Captain Kirk

Verschillende laptops van bekende merken zoals Dell en Lenovo maken gebruik van SD-cardreaders van fabrikant Realtek. Een kwetsbaarheid in de gebruikte Realtek-driver zorgt ervoor dat een gebruiker of aanvaller met beperkte rechten zijn rechten kan verhogen en zelfs het fysieke geheugen kan lezen en schrijven. Realtek heeft updates voor het probleem uitgebracht, maar in ieder geval Dell en mogelijk andere fabrikanten hebben die updates nog niet aan hun klanten aangeboden, zo meldt een beveiligingsonderzoeker met het alias 'ZwClose'. De Realtek-driver RtsPer.sys laat het besturingssysteem met de SD-cardreader communiceren. De onderzoeker ontdekte verschillende kwetsbaarheden in de driver. Een gebruiker of aanvaller met beperkte rechten kan via deze driver naar het kernelgeheugen schrijven, wat eigenlijk niet zou moeten kunnen. Zo kan een aanvaller zijn rechten verhogen waardoor het systeem verder is te compromitteren. Het meest opmerkelijke noemde de onderzoeker de mogelijkheid om naar het fysieke geheugen te schrijven en dat te lezen. Meer informatie hierover wordt later bekendgemaakt. Realtek kwam afgelopen juli of augustus met updates, maar het blijkt dat in ieder geval Dell, en mogelijk andere fabrikanten, hun driver packages niet hebben geüpdatet, waardoor de kwetsbaarheden nog aanwezig zijn. Het gaat om de volgende modellen SD-cardreaders (RTS5227, RTS5228, RTS522A, RTS5249, RTS524A, RTS5250, RTS525A, RTS5287, RTS5260, RTS5261 en RTS5264) die onder andere door Dell, HP, Lenovo en MSI worden gebruikt. De problemen zijn verholpen in driver-versie 10.0.26100.21374 en hoger. Nieuwe versies zijn onder andere via de Microsoft Update Catalog te downloaden. bron: https://www.security.nl

Misschien heb je hier iets aan: https://support.microsoft.com/nl-nl/windows/oudere-apps-of-programma-s-compatibel-maken-met-windows-783d6dd7-b439-bdb0-0490-54eea0f45938

Beste Peter, Dit is zeker niet prettig en geeft een onveilig gevoel. Wat ik je sowieso als Privacy Officier aan zou raden is aangifte doen bij de politie. Niet dat het dan direct opgelost is, maar er ligt dan al een melding voor dossiervorming mocht dit verder uit de hand gaan lopen.

Dat klinkt aardig irritant. Het lijkt of de software niet compatibel is met je W11. Ik heb een beetje zitten zoeken voor je. Misschien heb je iets aan het volgende artikel: Oudere programma’s uitvoeren in compatibiliteitsmodus in Windows 11. Hoop dat dit het probleem voor je kan oplossen.

Een kwetsbaarheid in de Mallox-ransomware maakt het mogelijk om versleutelde bestanden te ontsleutelen, zonder dat het nodig is de aanvallers hiervoor te betalen. Dat meldt antivirusbedrijf Avast dat een gratis decryptor heeft gemaakt. De Mallox-ransomware stond eerder nog bekend als de TargetCompany-ransomware. In 2022 werd een kwetsbaarheid in de gebruikte encryptie gevonden, waardoor Avast een decryptor kon ontwikkelen. De makers van de ransomware verhielpen het probleem een paar weken later en hernoemden de ransomware naar Mallox. Onderzoek wees uit dat de makers opnieuw een fout met de encryptie hebben gemaakt, waardoor bestanden zonder de private ECDH-key zijn te ontsleutelen. Het gaat hierbij om de versie die in 2023 en begin dit jaar door de ransomwaregroep is ingezet. Afgelopen maart werd de kwetsbaarheid door de makers verholpen. Voor slachtoffers die met de te ontsleutelen Mallox-ransomware zijn getroffen is nu een gratis decryptor beschikbaar. De ransomware zou vooral in Turkije, Argentinië, Mexico, Brazilië en Italië zijn ingezet. Dat de groep meer fouten op securitygebied maakte werd ook begin dit jaar al duidelijk. Toen bleek dat de ransomwaregroep, als gevolg van een IDOR-kwetsbaarheid in de eigen website, decryptiesleutels van slachtoffers lekte. bron: https://www.security.nl

Cisco waarschuwt organisaties voor meerdere kritieke kwetsbaarheden in de Firepower Threat Defense (FTD), Adaptive Security Appliance (ASA) en Secure Firewall Management Center (FMC) software waardoor aanvallers kwetsbare apparaten kunnen overnemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Cisco ASA-software biedt onder andere firewall-, antivirus- en vpn-functionaliteit. Een kwetsbaarheid (CVE-2024-20329) in het SSH-subsystem laat een geauthenticeerde remote aanvaller commando's als root uitvoeren. Dit is mogelijk doordat gebruikersinvoer niet goed wordt gevalideerd. Een aanvaller met beperkte gebruikersrechten kan dit beveiligingslek gebruiken om volledige controle over het systeem te krijgen. Systemen zijn alleen kwetsbaar als ze een kwetsbare ASA-versie draaien, de CiscoSSH-stack staat ingeschakeld en SSH-toegang op tenminste één interface wordt toegestaan. De tweede kritieke kwetsbaarheid (CVE-2024-20412) is aanwezig in de FTD-software van de Firepower 1000, 2100, 3100 en 4200 firewalls. Door de aanwezigheid van een statisch account met een hardcoded wachtwoord kan een ongeauthenticeerde, lokale aanvaller op het systeem inloggen. Vervolgens is het mogelijk gevoelige informatie te stelen, de configuratie aan te passen of het apparaat buiten werking te stellen, zodat het systeem opnieuw geimaged moet worden. Het kritieke beveiligingslek in FMC (CVE-2024-20424), wat wordt gebruikt voor firewallbeheer, maakt het mogelijk voor een geauthenticeerde aanvaller om als root commando's op het onderliggende besturingssysteem uit te voeren of commando's op managed FTD-apparaten. Hiervoor is het nodig om speciaal geprepareerde HTTP-requests naar de webinterface te sturen. Wederom is het onvoldoende valideren van gebruikersinvoer de oorzaak. Voor alle drie de kritieke kwetsbaarheden zijn updates beschikbaar. Cisco zegt niet met misbruik van de beveiligingslekken bekend te zijn. bron: https://www.security.nl

Fortinet waarschuwt klanten voor een actief misbruikte kwetsbaarheid in FortiManager en FortiManager Cloud waardoor een ongeauthenticeerde aanvaller het systeem op afstand kan overnemen. FortiManager is een netwerkapparaat waarmee organisaties als hun Fortinet-apparaten kunnen beheren. De afgelopen dagen werd er veelvuldig over het bestaan van het beveiligingslek, aangeduid als CVE-2024-47575, gespeculeerd. Beveiligingsonderzoeker Kevin Beaumont stelde dat statelijke actoren misbruik van het lek maken om via managed serviceproviders spionage-aanvallen uit te voeren. Fortinet bleef echter stil over het probleem en de beschikbaarheid van beveiligingsupdates, tot vandaag. In het beveiligingsbulletin laat het bedrijf weten dat het berichten over actief misbruik heeft ontvangen en roept klanten op om de beschikbaar gestelde update te installeren. Door het versturen van speciaal geprepareerde requests kan een ongeauthenticeerde aanvaller namelijk op afstand willekeurige code of commando's op de FortiManager uitvoeren en zo controle over het systeem krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer er misbruik van het beveiligingslek plaatsvindt laat Fortinet niet weten. bron: https://www.security.nl

Een vanuit Noord-Korea opererende spionagegroep gebruikte een tankspelletje om gebruikers van Google Chrome via een kwetsbaarheid met malware te infecteren, zo meldt antivirusbedrijf Kaspersky. Op het moment van de aanvallen was er geen update voor het beveiligingslek beschikbaar. Kaspersky rapporteerde op 13 mei van dit jaar het beveiligingslek (CVE-2024-4947) aan Google, dat twee dagen later met een patch kwam. De Lazarus Group wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven. Individuen zijn zelden het doelwit, zo stelt Kaspersky. Op 13 mei ontdekte het antivirusbedrijf dat een gebruiker met een backdoor besmet was geraakt die Lazarus vaak inzet. Verder onderzoek wees uit dat de infectie had plaatsgevonden via Google Chrome, waarbij een website van een tankspelletje genaamd DeTankZone was bezocht. Volgens de omschrijving ging het om een decentralized finance (DeFi) NFT (non-fungible token)-gebaseerde multiplayer online battle arena (MOBA) game. Gebruikers konden op uitnodiging het spel testen. Wanneer de website met Google Chrome werd bezocht kon via verschillende kwetsbaarheden de Manuscrypt-backdoor worden geïnstalleerd. Via de backdoor hebben de aanvallers volledige controle over de computer. Verder onderzoek wees uit dat het hier om een volledig werkende game ging. Kaspersky ontdekte dat het spel een kopie was van een andere game genaamd DeFiTankLand (DFTL). De aanvallers begonnen op 20 februari met het adverteren van hun tankgame op X. Twee weken later liet de ontwikkelaar van DeFiTankLand weten dat een cold wallet was gecompromitteerd, waarbij 20.000 dollar aan DFTL2 coins was gestolen. Kaspersky denkt dat de aanvallers ook de broncode van DeFiTankLand hebben gestolen, om daarmee vervolgens hun eigen game DeTankZone te maken en zo de aanvalscampagne overtuigender te maken. "Wat de aanvallen van Lazarus zeer gevaarlijk maakt is het veelvuldig gebruik van zeroday-exploits. Alleen op een link klikken op een sociaal netwerk of e-mail kan al leiden tot een volledig gecompromitteerde pc of bedrijfsnetwerk", aldus het antivirusbedrijf. bron: https://www.security.nl

Tijdens de Pwn2Own-hackwedstrijd in Ierland hebben onderzoekers combi-aanvallen tegen een router van QNAP en TrueNAS Mini X gedemonstreerd. Voor de gedemonstreerde kwetsbaarheden zijn nog geen beveiligingsupdates beschikbaar. Pwn2Own is een evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veel gebruikte producten en software. De Pwn2Own-editie in Ierland laat onderzoekers uit verschillende categorieën kiezen. Het gaat dan om smartphones (Samsung Galaxy S24, Google Pixel 8 en Apple iPhone 15), WhatsApp, beveiligingscamera's, automatiseringshubs, printers, smart speakers, NAS-apparaten en routers. Onderzoekers kunnen via de 'SOHO Smashup' een extra beloning verdienen, door eerst een router te compromitteren en daarvandaan het aangesloten NAS-apparaat. Een succesvolle aanval op beide apparaten binnen dertig minuten is goed voor een beloning van 100.000 dollar. "De groei van thuiswerken heeft ervoor gezorgd dat veel bedrijven hun netwerkperimeter naar de thuiswerkplek hebben verplaatst. Aanvallers die thuisrouters en consumentenelektronica misbruiken, kunnen deze gebruiken als een springplank voor laterale bewegingen naar bedrijfssystemen. Dit willen we tijdens de wedstrijd demonstreren", aldus de organisatie. Op de eerste dag van het evenement gebruikte onderzoeker Sina Kheirkhah van Summoning Team negen verschillende kwetsbaarheden om via een QNAP QHora-322-router de aangesloten TrueNAS Mini X te compromitteren, wat 100.000 dollar opleverde. Ook onderzoekers van Viettel Cyber Security wisten een combi-aanval tegen beide apparaten uit te voeren en gebruikten hiervoor vier verschillende onbekende kwetsbaarheden. Naast de QNAP QHora-322 en TrueNAS Mini X werden gisteren ook kwetsbaarheden in Lorex 2K wifi-camera, Synology DiskStation DS1823xs+, Ubiquiti AI Bullet, Synology TC500, QNAP TS-464 NAS, Canon imageCLASS MF656Cdw printer, HP Color LaserJet Pro MFP 3301fdw printer en Sonos Era 300 smart speaker gedemonstreerd. Voor geen van deze kwetsbaarheden zijn beveiligingsupdates beschikbaar. De betreffende fabrikanten zijn ingelicht en kunnen nu updates ontwikkelen. De onderzoekers zullen de details pas na het verschijnen van de patches openbaar maken. Vandaag vindt dag twee van het evenement plaats. bron: https://www.security.nl

Het Tor Project heeft Tor Browser 14 gelanceerd, die allerlei nieuwe features en bugfixes bevat, en een langere ondersteuning van Windows 7, 8 en 8.1, alsmede macOS Sierra, High Sierra en Mojave aangekondigd. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Hiervoor wordt gebruikgemaakt van Tor Browser, wat uit een aangepaste Firefox-versie bestaat. Bij de lancering van Tor Browser 13.5, die gebaseerd is op Firefox ESR 115, waarschuwde het Tor Project gebruikers van Windows 7, 8, 8.1 en macOS Sierra, High Sierra en Mojave, dat dit de laatste ondersteunde versie was. Nu laat het Tor Project weten dat gebruikers van deze besturingssystemen tot maart 2025 beveiligingsupdates blijven ontvangen. Hiervoor zullen aparte updates voor Tor Browser 13.5 verschijnen. De aankondiging volgt op de beslissing van Mozilla om Firefox-gebruikers op oudere platforms langer te ondersteunen. De nu gelanceerde Tor Browser 14.0 is gebaseerd op Firefox ESR 128, die geen oudere Windows- en macOS-versies ondersteunt. Door het gebruik van Firefox ESR 128 is een jaar aan veranderingen en features die aan Firefox zijn toegevoegd nu ook beschikbaar in Tor Browser. Daarnaast zijn er nieuwe features beschikbaar, zoals de mogelijkheid voor Androidgebruikers om een nieuw Tor-circuit voor een geopende website aan te vragen. Tor Browser 14.0 is een automatische update voor gebruikers op nieuwere macOS- en Windows-versies. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Microsoft SharePoint waardoor remote code execution (RCE) mogelijk is, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Microsoft kwam op 9 juli met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2024-38094. Op het moment dat de patch uitkwam was Microsoft niet bekend met misbruik, maar het techbedrijf liet weten dat dit waarschijnlijk wel in de toekomst zou gebeuren. SharePoint is een omgeving voor het uitwisselen van bestanden en informatie tussen gebruikers en laat die ook met elkaar communiceren. Om misbruik van het lek te maken moet een aanvaller over SharePoint-inloggegevens beschikken en Site Owner-permissies hebben. Vervolgens is het mogelijk om willekeurige code te injecteren en uit te voeren in de context van de SharePoint-server. Het CISA laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken en dit een risico voor overheidsorganisaties is. Details over de waargenomen aanvallen zijn niet gegeven. Wel heeft het CISA Amerikaanse federale overheidsinstanties opgedragen om de beveiligingsupdate voor 12 november te installeren. bron: https://www.security.nl

OpenSSL heeft versie 3.4.0 uitgebracht die van allerlei nieuwe features is voorzien. Het gaat hier om een 'feature release' die volgens de ontwikkelaars 'aanzienlijke nieuwe functionaliteit' aan de software toevoegt. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Onder de nieuwe features bevindt zich onder andere support van het RSA-SHA2-256-algoritme, implementatie van Password-Based Message Authentication Code 1 (PBMAC1) in PKCS#12, FIPS-gerelateerde aanpassingen, support voor integrity-only cipher suites en Initial Attribute Certificate en het gebruik van een extra random seed source RNG JITTER. OpenSSL kent verschillende versies. De 3.0-serie valt onder Long Term Support (LTS) en wordt tot 7 september 2026 ondersteund. De OpenSSL-downloadpagina laat nog niet weten tot wanneer versie 3.4.x wordt ondersteund, maar de 3.3-serie kan tot 9 april 2026 op ondersteuning rekenen. bron: https://www.security.nl

Cryptoplatform Transak heeft de gegevens van ruim 92.000 gebruikers gelekt, waaronder namen, kopieën van identiteitsdocumenten en selfies. Transak biedt een platform waarmee apps en websites hun gebruikers crypto kunnen laten kopen en verkopen. Voor de controle van gebruikers werkt Transak samen met een derde partij die de Know Your Customer (KTC)-controles uitvoert. Volgens Transak wist een aanvaller door middel van een 'geraffineerde phishingaanval' toegang tot de laptop van een medewerker te krijgen. Vervolgens kon de aanvaller inloggen op het systeem van de niet nader genoemde KYC-leverancier en daar toegang tot opgeslagen klantgegevens krijgen. Het gaat om namen, geboortedatum, kopie van identiteitsbewijs en selfies van 92.554 gebruikers. E-mailadressen, telefoonnummers, wachtwoorden en creditcardgegevens zijn niet gecompromitteerd. Ook lopen de cryptovaluta van gebruikers geen risico, zo stelt het bedrijf in een verklaring. Getroffen gebruikers zullen een e-mail ontvangen. Daarnaast zegt het cryptoplatform de training, software en systemen te zullen verbeteren om phishing- en social engineering-aanvallen op medewerkers te voorkomen en schade te beperken mocht een aanval zich voordoen. Het datalek is bij verschillende privacytoezichthouders gemeld. Transak zegt wereldwijd zes miljoen klanten te hebben. bron: https://www.security.nl

VMware kwam vorige maand met een beveiligingsupdate voor een kritieke kwetsbaarheid in vCenter, waardoor servers op afstand zijn over te nemen. Het bedrijf laat nu weten dat die update onvoldoende is en heeft een tweede update uitgebracht om het probleem volledig te verhelpen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Kwetsbaarheden in de oplossing zijn in het verleden geregeld gebruikt voor het uitvoeren van aanvallen. Vorige maand liet VMware weten dat de implementatie van het DCERPC-protocol binnen vCenter een heap-overflow kwetsbaarheid bevat. Door het versturen van speciaal geprepareerde netwerkpakketten kan een aanvaller met toegang tot een vCenter-server code op het systeem uitvoeren. De impact van het beveiligingslek (CVE-2024-38812) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem werd gedemonstreerd tijdens een hackwedstrijd in China genaamd Matrix Cup, die afgelopen juni plaatsvond. Vervolgens kwam VMware op 17 september met patches, maar in een update van het beveiligingsbulletin laat VMware nu weten dat de eerste patch ontoereikend was. Organisaties worden dan ook opgeroepen de nu uitgebrachte update te installeren om zo volledig beschermd te zijn. bron: https://www.security.nl

Criminelen gebruiken malafide CAPTCHA's om malware te verspreiden waarmee wachtwoorden en cryptowallets worden gestolen. Daarvoor waarschuwt securitybedrijf Qualys. De methode werd vorige maand ook al tegen softwareontwikkelaars op GitHub ingezet. De aanval begint met een malafide webpagina die gebruikers laat geloven dat ze een CAPTCHA moeten oplossen, om zo aan te tonen dat ze mens zijn. De benodigde 'verificatiestappen' bestaan uit het starten van PowerShell, ctrl+v te doen en dan enter. Hierdoor wordt de net gekopieerde code geplakt en uitgevoerd. Deze code downloadt de malware op het systeem. Het gaat om de Lumma-infostealer. Deze malware zoekt naar wachtwoord- en cryptowallet-gerelateerde bestanden. Zo wordt er specifiek gezocht op bestanden als *seed*.txt, *pass*.txt, *.kbdx, *ledger*.txt, *trezor*.txt, *metamask*.txt, bitcoin*.txt, *word* en *wallet*.txt. Gevonden bestanden worden vervolgens naar de aanvaller gestuurd. bron: https://www.security.nl

Facebook en Instagram testen een nieuwe methode voor gebruikers om een gekaapt account door middel van een videoselfie en gezichtsherkenning terug te krijgen, zo laat Meta weten. Volgens het techbedrijf zijn er verschillende manieren waardoor gebruikers toegang tot hun account kunnen verliezen, waaronder het afstaan van inloggegevens aan scammers. "Als we denken dat een account is gecompromitteerd, vereisen we dat de accounthouder zijn identiteit verifieert voordat hij weer toegang krijgt, door een officieel identiteitsbewijs of officieel certificaat met zijn naam te uploaden", aldus Meta over de huidige herstelmethode. Bij de methode die nu wordt getest moeten gebruikers een videoselfie uploaden. Vervolgens wordt gezichtsherkenning toegepast en de geüploade videoselfie vergeleken met de profielfoto van het betreffende account. Meta stelt dat geüploade videoselfies versleuteld en veilig opgeslagen worden. "We zullen alle gezichtsdata die na de vergelijking is gegenereerd, ongeacht of er een match is of niet, direct verwijderen", laat het bedrijf verder weten. Meta claimt dat deze herstelmethode lastiger is voor aanvallers om te misbruiken dan traditionele identiteitsbewijs-gebaseerde identiteitsverificatie. bron: https://www.security.nl

Duizenden WordPress-sites zijn door aanvallers besmet en voorzien van malafide code die bezoekers door middel van zogenaamde updates voor Google Chrome met malware probeert te infecteren. In werkelijkheid gaat het om 'infostealers' die wachtwoorden en andere inloggegevens van de besmette gebruiker stelen. Dat laat het securityteam van hostingbedrijf GoDaddy in een analyse weten. De onderzoekers ontdekten meer dan zesduizend WordPress-sites wereldwijd die de afgelopen maanden van malafide code zijn voorzien. De websites zijn door middel van gestolen inloggegevens gecompromitteerd. Vervolgens werden er malafide, maar voor beheerders onschuldig lijkende plug-ins, toegevoegd. Deze plug-ins kijken welke browser bezoekers gebruiken en laten vervolgens een pop-up zien met een zogenaamde browser-update. Volgens de pop-up is er een nieuwe versie van de browser beschikbaar. Wanneer gebruikers de "update" installeren raakt het systeem besmet en worden aanwezige inloggegevens op het systeem gestolen. Mogelijk zijn op deze manier ook de inloggegevens voor de WordPress-sites gestolen, doordat beheerders zelf ook besmet raakten. Sinds augustus vorig jaar telde het securityteam van GoDaddy meer dan 25.000 besmette WordPres-sites. De meest recente variant van deze aanvalscampagne is sinds afgelopen juni actief en op meer dan zesduizend websites aangetroffen. bron: https://www.security.nl

Antivirusbedrijf Sophos neemt securitybedrijf Secureworks voor een bedrag van 859 miljoen dollar over, zo is vandaag bekendgemaakt. Secureworks werd in 2011 voor een onbekend bedrag door Dell overgenomen en werd in 2016 naar de beurs gebracht. Vorig jaar kreeg het securitybedrijf met verschillende ontslagrondes te maken. Sophos, dat eerder voor 3,9 miljard dollar door de Amerikaanse investeringsmaatschappij Thoma Bravo werd overgenomen, wil de oplossingen van Secureworks, dat onder andere endpoint- en netwerkbeveiliging biedt, binnen de eigen producten integreren. bron: https://www.security.nl

Onderzoekers hebben in verschillende end-to-end versleutelde clouddiensten kwetsbaarheden gevonden, waardoor een aanvaller via een gecompromitteerde server allerlei aanvallen kan uitvoeren. In het ergste geval kan er zo toegang tot gegevens worden verkregen. Het gaat om Sync, pCloud, Icedrive en Seafile. De bedrijven bieden end-to-end versleutelde cloudopslag. Daarbij stellen de cloudproviders dat ze geen toegang tot gebruikersdata hebben. Ze noemen dit zelf "zero-knowledge encryption". Jonas Hofmann en Kien Tuong Truong van ETH Zurich besloten de clouddiensten te onderzoeken. Eerder vonden onderzoekers van de universiteit al een manier om bij MEGA opgeslagen data te ontsleutelen. Nu keken de onderzoekers naar de eerder genoemde clouddiensten, waarbij er wordt uitgegaan van een gecompromitteerde cloudserver. De aanvaller kan hierbij bestanden lezen, aanpassen en data injecteren. Dit leverde tien soorten aanvallen op. Volgens de onderzoekers hoeven aanvallers geen uitgebreide kennis van encryptie te hebben om die uit te voeren en zijn het ook praktische aanvallen, die niet al teveel middelen vereisen. Het gaat onder andere om het niet authenticeren van user key material, waardoor een aanvaller zijn eigen keys kan injecteren. Andere problemen betreffen ongeauthenticeerde public keys, protocol downgrades, het delen van bestanden via links, niet-geauthenticeerde encryptiemodes, 'unauthenticated chunking', het aanpassen van bestandsnamen en hun locatie, het aanpassen van de metadata van bestanden en het injecteren van mappen en bestanden. De onderzoekers informeerden Sync, pCloud, Seafile en Icedrive eind april. Volgens de onderzoekers liet Icedrive weten de problemen niet te zullen verhelpen.Seafile gaf aan de problemen met het downgraden van protocollen te verhelpen. Van Sync en pCloud hadden de onderzoekers per 10 oktober nog altijd geen reactie ontvangen. Voor het onderzoek werd ook naar cloudprovider Tresorit gekeken, maar deze dienst bleek voor de meeste aanvallen niet kwetsbaar. bron: https://www.security.nl

Aanvallers maken opnieuw actief misbruik van een XSS-kwetsbaarheid in Roundcube Webmail, zo meldt securitybedrijf Positive Technologies. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De afgelopen jaren werden er meerdere kwetsbaarheden in de software misbruikt waardoor cross-site scripting (XSS) mogelijk is. CVE-2024-37383 is de nieuwste XSS-kwetsbaarheid die bij aanvallen wordt ingezet. Roundcube kwam op 19 mei met een beveiligingsupdate voor het probleem. Via het beveiligingslek kan een aanvaller door middel van een malafide bericht berichten van de mailserver stelen. Ook wordt gebruikers een html-pagina getoond die hen vraagt om opnieuw in te loggen. Ingevulde gegevens worden vervolgens naar de aanvaller gestuurd. Aanvallers blijken al sinds 8 juni misbruik van het beveiligingslek te maken, door een e-mail met malafide bijlage te sturen naar een niet nader genoemd land van het Gemenebest van Onafhankelijke Staten, aldus het securitybedrijf. Eerder dit jaar waarschuwde de Amerikaanse overheid nog voor twee misbruikte XSS-kwetsbaarheden in RoundCube Webmail (CVE-2023-43770 en CVE-2020-13965). ESET meldde daarnaast misbruik van een ander XSS-probleem (CVE-2023-5631). bron: https://www.security.nl

Aanvallers zijn erin geslaagd de Zendesk-omgeving van het Internet Archive te compromitteren en hebben naar gebruikers die ooit een supportvraag indienden een e-mail gestuurd. Onlangs wisten aanvallers gegevens van 31 miljoen gebruikers van het Internet Archive te stelen. Nu blijkt ook de Zendesk-omgeving gecompromitteerd. Zendesk biedt een online omgeving waarmee organisaties vragen van klanten en gebruikers kunnen verwerken. Tal van mensen die ooit een supportticket bij het Internet Archive aanmaakten ontvingen onderstaande e-mail, zo blijkt uit meldingen op X en Reddit. Volgens het bericht heeft het Internet Archive gelekte API-keys niet geroteerd, waardoor gecompromitteerde tokens die onder andere toegang tot de Zendesk-omgeving bieden nog steeds werken. Het Internet Archive kwam vorige week met een 'services update' over het datalek en de aanval. "We nemen een voorzichtige, doordachte aanpak om onze verdediging opnieuw op te bouwen en te versterken. Onze prioriteit is ervoor te zorgen dat het Internet Archive sterker en veiliger online komt." Er is nog niet op het nieuwste incident gereageerd. bron: https://www.security.nl

Beveiligingscamera's en BeeStation NAS-apparaten van fabrikant Synology zijn via kritieke kwetsbaarheden op afstand over te nemen. Er zijn firmware-updates uitgebracht om de problemen te verhelpen. Via de beveiligingslekken in de Synology-camera's kan een remote aanvaller willekeurige code uitvoeren, beveiligingsmaatregelen omzeilen en denial of service-aanvallen uitvoeren. Gebruikers van Synology Camera BC500, TC500 en CC400W worden aangeraden te updaten naar firmware-versie 1.1.3-0442 of nieuwer. Daarnaast is er ook een beveiligingsupdate voor de Synology BeeStation Manager (BSM) uitgekomen. De Synology BeeStation is een eenvoudig NAS-apparaat. Een kritieke kwetsbaarheid laat een aanvaller op afstand willekeurige code uitvoeren. Gebruikers wordt aangeraden te updaten naar versie 1.1-65373 of nieuwer. De kwetsbaarheden hebben geen CVE-nummers gekregen. Verdere details zijn niet gegeven. bron: https://www.security.nl

Microsoft is door een bug weken aan beveiligingslogs van klanten verloren, zo heeft techbedrijf laten weten. De logbestanden kunnen een belangrijke rol spelen bij het detecteren van aanvallen of de aanwezigheid van aanvallers op een netwerk. De bug, die op 2 september door Microsoft werd geintroduceerd, zorgde ervoor dat er geen logdata naar het interne loggingplatform van het techbedrijf werd verstuurd. Het gaat om sign-in logs en activiteitslogs van Microsoft Entra, platformlogs van Azure Logic Apps en Azure Healthcare API's, incomplete beveiligingswaarschuwingen van Microsoft Sentinel. onvolledige SignTransaction en SignHistory logs van Azure Trusted Signing, onvolledige logs in Application Insights van Azure Virtual Desktop en 'datadiscrepanties' in rapportages van Microsofts Power Platform. Nadat de bug zich op 2 september voordeed startte Microsoft op 6 september een onderzoek. Op 18 september werd duidelijk dat het probleem groter was dan het techbedrijf in eerste instantie dacht. Uiteindelijk werd het probleem op 30 september volledig verholpen. Microsoft meldde het probleem in het Microsoft 365 portal, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn er adminrechten nodig om hier toegang tot te krijgen en zullen securityteams de melding daardoor hebben gemist. De onderzoeker zegt met twee Microsoft-klanten bekend te zijn die niet via de portal werden ingelicht. Microsoft laat aan TechCrunch weten dat alle getroffen klanten zijn ingelicht en waar nodig worden geholpen. Microsoft kwam recentelijk nog onder vuur te liggen vanwege de toegang tot logbestanden. Vorig juli werd bekend dat aanvallers hadden ingebroken op de Exchange Online-omgeving van het techbedrijf, waarbij tienduizenden e-mails werden gestolen. De Amerikaanse overheid kwam vervolgens met het advies aan organisaties om hun Exchange Online-omgeving te monitoren. Misbruik zou alleen aan de hand van een bepaald item in de logbestanden zijn te detecteren. Deze optie was echter alleen beschikbaar voor klanten die van een Enterprise E5-licentie gebruikmaken. Dit zorgde voor felle kritiek van beveiligingsonderzoekers en de Amerikaanse overheid, die stellen dat alle klanten toegang tot dergelijke logs moeten hebben. Na de kritiek besloot Microsoft logs voor Exchange Online en andere Microsoft 365-diensten zonder extra kosten beschikbaar te maken. bron: https://www.security.nl

Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC). Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties. Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist. Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37. bron: https://www.security.nl

Google is begonnen om de populaire adblocker uBlock Origin bij gebruikers uit te schakelen, zo meldt ontwikkelaar Raymond Hill op X en blijkt uit screenshots van gebruikers. In augustus kwam Google al met een melding bij gebruikers van uBlock Origin dat het de adblocker gaat uitschakelen en vorige week verscheen een melding binnen de browser dat de support van uBlock Origin stopt. Gebruikers hebben nu allerlei screenshots gedeeld waarin te zien is dat Google Chrome uBlock Origin heeft uitgeschakeld. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google gaat Manifest V2 vervangen door Manifest V3. Eén van de aanpassingen in Manifest V3 betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Vanwege de beperkingen is er geen Manifest V3-versie van uBlock Origin beschikbaar. Google liet eerder al weten dat het Manifest V2-extensies bij Chrome-gebruikers gaat uitschakelen. Volgens cijfers van het techbedrijf is bijna veertig procent van de Chrome-extensies nog niet naar V3 gemigreerd. Tegenover The Verge laat Google weten dat meer dan 93 procent van de 'actief beheerde' extensies in de Chrome Web Store inmiddels van V3 gebruikmaakt. bron: https://www.security.nl