Captain Kirk

Ik heb een dergelijk probleem een aantal jaar geleden ook ondervonden. Ook bij mij kwamen ze alles doormeten, nieuwe router etc. Zonder resultaat. Uiteindelijk zijn de monteur en ik aan het puzzelen gegaan en ontdekte dat wanneer de laptop van de monteur verbonden was, alles ok was. Lang verhaal kort: Een instelling in de virusscanner bleek de boosdoener. Hij scande als een ADHD-er alle in- en uitgaande internetverkeer. Wil niet zeggen dat dit ook bij jou het probleem is maar neem het in overweging.

Onderzoekers van beveiligingsbedrijf Proofpoint zeggen een grootschalige aanval via de EternalBlue-exploit van de NSA te hebben ontdekt die wordt gebruikt om systemen met een Monero-miner te besmetten en uit eerste cijfers zou blijken dat deze aanval groter is dan die van WannaCry. Ook zou de aanval al enkele weken gaande zijn. De aanvallers gebruiken net als de WannaCry-ransomware de EternalBlue-exploit om kwetsbare systemen te vinden en via SMB aan te vallen. Vervolgens wordt de DoublePulsar-backdoor van de NSA gebruikt om systemen met een Monero-miner genaamd Adylkuzz te besmetten. Monero is een digitale valuta, vergelijkbaar met bitcoin. Naast de gebruikte malware is een ander verschil met WannaCry dat de aanvallers SMB uitschakelen, om infectie door andere malware te voorkomen. Mogelijk heeft dit de verspreiding van de WannaCry-ransomware beperkt, aldus Proofpoint. De aanval zou namelijk al sinds 24 april gaande zijn. In tegenstelling tot ransomware dat bestanden versleutelt, maken "miners" die digitale valuta minen vooral gebruik van de rekenkracht van de computer en zijn daardoor niet altijd zichtbaar voor gebruikers en beheerders. bron: security.nl

Nu het Internet of Things een steeds grotere rol in de maatschappij gaat spelen is het belangrijk dat er voor de industrie beleid komt waar het zich aan moet houden, zo stelt Microsoft. De softwaregigant heeft vandaag een document gepubliceerd met dergelijk beleid voor het Internet of Things (pdf) . Het beleid is gericht op de verschillende partijen die zich met het Internet of Things bezig houden, zoals fabrikanten, integrators, ontwikkelaars en bedrijven die IoT-oplossingen uitrollen. Zo adviseert Microsoft dat fabrikanten beveiliging in de hardware verwerken, voor veilige firmware-upgrades zorgen, de hardware "tamper-proof" maken en het hardware-ontwerp van onnodige features en toegangspunten ontdoen. In het geval van de integrators die bijvoorbeeld software aan de IoT-hardware toevoegen wordt aangeraden om een methode voor veilige softwareontwikkeling te volgen en bij het gebruik van opensourcesoftware voor een actief ondersteund project te kiezen. Verder moet de integratie met zorg plaatsvinden, aangezien veel kwetsbaarheden ontstaan bij koppelingen en interfaces. Overheid Microsoft ziet ook een rol voor de overheid weggelegd. "Niet elk bedrijf heeft de kennis en expertise om bij het ontwikkelen en uitrollen van IoT-apparaten en -diensten slimme beslissingen over security te maken. Overheden kunnen de security-uitkomsten verbeteren door best practices te promoten", zo schrijft de softwaregigant. Naast aanbevelingen kan het dan ook gaan om het opstellen van richtlijnen. Verder moet er worden geïnvesteerd in IoT-securitytraining, onderwijs en bewustzijn. Een certificeringsprogramma voor de veiligheid van IoT-apparaten kan daarbij helpen. Wel stelt Microsoft dat er drie voorwaarden zijn om een dergelijk programma te laten slagen. Ten eerste moeten belanghebbenden vanuit het gehele IoT-ecosysteem zijn betrokken. Daarnaast moet het certificeringsprogramma op één lijn met internationale standaarden zitten en moet er een flexibele implementatie worden gekozen. "IoT-cybersecuritybeleid zal alleen maar belangrijker worden nu de wereld steeds meer verbonden en afhankelijk wordt van de efficiëntie en mogelijkheden die IoT brengt", aldus Microsofts Paul Nicholas. bron: security.nl

Microsoft bevestigt dat WannaCry NSA-exploit gebruikt Microsoft heeft in een blogposting voor het eerst gesteld dat de WannaCry-ransomware die sinds vrijdag rondgaat gebruikmaakt van een exploit die door de Amerikaanse geheime dienst NSA is ontwikkeld en daar vervolgens werd gestolen. De softwaregigant laat weten dat de update al twee maanden beschikbaar was en dat systemen die de update geïnstalleerd hadden veilig zijn. Toch zijn er nog veel computers ongepatcht. "Deze aanval demonstreert dat cybersecurity een gedeelde verantwoordelijkheid is tussen techbedrijven en klanten. Het feit dat zoveel computers twee maanden na het verschijnen van een patch kwetsbaar blijven onderstreept dit aspect", zegt Microsofts Brad Smith. "Nu cybercriminelen steeds geraffineerder worden is er gewoon geen manier voor klanten om zich tegen dreigingen te beschermen tenzij ze hun systemen updaten." De aanval laat volgens Smith ook zien dat het verzamelen van kwetsbaarheden door overheden een groeiend probleem is. "We hebben op WikiLeaks kwetsbaarheden gezien die door de CIA waren verzameld en nu deze kwetsbaarheid die bij de NSA werd gestolen heeft klanten wereldwijd geraakt. Herhaaldelijk zijn exploits in handen van overheden in het publieke domein terechtgekomen en hebben voor grootschalige schade veroorzaakt." Eerder was dit al het geval bij de Stuxnetworm. Deze door de NSA ontwikkelde malware maakte gebruik van meerdere kwetsbaarheden. Na de ontdekking van de worm werd één van de gebruikte kwetsbaarheden op grote schaal door cybercriminelen ingezet. Volgens Smith moeten overheden de aanval met de WannaCry-ransomware dan ook als een "wake-up call" zien. "Ze moeten een andere aanpak volgen en in cyberspace dezelfde regels volgen die voor wapens in de fysieke wereld gelden", merkt Smith op. Microsoft vindt dat overheden rekening met de schade aan burgers moet houden die met het verzamelen van deze kwetsbaarheden en het gebruik van deze exploits samenhangt. Eerder riep de softwaregigant dan ook op tot een digitale Geneefse Conventie, zodat overheden worden verplicht om kwetsbaarheden aan leveranciers te melden, in plaats van ze te verzamelen en te gebruiken. bron: security.nl

Beste Herman, Dat is vervelend. Welk anti-virus gebruik je? Maak anders even een scan met Malwarebytes-free (let wel op dat je voor de gratis versie kiest) en laat deze een uitgebreide scan maken. Plaats het logbestand even hier zodat de specialisten alhier ermee verder kunnen.

Een nieuw ransomware-exemplaar dat op dit moment op grote schaal wordt verspreid vraagt slachtoffers omgerekend ruim 3.000 euro losgeld voor het ontsleutelen van bestanden. Securitybedrijven Forcepoint, Emsisoft en Malwarebytes maken melding van de ransomware die via e-mailbijlagen wordt verstuurd. Het gaat om een pdf-bijlage die wanneer geopend een docm-bestand probeert te openen. Gebruikers moeten het openen van dit docm-bestand bevestigen, het gebeurt niet automatisch. Het docm-bestand bevat weer een kwaadaardige macro die de gebruiker moet inschakelen. Als de gebruiker al deze stappen doorloopt wordt de Jaff-ransomware geïnstalleerd die allerlei bestanden versleutelt. In totaal versleutelt Jaff 423 verschillende bestandsextensies. Voor het ontsleutelen van de bestanden moeten slachtoffers 2 bitcoin betalen, wat met de huidige koers 3300 euro is. "De e-mails die in deze campagne worden verstuurd zien er misschien voor het geoefende oog spartaans uit, maar de mens is de zwakste schakel. Door zoveel mensen als mogelijk te bereiken kunnen en slagen dit soort campagnes erin om mensen te infecteren", zegt Roland Dela Paz van Forcepoint. In tegenstelling tot veel andere e-mails die cybercriminelen gebruiken om ransomware te verspreiden bevatten de e-mails met de Jaff-ransomware geen tekst, maar alleen een bijlage. bron: security.nl

HP komt met oplossing voor keylogger in audiodriver HP heeft een oplossing uitgebracht voor een keylogger die onbedoeld aan een audiodriver voor verschillende laptops was toegevoegd. Gisteren maakten onderzoekers bekend dat een HP-audiodriver voor geluidskaarten met een Conexant-chip allerlei toetsaanslagen in een logbestand bewaarde. De driver was ontwikkeld door Conexant en aangeboden door HP. Het bleek om een onbedoelde testfunctionaliteit te gaan die in de driver was achtergebleven. Volgens HP is het via de keylogger niet mogelijk voor de computergigant om toegang tot klantgegevens te krijgen. "Onze leverancier heeft software ontwikkeld om de audiofunctionaliteiten te testen voorafgaand aan de product lancering. Dit had niet in de laatste versie moeten zitten die is verstuurd", aldus een reactie van HP. Via HP.com en Windows Update is nu voor modellen van 2015 en 2016 een patch uitgebracht. De patch verhelpt het probleem en verwijdert het logbestand. bron: security.nl

De anti-virussoftware van Avast blijkt na een update bij allerlei gebruikers de internettoegang te blokkeren, waardoor websites niet meer kunnen worden bezocht en Windows geen updates kan downloaden. Op het forum van de anti-virusleverancier zijn tal van klagende gebruikers vandaag te vinden. Het probleem lijkt in Web Shield te zitten, een onderdeel van de anti-virussoftware dat de inhoud van webverkeer scant. Gebruikers laten weten dat zodra ze deze functie uitschakelen ze weer internettoegang hebben. De problemen doen zich voor bij de update naar versie 17.4.2294. Een herinstallatie van de software zou het probleem verhelpen. Avast is volgens softwarebedrijf Opswat de populairste anti-virusleverancier. Vorig jaar nam het concurrent AVG voor een bedrag van 1,3 miljard dollar over. bron: security.nl

Sommige virusscanners van derde partijen hinderen de installatie van een zeer belangrijke update voor Windows Defender, de in Windows ingebouwde anti-virussoftware. Deze week patchte Microsoft een ernstige kwetsbaarheid in de eigen beveiligingssoftware waardoor aanvallers systemen op afstand kunnen overnemen. Er is daarbij geen interactie van gebruikers vereist. Een aanvaller hoeft alleen een e-mail te versturen. Op systemen waar gebruikers een virusscanner van een derde partij gebruiken blijkt de installatie van de update niet zo eenvoudig te zijn. Verschillende pakketten, zoals die van Avast, Norton en Trend Micro, blijken Windows Defender namelijk uit te schakelen en het inschakelen gaat niet zonder slag of stoot, zo blijkt uit vragen op de website Ask Woody. Gebruikers melden dat ze onder andere met de foutmelding " 0x800704ec" te maken krijgen. De oplossing blijkt te liggen in het doorvoeren van een aanpassing in het Windows Register, zodat Windows Defender wel kan worden gestart en vervolgens de update kan downloaden. Systemen waar Windows Defender de primaire virusscanner is hebben de update automatisch ontvangen. bron: security.nl

Een beveiligingslek in Microsoft Edge maakt het voor kwaadaardige websites mogelijk om Facebook-, Twitter- en andere in de browser opgeslagen wachtwoorden te stelen, alsmede cookiegegevens, zo heeft de Argentijnse beveiligingsonderzoeker Manuel Caballero gedemonstreerd. De Same Origin Policy (SOP) moet voorkomen dat een geopende website informatie van andere domeinen kan benaderen. Caballero slaagde er echter in om deze beveiligingsmaatregel binnen Edge te omzeilen. Daardoor is het voor een kwaadaardige website mogelijk om een wachtwoordformulier op een ander domein te injecteren. De Edge-wachtwoordmanager zal vervolgens via autocomplete automatisch de inloggegevens voor dit domein invoeren. De kwaadaardige website krijgt zo de inloggegevens in handen. Voorwaarde is wel dat een gebruiker Edge gebruikt en zijn wachtwoorden via de wachtwoordmanager van de browser heeft opgeslagen. Ook is het mogelijk om via de aanval cookiegegevens te stelen, zoals Caballero in een video en speciaal gemaakte website demonstreert. "Microsoft Edge maakt grote vorderingen als het om geheugencorruptie en sandboxing gaat, maar basale ontwerpproblemen zijn nog steeds aanwezig", aldus de onderzoeker. Hij heeft Microsoft niet van tevoren over de publicatie en kwetsbaarheid ingelicht, wat inhoudt dat Edge-gebruikers nog steeds kwetsbaar zijn. bron: security.nl

Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip. HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt. Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen. "Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren. Geen opzet "Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt. Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten. bron: security.nl

Duizenden WordPress-sites zijn kwetsbaar voor aanvallers omdat ze oude plug-ins gebruiken die beveiligingslekken bevatten en niet meer door de oorspronkelijke ontwikkelaar worden onderhouden. Via WordPress.org worden meer dan 37.000 plug-ins aangeboden die allerlei extra functionaliteit aan een website toevoegen. Ruim 17.000 van deze plug-ins hebben de afgelopen 2 jaar geen update ontvangen. Bijna 14.000 plug-ins zeggen compatibel te zijn met WordPress 3.x. WordPress 4.0 verscheen in september 2014. Verder ontdekten onderzoekers 4.000 plug-ins die sinds 2010 niet meer zijn bijgewerkt. Beveiligingsbedrijf Wordfence analyseerde de plug-ins en ontdekte 18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden. Verder werden vier plug-ins gevonden waarin een beveiligingslek is gepatcht, alleen de update werd op zo'n manier uitgebracht dat bestaande gebruikers niet automatisch naar de nieuwste versie zijn geüpgraded. De kwetsbare plug-ins hebben bij elkaar 37.000 installaties. Beheerders van WordPress-sites die een kwetsbare plug-in gebruiken krijgen het advies die uit te schakelen en contact met de ontwikkelaar op te nemen over eventuele support. bron: security.nl

Microsoft heeft dinsdag updates voor Edge en Internet Explorer uitgebracht die ervoor zorgen dat https-sites met een sha-1-certificaat niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. Een aanleiding om sha-1-certificaten te blokkeren is dat sha-1 kwetsbaar is voor collision-aanvallen. Bij zo'n aanval kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening als het origineel hebben. Met zo'n certificaat is het mogelijk om spoofing-, phishing- en man-in-the-middle-aanvallen uit te voeren. Edge- en IE-gebruikers die nu een website met een sha-1-certificaat bezoeken krijgen een melding te zien dat de website een ongeldig certificaat gebruikt. Gebruikers hebben nog wel de mogelijkheid om de website te bezoeken. Verder is Microsoft van plan om internetgebruikers te waarschuwen over de risico's van het downloaden van software die met een sha-1-certificaat is gesigneerd. De softwaregigant wil ervoor zorgen dat alle applicaties op Windows gebruikers straks voor zwakke cryptografie zoals sha-1 kunnen waarschuwen. Uiteindelijk wil Microsoft sha-1 nergens meer binnen Windows vertrouwen. Afhankelijk van de ontwikkelingen met betrekking tot het aanvallen van sha-1 zal de planning hierop worden afgestemd. bron: security.nl

Asus heeft in 30 wifi-routers kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval toegang tot de apparaten konden krijgen en het mogelijk was om het wifi-wachtwoord te stelen. De problemen speelden in de RT-routers van Asus. De routers beschikken net als veel andere routers over een webinterface. Deze webinterface is toegankelijk voor het lokale netwerk, maar niet voor het internet. De interface bleek kwetsbaar voor cross-site request forgery. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Een kwaadaardige website kon zo via de browser van de gebruiker op de router proberen in te loggen. Via een ander probleem was het mogelijk om het wifi-wachtwoord te achterhalen. Asus werd eind januari ingelicht en kwam eind maart met updates. De onderzoekers die de problemen vonden hebben nu de details openbaar gemaakt. Ze stellen wel dat de aanvallen alleen mogelijk zijn als de aanvaller het lokale ip-adres van de router weet. Dit zou echter kunnen worden geraden of via WebRTC worden achterhaald. De firmware-updated van Asus verhelpen ook nog drie andere kwetsbaarheden waardoor het mogelijk was om willekeurige code op de router uit te voeren, sessietokens te stelen en JavaScriptcode in de webinterface uit te voeren. Ook zijn er logberichten voor bruteforce-aanvallen toegevoegd. bron: security.nl

Tal van websites maken gebruik van een wachtwoordmeter om gebruikers te laten zien hoe zwak of sterk hun wachtwoord is, maar onderzoekers van de Carnegie Mellon University en de University of Chicago hebben nu een nieuw soort wachtwoordmeter ontwikkeld die veel beter zou moeten werken. "In plaats van een meter die zegt 'Je wachtwoord is slecht', dachten we dat het handiger was als de meter vertelde waarom het slecht is en wat er beter kan worden gedaan", zegt onderzoeker Nicolas Christin van de Carnegie Mellon University. De wachtwoordmeter maakt gebruik van een kunstmatig neuraal netwerk. Het netwerk "leert" door miljoen bestaande wachtwoorden te scannen en trends te vinden. Als de meter een eigenschap in een wachtwoord ontdekt dat aanvallers kunnen raden geeft het gebruikers een waarschuwing. "De manier waarop aanvallers wachtwoorden raden is door patronen in grote datasets van gestolen wachtwoorden te analyseren", zegt onderzoeker Blase Ur van de University of Chicago. "Als je bijvoorbeeld de letter E door een 3 in je wachtwoord verandert zal dat een aanvaller niet foppen. De meter zal uitleggen hoe vaak deze vervanging voorkomt en je advies geven wat je dan wel kunt doen." Deze feedback wordt in realtime gegeven, bij elke letter die de gebruiker invoert. De onderzoekers lieten 4500 mensen de wachtwoordmeter testen bij het maken van een wachtwoord. Het onderzoek naar de meter en het gebruik ervan wordt vandaag tijdens de CHI 2017-conferentie gepresenteerd. Volgens Ur zorgt de nieuwe meter ervoor dat gebruikers sterkere wachtwoorden kiezen die net zo goed te onthouden zijn als wachtwoorden die zonder de feedback worden gemaakt. Een demonstratie van de wachtwoordmeter staat inmiddels online. De code van de Password Meter is via GitHub open source gemaakt. bron: security.nl

Opera heeft vandaag een vernieuwde browser gelanceerd onder de codenaam "Reborn" die allerlei nieuwe features en verbeteringen bevat. Eerder dit jaar kwam de browserontwikkelaar al met een conceptbrowser genaamd "Neon". Verschillende onderdelen van Neon zijn nu aan Opera toegevoegd. Volgens Opera is het de hoogste tijd om opnieuw over de browser na te denken. "Sociale messengers hebben ons leven compleet veranderd, door ons op hetzelfde moment te laten werken, nieuwe dingen te ontdekken en te laten communiceren. Deze verschuiving is door de smartphone gekomen, maar desktops en laptops, die in theorie krachtigere multitaskingtools zijn, zijn achtergebleven", zegt Krystian Kolondra van Opera. De nieuwe Opera-browser combineert dan ook browsen en chatten. Verder biedt Opera gebruikers nu meer controle over het blokkeren van advertenties. De ingebouwde adblocker kan per pagina worden in- of uitgeschakeld. Daarnaast is het beheer van te blokkeren advertenties veranderd. Standaard worden de blocklists genaamd Easylist en EasyPrivacy geladen, maar gebruikers kunnen ook regionale of aangepaste lijsten laden. Verder waarschuwt Opera ook voor het invoeren van wachtwoorden of creditcardgegevens op http-sites. Volgens StatCounter heeft Opera op de desktop een wereldwijd marktaandeel van 2 procent. In Nederland wordt de browser door 5 procent van de desktopgebruikers gebruikt. bron: security.nl

Cisco heeft een ernstig beveiligingslek in honderden routers en switches gedicht dat mogelijk door de CIA is gebruikt om toegang tot systemen te krijgen. De kwetsbaarheid kwam aan het licht na analyse van de CIA-documenten die in maart door WikiLeaks onder de naam "Vault 7" op internet werden geplaatst. Het gaat om een kwetsbaarheid in het Cisco Cluster Management Protocol (CMP) van Cisco IOS en Cisco IOS XE, het besturingssysteem dat op de routers, firewalls en switches van Cisco draait. Via het beveiligingslek zou een aanvaller op afstand en zonder inloggegevens willekeurige code met verhoogde rechten kunnen uitvoeren en zo volledige controle over het apparaat krijgen. Een aanvaller zou het lek kunnen aanvallen door bij het opzetten van een Telnet-sessie geprepareerde CMP-specifieke Telnet-opties mee te sturen. Op een schaal van van 1 tot en met 10 is de ernst van het lek met een 9,8 beoordeeld. In totaal zijn ruim 300 routers en switches kwetsbaar. Beheerders krijgen dan ook het advies om de updates zo snel als mogelijk te installeren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van mei 46 beveiligingslekken gepatcht, waaronder drie zerodaylekken in Windows, Microsoft Office en Internet Explorer die actief werden aangevallen om computers over te nemen voordat er een update van de softwaregigant beschikbaar was. Via de kwetsbaarheid in Internet Explorer 11 en Microsoft Office kon een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een kwaadaardige website of een kwaadaardig EPS-bestand opende. Via het lek in de Windowskernel kon een aanvaller zijn rechten op het systeem verhogen en code met kernelrechten uitvoeren. Ook heeft Microsoft kwetsbaarheden in Internet Explorer en Microsoft Edge gedicht die al voor het verschijnen van de update bekend waren gemaakt, maar volgens Microsoft niet zijn aangevallen. Het gaat om een IE-lek waardoor waarschuwingen voor http-content op https-sites konden worden omzeild. In het geval van Edge kon een kwaadaardige internetsite acties in de context van de Intranet Zone uitvoeren. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is Microsoft gestopt met het aanbieden van updates voor de eerste versie van Windows 10 die in juli 2015 werd uitgebracht. Gebruikers en organisaties die nog met deze versie van het besturingssysteem werken krijgen het advies om naar de nieuwste versie te updaten. Update Microsoft patchte ook een ander lek in Office dat bij "beperkte gerichte aanvallen" is gebruikt, wat zou inhouden dat er 4 zerodaylekken deze maand zijn gepatcht. Bij de details van de update stelt Microsoft echter dat de kwetsbaarheid niet is aangevallen voordat de update verscheen. bron: security.nl

De populaire e-mailclient Thunderbird, die door Mozilla werd ontwikkeld, zal deels van de opensource-ontwikkelaar afscheid nemen. De eerste volledige versie van Thunderbird verscheen in 2004. De software, die 25 miljoen gebruikers heeft, maakt grotendeels gebruik van dezelfde engine en code als Firefox. In 2015 kondigde Mozilla al aan dat het Thunderbird van Firefox wil loskoppelen, waarbij er naar andere partijen werd gezocht die in de e-mailclient wilden investeren. Nu is het onderzoek naar deze loskoppeling afgerond. Mozilla zal de juridische en financiële basis van Thunderbird blijven, maar de e-mailclient zal niet meer van de Mozilla-infrastructuur gebruikmaken. Zodoende worden de operationele aspecten van het project losgekoppeld. "Hoewel Mozilla zich helemaal wil richten op het succes van Firefox, blijkt uit recente discussies dat ze Thunderbird graag zien slagen. In veel opzichten is er nu meer behoefte aan onafhankelijk en veilige e-mail dan ooit tevoren. Zolang Thunderbird de ontwikkeling van Firefox niet hindert lijken er geen grote obstakels te zijn dat beide naast elkaar kunnen blijven bestaan", zegt Mozilla's Philipp Kewisch, die ook bij de ontwikkeling van Thunderbird is betrokken. Er werd ook gekeken of Thunderbird naar een andere organisatie moest verhuizen, maar dat zou bij het oplossen van technische problemen en het opzetten van een sterk Thunderbird-team een te grote afleiding zijn. "Hoewel we hopen om op de lange termijn onafhankelijk van Gecko te worden, is het in het belang van Thunderbird om zo dicht bij Mozilla als mogelijk te blijven", aldus Kewisch. Gecko is de render-engine van Firefox. Mozilla wil grote aanpassingen aan deze engine doorvoeren, wat gevolgen voor Thunderbird zal hebben. Door nauw met het Firefox-team te blijven samenwerken kunnen door Gecko veroorzaakte compatibiliteitsproblemen sneller worden opgelost. De Thunderbird Council, die verantwoordelijk is voor de e-mailclient, zegt optimistisch te zijn over de toekomst. Nu de organisatorische zaken zijn geregeld kan men zich op de technische uitdagingen richten. Op de middellangetermijn zal Thunderbird op Gecko gebaseerd blijven, maar voor de lange termijn wordt er naar "webtechnologieën" als oplossing gekeken. Onlangs verschenen al plannen om Thunderbird op JavaScript te baseren. Dit zal echter de nodige tijd, personeel en planning vereisen. Er wordt dan ook gezocht naar vrijwilligers die hierbij willen helpen. "Zodat de wereld de beschikking blijft hebben over een veilige opensource-e-mailclient waarop het kan vertrouwen", besluit Kewisch. bron: security.nl

Wereldwijd lopen meer dan 120.000 ip-camera's risico om onderdeel van een nieuw Internet of Things-botnet te worden genaamd Persirai. Daarvoor waarschuwt het Japanse anti-virusbedrijf Trend Micro. Het botnet is in staat om meer dan 1000 verschillende cameramodellen aan te vallen. Besmette apparaten worden gebruikt voor het uitvoeren van ddos-aanvallen. Om de camera's aan te vallen maken de aanvallers verbinding via tcp-poort 81. Vervolgens wordt er een kwetsbaarheid gebruikt die afgelopen maart werd geopenbaard, maar nog altijd niet is gepatcht. De ip-camera's zijn door een Chinese fabrikant gemaakt en worden vervolgens door andere bedrijven onder verschillende namen, merken en functies verkocht. Zodra de malware toegang tot een ip-camera heeft verkregen verwijdert die zichzelf en draait alleen nog in het geheugen. Persirai maakt een aanpassing aan de code van de camera's, zodat het beveiligingslek niet meer door andere malware en aanvallers is aan te vallen. Als de camera echter wordt herstart zal de malware weer verdwijnen en is het apparaat weer lek. Onderzoekers vonden via de Shodan-zoekmachine 122.000 ip-camera's die via internet toegankelijk en kwetsbaar zijn. Ip-camera's maken vaak van Universal Plug and Play (UPnP) gebruik, waardoor de apparaten zonder dat gebruikers dit weten een poort op de router kunnen openzetten. Dat maakt ze echter kwetsbaar voor aanvallers. Gebruikers krijgen dan ook het advies om UPnP op hun router uit te schakelen, zodat de apparaten niet onopgemerkt via internet benaderbaar zijn. bron: security.nl

In 2013 begon Yahoo een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden melden en sindsdien heeft de internetgigant meer dan 2 miljoen dollar uitgekeerd. Vorig jaar beloonde Yahoo bijna 200 onderzoekers die lekken in de websites en apps van het bedrijf rapporteerden. De meeste problemen hadden een kleine impact, aldus de internetgigant, maar sommige waren wel ernstig. Zo werd er onlangs nog een kwetsbaarheid opgelost waardoor het mogelijk was om Flicker-accounts over te nemen. Inmiddels doen meer dan 2.000 onderzoekers en hackers mee aan het beloningsprogramma van Yahoo, verdeeld over meer dan 80 landen, zo laat Yahoo-engineer Andrew Rios weten. Voor het beloningsprogramma maakt Yahoo gebruik van HackerOne. Dit is een door Nederlanders opgericht platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te organiseren en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. bron: security.nl

Is goed. Laat even weten of het gelukt is.

In de ip-camera's en digitale videorecorders van de Chinese fabrikanten Dahua en Hikvision zijn ernstige beveiligingslekken ontdekt waardoor een aanvaller toegang tot de apparaten kan krijgen en vanwege de "grijze markt" kunnen niet alle eigenaren hun apparaten updaten. Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid waarschuwt dat in het geval van de Dahua ip-camera's en digitale videorecorders het zeer eenvoudig is om de kwetsbaarheden vis internet aan te vallen en dat er al exploits beschikbaar zijn. De apparatuur blijkt een wachtwoordhash in plaats van een wachtwoord voor de authenticatie van gebruikers te gebruiken. Daardoor kan een aanvaller de authenticatie omzeilen zonder over het daadwerkelijke wachtwoord te beschikken. Verder blijkt de apparatuur het wachtwoord in het configuratiebestand op te slaan. Een aanvaller kan zich zo voordoen als de beheerder en toegang tot gevoelige informatie krijgen. Dahua heeft nu voor 12 modellen ip-camera's en 3 modellen digitale videorecorders updates uitgebracht, die via de distributeur zijn te verkrijgen. Volgens het ICS-CERT wordt de apparatuur in allerlei vitale sectoren, overheidsgebouwen en transportsystemen gebruikt. Hikvision In het geval van Hikvision gaat het om twee problemen in zeven modellen ip-camera's. Ook deze apparaten blijken het wachtwoord in het configuratiebestand op te slaan. Daarnaast is er een probleem met de authenticatie, waardoor een aanvaller zijn rechten op het systeem kan verhogen en toegang tot gevoelige informatie kan krijgen. De kwetsbaarheden zijn op afstand en met weinig technische kennis aan te vallen. Er zijn echter nog geen exploits openbaar. Ook Hikvision heeft updates beschikbaar gesteld om het probleem te verhelpen. De fabrikant waarschuwt dat er een "grijze markt" is waarbij camera's via ongeautoriseerde kanalen worden verkocht. Deze camera's maken vaak gebruik van ongeautoriseerde firmware die door partijen buiten Hikvision is ontwikkeld. In het geval van camera's die van de grijze markt afkomstig zijn kan het updaten van de firmware met de originele Hikvision-firmware het apparaat in de oorspronkelijke staat herstellen. Gebruikers van deze "grijze markt" camera's die vanwege de ongeautoriseerde firmware hun apparaat niet kunnen updaten blijven echter kwetsbaar voor aanvallen. bron: security.nl

Bijna 1 miljoen Gmail-gebruikers zijn getroffen door de phishingaanval van afgelopen week, zo heeft Google bekendgemaakt. Nog onbekende aanvallers verstuurden een phishingmail die van Google afkomstig leek en claimde dat iemand een document met de ontvanger via Google Docs wilde delen. Als gebruikers de link in het berichten openden kregen ze de vraag of ze een applicatie genaamd "Google Docs" toegang tot hun Google-account wilden gegeven. Verleende de gebruiker deze toestemming, dan werd zijn adresboek gebruikt om de phishingmail naar zijn contacten te versturen. Volgens Google werd minder dan 0,1 procent van de Gmail-gebruikers slachtoffer van de aanval. Vorig jaar februari maakte Google bekend dat het 1 miljard Gmail-gebruikers had. Dat zou inhouden dat zo'n 1 miljoen Gmail-gebruikers slachtoffer van de aanval werden, aldus The Next Web. Na ongeveer een uur werd de aanval gestopt. Google laat weten dat de aanval van contactgegevens gebruikmaakte, maar er verder geen andere data is blootgesteld. Om toegang tot de accounts te krijgen maakte de aanval gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Eind 2011 waarschuwde onderzoeker André DeMarre al dat aanvallers een kwaadaardige app konden maken die zich "Google" noemt en via OAuth toegang tot het account van de gebruiker kon krijgen. Een paar maanden later in 2012 besloot hij Google te waarschuwen, zo meldt de onderzoeker op Hacker News. Naar eigen zeggen kreeg hij een bescheiden beloning voor zijn melding. Google liet de onderzoeker een aantal maanden later weten dat het maatregelen zou uitrollen om dit soort aanvallen tegen te gaan. De internetgigant was echter niet van plan om te controleren dat de opgegeven naam met de url overeenkwam. Iets wat de onderzoeker wel adviseerde. bron: security.nl

Onderzoekers hebben een botnet ontdekt dat uit meer dan 15.000 Windows-servers bestaat en wordt gebruikt voor het minen naar verschillende digitale valuta. De servers worden op verschillende manieren gehackt, zoals oude kwetsbaarheden, onveilige configuraties en zwakke wachtwoorden. Zo worden bekende, zwakke configuraties in phpMyAdmin uitgebuit, alsmede beveiligingslekken in JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL-servers, Apache Tomcat, Oracle Weblogic en andere veelgebruikte diensten. Met name Windows Server 2008-machines zijn getroffen. Meer dan de helft van het botnet draait deze Windows-versie. Als het gaat om locaties zijn de meeste besmette servers in de Verenigde Staten, Brazilië en India aangetroffen. Zodra de aanvallers toegang hebben verkregen wordt er een remote access trojan (RAT) en een "cryptocurrency miner" geïnstalleerd. Afhankelijk van de gezochte digitale valuta wordt er een aparte miner geladen. Daarbij heeft de digitale valuta Monero de voorkeur, maar kan er ook voor ByteCoin, RieCoin of ZCash worden gekozen, zo meldt beveiligingsbedrijf GuardiCore. Het bedrijf biedt een detectie- en verwijderscript aan waarmee beheerders hun servers kunnen controleren. Ook laat het bedrijf zien hoe de infectie handmatig is te verwijderen. bron: security.nl