldt wel dat het om end-of-life apparaten gaat die niet meer met beveiligingsupdates worden ondersteund. Naast het gebruik van besmette routers als proxy, worden de apparaten ook gebruikt voor het scannen naar en infecteren van andere routers. In de eerste weken van dit jaar bestond het botnet uit 40.000 apparaten in 88 landen. Begin maart kwamen daar binnen een periode van nog geen drie dagen meer dan zesduizend Asus-routers bij. Volgens de onderzoekers kiezen cybercriminelen steeds vaker voor 'residentiële' proxyservers bij het uitvoeren van aanvallen in plaats van het gebruik van vpn's of het Tor-netwerk. bron: https://www.security.nl

De Duitse overheid heeft vandaag een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Een zelfde aantal is mogelijk kwetsbaar. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen. Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Twaalf procent van deze servers draait Exchange Server 2010 of 2013, die al lang niet meer worden ondersteund. Een kwart van de servers draait de nog wel ondersteunde Exchange-versies 2016 of 2019, alleen missen beveiligingsupdates. Dat houdt in dat 37 procent van de toegankelijke Exchange-servers in Duitsland kwetsbaar is, aldus het BSI. Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven (pdf). Dat wil zeggen dat de it-dreiging voor grootschalige verstoring van de bedrijfsvoering kan zorgen. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen. bron: https://www.security.nl

Python-ontwikkelaars zijn via een malafide versie van de populaire package Colorama besmet geraakt met malware, waardoor ook verschillende GitHub-accounts konden worden gekaapt. Dat laat securitybedrijf Checkmarx weten. Colorama is een populaire package die ontwikkelaars gebruiken voor het toevoegen van onder andere kleuren aan hun tekst in terminal outputs. De tool telt meer dan 150 miljoen downloads per maand. Colorama wordt aangeboden via de Python Package Index (PyPI), een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Het subdomein files.pythonhosted.org is een officiële PyPI-mirror. De aanvallers namen het programma Colorama en voegden malware toe die session cookies, wachtwoorden, creditcardgegevens, cryptowallets, Telegram-sessies, Instagram-data en andere bestanden van een systeem kan stelen. Vervolgens werd de aangepaste, malafide versie via een .org-domein met de naam 'files.pypihosted' aangeboden, wat lijkt op de officiële mirror files.pythonhosted.org. Via de gestolen cookies konden de aanvallers weer toegang tot andere accounts van hun slachtoffers krijgen, waaronder GitHub-accounts. Hoeveel ontwikkelaars slachtoffer zijn geworden is onbekend. Het domein is inmiddels offline gehaald. bron: https://www.security.nl

Het Metasploit Framework, dat door pentesters en andere securityprofessionals wordt gebruikt, heeft na veertien maanden weer een grote update gekregen. Het vandaag gelanceerde Metasploit Framework 6.4 bevat verbeteringen voor het uitvoeren van Kerberos-gebaseerde aanvallen, uitgebreidere dns-configuratie, nieuwe session types en een nieuwe feature voor Windows Meterpreter om procesgeheugen te doorzoeken. Metasploit is een door securitybedrijf Rapdi7 ontwikkeld opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het is erg geliefd bij penetratietesters en securityprofessionals. Het bevat allerlei modules en exploits waarmee er misbruik van kwetsbaarheden kan worden gemaakt. Vorig jaar januari verscheen Metasploit 6.3, vandaag is versie 6.4 uitgekomen. bron: https://www.security.nl

De Europese Commissie is een onderzoek gestart naar Alphabet, Apple en Meta voor het mogelijk overtreden van de Europese Digital Markets Act (DMA). Het gaat dan om het 'betaal of oké' model van Meta, en de manier waarop Apple en Alphabet hun eigen diensten zouden bevooroordelen en andere app-ontwikkelaars juist zouden hinderen. Als 'gatekeepers' moeten Apple en Alphabet het externe ontwikkelaars toestaan dat ze klanten apps en producten ook buiten de appstores van de gatekeepers kunnen aanbieden. De Europese Commissie maakt zich naar eigen zeggen zorgen dat de manier waarop de techbedrijven dit doen niet compliant met de DMA is, aangezien er verschillende beperkingen worden opgelegd. Tevens onderzoekt Brussel of Google via de eigen zoekmachine andere Google-diensten in de zoekresultaten bevooroordeelt In het geval van Apple wordt gekeken of iOS-gebruikers wel eenvoudig al geïnstalleerde apps kunnen verwijderen, de standaardinstellingen kunnen wijzigen en of het via de keuzeschermen eenvoudig is om een andere browser of zoekmachine in te stellen. Wat betreft het 'betaal of oké' model van Meta is de Europese Commissie bezorgd dat de keuze die Meta met het model oplegt geen echt alternatief is in het geval gebruikers geen toestemming geven. Gebruikers van Facebook of Instagram moeten een maandelijks bedrag van minimaal tien euro per maand per account betalen. Als ze dit bedrag niet kunnen of willen betalen, gaan ze er automatisch mee akkoord dat ze worden gevolgd en hun persoonlijke gegevens voor gerichte advertenties worden gebruikt. Het nu aangekondigde onderzoek moet binnen twaalf maanden zijn afgerond, waarna er maatregelen kunnen volgen die de techbedrijven moeten doorvoeren. Mochten er overtredingen worden vastgesteld kunnen er boetes tot twintig procent van de jaaromzet worden opgelegd. bron: https://www.security.nl

De FBI heeft softwareontwikkelaars opgeroepen om een einde aan SQL Injection te maken, een klasse van beveiligingslekken die al sinds 1998 bestaat, maar nog altijd voorkomt. "Ondanks wijdverbreide kennis en documentatie van SQL Injection-kwetsbaarheden, alsmede beschikbaarheid van effectieve oplossingen, blijven softwareontwikkelaars producten met deze kwetsbaarheid ontwikkelen, wat veel klanten risico laat lopen", aldus de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Zie dit Security.NL achtergrondartikel voor meer details. In 2007 werd SQL Injection nog als een 'onvergeeflijke' kwetsbaarheid bestempeld. Zeventien jaar later is het probleem nog altijd op grote schaal aanwezig. De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren, stelde vorig jaar nog dat SQL Injection in de Top 3 van meestvoorkomende beveiligingslekken staat. Vandaag roepen de FBI en het CISA softwareleveranciers en fabrikanten op om hun code op de aanwezigheid van SQL Injection te controleren. Daarnaast moeten alle klanten hun leveranciers vragen of ze een dergelijke controle hebben uitgevoerd. Mocht uit deze controle blijken dat de code kwetsbaar is voor SQL Injection, moeten ontwikkelaars meteen beginnen met het implementeren van oplossingen, aldus de oproep van de Amerikaanse overheidsdiensten. "Het toepassen van security in producten vanaf het begin kan SQL Injection voorkomen." Volgens de FBI en het CISA is SQL Injection nog steeds succesvol omdat softwareontwikkelaars gebruikersinvoer niet als mogelijk kwaadaardig beschouwen. Als oplossing wordt het gebruik van parameterized queries met prepared statements aangeraden, om zo SQL-code van gebruikersinvoer te scheiden. "Deze scheiding zorgt ervoor dat het systeem gebruikersinvoer als data behandelt en niet als uitvoerbare code, waardoor het risico wordt geëlimineerd dat malafide gebruikersinvoer als SQL-statement wordt gezien." Daarbij zien de overheidsdiensten een belangrijke rol weggelegd voor bestuurders en topmanagers om kwetsbaarheden zoals SQL Injection te voorkomen. Zo moet er in de organisatie prioriteit worden gegeven aan proactieve maatregelen, zoals het toepassen van veilig programmeren, waaronder het gebruik van parametrized queries, en het afhankelijk zijn van reactieve maatregelen te verminderen. Daarnaast moet topmanagement ervoor zorgen dat hun organisatie audits uitvoert om kwetsbaarheden zoals SQL Injection te detecteren. bron: https://www.security.nl

Je hebt verschillende 'gratis"alternatieven. Probeer bijvoorbeeld eens Serato-lite. Het is wel vaak even kijken welke lekker werkt. Besef wel dat je bij de gratis versies bepaalde functies mist.

Meer dan tienduizend WordPress-sites lopen door een kritieke kwetsbaarheid in twee plug-ins, die niet meer worden ondersteund, het risico om door criminelen te worden overgenomen. Het gaat om de 'Malware Scanner' en 'Web Application Firewall' van een ontwikkelaar genaamd MiniOrange. De twee plug-ins zijn juist ontwikkeld om WordPress-sites tegen allerlei aanvallen en malware te beschermen. De Malware Scanner draait op meer dan tienduizend websites, de Web Application Firewall is op driehonderd sites actief. Beide plug-ins bevatten dezelfde kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het wachtwoord van gebruikers kan resetten. De enige voorwaarde is dat een aanvaller een geldige gebruikersnaam opgeeft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem werd op 5 maart aan de ontwikkelaar van de plug-ins gerapporteerd. In plaats van een update te ontwikkelen besloot die met de plug-ins te stoppen. Vanwege de impact van de kwetsbaarheid en het ontbreken van een patch roept securitybedrijf Wordfence alle gebruikers op om de plug-ins meteen van hun website te verwijderen. bron: https://www.security.nl

Google Chrome gaat alle websites die gebruikers bezoeken in real-time controleren. Voorheen gebruikte de browser een lokaal opgeslagen lijst om te zien of een website of bestand mogelijk gevaarlijk is. Chrome maakt al lange tijd gebruik van Safe Browsing om gebruikers voor malafide en phishingsites te waarschuwen. De browser maakte hiervoor altijd gebruik van een lokaal opgeslagen lijst van bekende malafide sites, die elke dertig tot zestig minuten wordt bijgewerkt. Volgens Google zijn phishingdomeinen tegenwoordig veel geraffineerder geworden en bestaat zestig procent van de phishingsites minder dan tien minuten, waardoor ze lastig te blokkeren zijn. Daarom controleert Google nu in real-time of Chrome-gebruikers een bekende malafide site bezoeken. Dit zou voor een "25 procent verbeterde bescherming" tegen malware en phishing moeten zorgen, zo beweert het techbedrijf. Chrome-gebruikers konden sinds 2020 bezochte websites al in real-time laten controleren, maar moesten hier zelf voor kiezen door Enhanced Safe Browsing in te schakelen. Bij het gebruik van Enhanced Safe Browsing wordt er meer data met het techbedrijf gedeeld. Zo worden alle geopende links naar Google gestuurd. Ook stuurt de browser een klein deel van de bezochte webpagina's en verdachte downloads naar Google om nieuwe dreigingen te ontdekken. De nu aangekondigde 'real-time protection' wordt standaard onderdeel van Chrome en Google stelt dat het daarbij niet kan zien welke websites gebruikers bezoeken. De feature is beschikbaar voor desktop- en iOS-versie. Android volgt later deze maand. Gebruikers die meer bescherming willen kunnen hiervoor Enhanced Safe Browsing inschakelen. bron: https://www.security.nl

Mozilla blijft op Manifest V2-gebaseerde browser-extensies in Firefox voorlopig ondersteunen en als er wordt besloten om hiermee te stoppen zal dit tenminste twaalf maanden van tevoren worden aangekondigd, zodat extensie-ontwikkelaars hierop kunnen anticiperen. Dat heeft Mozilla aangekondigd. De manier waarop browser-extensies werken staat beschreven in een Manifest. Over een aantal maanden zal Google voor Chrome Manifest V3 verplichten. De nieuwe regels van dit Manifest bieden volgens Google allerlei voordelen, maar critici stellen dat ze de werking van adblockers beperken. Ook Firefox maakt gebruik van een Manifest en is bezig met de implementatie van Manifest V3. In tegenstelling tot Google is Mozilla niet van plan om adblockers via Manifest V3 te beperken. De Manifest V3-implementatie van Mozilla verschilt van die van Google. Browser-extensies kunnen aangeven of ze met Chrome of Firefox werken. Google zal daarnaast Manifest V2-extensies in Chrome dit jaar bij gebruikers gaan uitschakelen, zodat die alleen nog V3-extensies kunnen gebruiken. Firefox heeft geen plannen om V2-extensies voorlopig uit te faseren. Mocht Mozilla daarop terugkomen, zegt het dit minstens twaalf maanden van tevoren bekend te maken. Dit moet extensie-ontwikkelaars de tijd geven om hun extensie aan te passen. bron: https://www.security.nl

Het plan van de Amerikaanse staat Nevada om de uitrol van end-to-end encrypte in Facebook Messenger te verbieden ondermijnt de privacy en veiligheid voor iedereen, zo stelt Mozilla. Dat schreef samen met chatapp Signal en de Amerikaanse burgerrechtenbeweging EFF een brief naar de rechter die zich over het plan buigt (pdf). Daarin waarschuwen de partijen voor de gevolgen die een dergelijk verbod kan hebben. De procureur-generaal van Nevada heeft een verzoek bij de rechter ingediend om de uitrol van end-to-end encryptie in Facebook Messenger voor minderjarigen via een gerechtelijk bevel te verbieden. De Amerikaanse staat stelt dat end-to-end encryptie strafrechtelijke onderzoeken kan hinderen. "Encryptie voorkomt niet dat de afzender of ontvanger zorgwekkende content bij de politie kunnen melden, of voorkomt dat de politie via een gerechtelijk bevel toegang tot metadata over de communicatie kan krijgen", aldus Mozilla. De Firefox-ontwikkelaar waarschuwt dat het blokkeren van de uitrol van end-to-end encryptie de privacy en veiligheid van iedereen ondermijnt. "Voor een marginaal voordeel dat wordt tenietgedaan door de schade die een dergelijke draconische beperking creëert." Volgens Mozilla omvat de zaak een breder debat over de balans tussen opsporingsdiensten online misdaad laten bestrijden en het beschermen van belangrijke online bescherming voor alle gebruikers, met name kwetsbare groepen zoals kinderen. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Tijdens de patchdinsdag van maart heeft Microsoft updates voor 61 kwetsbaarheden uitgebracht, waaronder twee kritieke kwetsbaarheden in Microsoft Hyper-V. Dit is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Eén van de kritieke kwetsbaarheden in Hyper-V (CVE-2024-21408) maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken. Normaliter worden dergelijke beveiligingslekken niet als kritiek beoordeeld, maar in dit geval wel. Microsoft geeft echter geen verdere details. De tweede kritieke Hyper-V-kwetsbaarheid (CVE-2024-21407) maakt het mogelijk voor een geauthenticeerde aanvaller op een gast-VM om code op de onderliggende host-server uit te voeren. Volgens Microsoft zou een aanvaller voor een succesvolle aanval eerst specifieke informatie over de aan te vallen omgeving moeten verzamelen en aanvullende acties moeten ondernemen. Het techbedrijf stelt dat misbruik van beide Hyper-V-kwetsbaarheden 'minder waarschijnlijk' is. De overige kwetsbaarheden die Microsoft deze maand heeft verholpen hebben een lagere impact, aldus het techbedrijf. bron: https://www.security.nl

Een Belgisch bedrijf heeft op meerdere punten de AVG overtreden door foto's van een ex-werknemer niet van de bedrijfssite en social media te verwijderen nadat die hierom had gevraagd, zo heeft de Belgische privacytoezichthouder GBA geoordeeld (pdf). De medewerkster was tot 2021 bij het bedrijf in dienst. In augustus 2023 ontdekte ze dat haar foto's op de website van het bedrijf werden gebruikt om nieuw personeel te werven. De medewerkster vroeg haar ex-werkgever om al haar foto's van de bedrijfssite en social media te verwijderen en ze niet meer in de toekomst te gebruiken. De ex-werkgever reageerde door te stellen dat een regeling voor het gebruik van fotomateriaal na uitdiensttreding werd uitgewerkt en het bedrijf dus aan de regels voldeed. Tevens liet het bedrijf weten dat er aan nieuw fotomateriaal werd gewerkt om dergelijke situaties in de toekomst te voorkomen. Begin november vorig jaar diende de ex-werknemer een klacht in bij de GBA. De Belgische privacytoezichthouder merkt op dat iemands naam en foto onder de AVG persoonlijke gegevens zijn en de publicatie hiervan als gegevensverwerking kan worden aangemerkt. Elke gegevensverwerking moet een juridische grondslag hebben. Het kan dan bijvoorbeeld gaan om toestemming, contract of legitiem belang. In dit geval oordeelt de GBA dat er in de relatie van werknemer-werkgever geen sprake is van 'vrije' toestemming. Daarnaast kan het bedrijf ook geen beroep doen op een contract, aangezien dat al in 2021 is geëindigd. Maar zelfs als de werknemer nog in dienst was had het bedrijf dit niet als grondslag kunnen gebruiken, omdat het publiceren van foto's van een werknemer niet noodzakelijk zijn om het werknemerscontract uit te voeren. Het werven van een nieuw personeel kan wel een legitiem belang zijn, maar volgens de GBA is het hier niet noodzakelijk voor om foto's te plaatsen. Daarnaast had de werknemer ook geen redelijke verwachting kunnen hebben dat haar foto door haar ex-werkgever zou worden gepubliceerd, zeker omdat ze voor een concurrent ging werken. Volgens de toezichthouder is er dan ook sprake van onrechtmatige gegevensverwerking. Verder hebben mensen het recht onder de AVG om hun data te laten verwijderen. De GBA heeft het bedrijf dan ook opgedragen om het verzoek van de ex-werknemer binnen dertig dagen uit te voeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor twee kritieke kwetsbaarheden in de captive portal van FortiOS en FortiProxy waardoor een aanvaller code en commando's op het systeem kan uitvoeren. De impact van de beveiligingslekken (CVE-2023-42789 en CVE-2023-42790) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Beide producten bieden een captive portal die gebruikers authenticeert voordat ze toegang tot 'web resources' krijgen. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller een out-of-bounds write of buffer overflow veroorzaken en zo code of commando's op het systeem uitvoeren. Fortinet heeft beveiligingsupdates voor FortiOS en FortiProxy uitgebracht. Daarnaast kunnen organisaties ook een workaround doorvoeren wat misbruik van de beveiligingslekken voorkomt. Vorige week bleek nog dat 150.000 Fortinet-apparaten een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid niet hebben geïnstalleerd. bron: https://www.security.nl

Het Tor Project heeft vandaag een nieuwe tool gelanceerd waarmee Tor-gebruikers overheidscensuur kunnen omzeilen. WebTunnel, zoals de tool heet, neemt het Tor-verkeer en vermomt dat als gewoon webverkeer. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. WebTunnel is ook een soort bridge en is een aanvulling op de al bestaande obfs4-bridge die Tor gebruikt. Obfs4 probeert het verkeer volledig onherkenbaar te maken. WebTunnel kiest juist een aanpak waarbij het normaal verkeer nabootst. Dit zou vooral effectief moeten zijn in scenario's waarbij er een protocol allow list en een 'deny-by-default' netwerkomgeving is, laat Gustavo Gus van het Tor Project weten. Sommige landen, zoals China, blokkeren internetverkeer op basis van het protocol. Obfs4-verkeer komt niet overeen met een bekend toegestaan protocol, waardoor het wordt geblokkeerd. WebTunnel lijkt op normaal HTTPS-verkeer, wat een toegestaan protocol is, en wordt dan ook doorgelaten. Op dit moment worden WebTunnel-bridges alleen via de bridges-website van het Tor Project aangeboden, maar het plan is om ze bijvoorbeeld ook via Telegram te gaan aanbieden. bron: https://www.security.nl

Streamingdienst Roku heeft een onbekend aantal ongeautoriseerde abonnementen geannuleerd en klanten vergoed nadat criminelen via een credential stuffing-aanval meer dan vijftienduizend accounts hadden gekaapt. Volgens Roku maakten de aanvallers gebruik van inloggegeven die bij andere partijen waren gestolen. Getroffen Roku-gebruikers gebruikten hetzelfde wachtwoord van die diensten voor hun Roku-account, waardoor de aanvallers konden inloggen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval heeft Roku de wachtwoorden van getroffen accounts gereset om verder misbruik te voorkomen. Daarnaast werden ongeautoriseerde abonnementen geannuleerd en de kosten hiervan aan slachtoffers vergoed. Uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine blijkt dat de aanvallers via de credential stuffing-aanval toegang tot meer dan vijftienduizend accounts kregen. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Roku roept getroffen gebruikers op om de abonnementen van hun account te controleren en voor elk online account een uniek en sterk wachtwoord te gebruiken. Roku had vorig jaar naar eigen zeggen meer dan tachtig miljoen actieve accounts en een omzet van 3,4 miljard dollar. bron: https://www.security.nl